Cosa ha davvero annunciato la Commissione
Il 7 luglio 2026 la Commissione europea ha presentato il suo Piano d azione su cibersicurezza e intelligenza artificiale, e la vicepresidente esecutiva Henna Virkkunen lo ha detto senza giri, che l IA sta trasformando il significato della cibersicurezza e l Unione deve tenere il passo. Colpisce ciò che il piano non contiene, nessuna nuova legge. Promuove invece l attuazione di norme già in vigore, la direttiva NIS2, il Cyber Resilience Act e il regolamento sull IA. Dentro ci sono tre mosse concrete, una capacità di valutazione dell UE per le capacità e i rischi dei modelli di IA avanzati, un progetto europeo e una piattaforma di test sicura costruita con l agenzia europea per la cibersicurezza ENISA perché i settori critici provino l IA senza pericolo, e un EU Grand Challenge che finanzia ricercatori e imprese per costruire difesa con l IA. Si legge meno come un regolamento e più come una decisione su dove l Europa mette le proprie mani.
Perché il piano costruisce una propria capacità di test
Il baricentro è la capacità di valutazione dell UE. Il regolamento sull IA impone già di valutare il rischio dei modelli avanzati prima che raggiungano il mercato, e il piano dice che l Europa rafforzerà la valutazione indipendente invece di accettare che un fornitore corregga il proprio compito. È tanto una dichiarazione di sovranità quanto di sicurezza, perché la maggior parte dei modelli di frontiera è americana e l Europa non vuole dipendere dai laboratori che li costruiscono per certificarne la sicurezza. La piattaforma di test sicura estende la stessa logica agli operatori, dando a banche, ospedali e gestori di rete un luogo controllato per provare l IA avanzata senza esporre i sistemi di produzione. E il momento pesa, perché dal 2 agosto 2026 la Commissione ottiene i suoi poteri di applicazione sull IA per finalità generali, compresa la facoltà di chiedere informazioni e misure ai fornitori. Il piano è l impalcatura che si alza appena prima di quella data.
Cosa ne ricava un operatore
Questa settimana non arriva nulla di nuovo sul vostro tavolo della conformità, ed è proprio il punto da interiorizzare. I vostri obblighi ai sensi di NIS2 e del Cyber Resilience Act non cambiano, ma ora siedono dentro una cornice esplicita di minaccia da IA, perché gli stessi modelli che redigono i vostri report possono automatizzare la ricognizione, scrivere codice di attacco e far salire un intrusione più in fretta di quanto reagisca una squadra umana. Se gestite un servizio di settore critico, aspettatevi che la piattaforma di test sicura diventi la via ufficiale per dimostrare un impiego di IA prima che tocchi carichi regolati, e aspettatevi che la vostra autorità nazionale, in Italia l ACN, traduca il progetto in linee guida su cui sarete misurati. L azione non è archiviare carte, è il ritmo, perché una difesa tarata su attaccanti umani ora affronta quelli automatici.
Da leggere ora: Un difetto Squid di 29 anni espone i login in chiaro | Questo malware cancella prima i tuoi backup



