L’AI Act rappresenta una pietra miliare nella regolamentazione dell’intelligenza artificiale, con un impatto profondo sulle aziende e sulla cybersecurity. Le sfide normative, come la complessità e i costi di conformità, sono bilanciate da opportunità di innovazione responsabile, vantaggio competitivo e creazione di nuovi mercati.
L’Unione Europea ha intrapreso un percorso ambizioso regolando l’IA con l’AI Act, il primo quadro normativo globale sull’IA, entrato in vigore il 2 febbraio 2025 e con piena applicazione prevista entro agosto 2026, garantendo un uso sicuro, etico e responsabile e bilanciando innovazione e protezione dei diritti fondamentali.
L’intersezione tra AI Act e cybersecurity apre nuove prospettive per le aziende, chiamate a navigare tra obblighi normativi, rischi crescenti e opportunità di business. Adottando un approccio proattivo, le aziende possono trasformare le nuove normative in un volano per la crescita, garantendo un futuro digitale sicuro e affidabile. Questo articolo esplora il quadro generale dell’AI Act, il suo impatto sulle imprese e il legame con la cybersecurity, con un focus su temi normativi e sulle strategie di compliance.
L’AI Act: il quadro normativo innovativo
L’AI Act (Regolamento UE 2024/1689) è stato concepito per regolamentare lo sviluppo, l’immissione sul mercato e l’uso dei sistemi di intelligenza artificiale in Europa. Approvato il 21 maggio 2024 e pubblicato il 12 luglio 2024, il regolamento si basa su un approccio basato sul rischio, classificando i sistemi IA in quattro categorie: rischio inaccettabile, alto rischio, rischio limitato e rischio minimo.
L’AI Act si propone di:
- Garantire la sicurezza e i diritti fondamentali: tutela della privacy, non discriminazione e trasparenza.
- Promuovere l’innovazione responsabile: favorire lo sviluppo di tecnologie IA senza soffocare la competitività.
- Creare un mercato digitale armonizzato: regole uniformi per tutti gli Stati membri dell’UE.
I sistemi a rischio inaccettabile (es. social scoring o riconoscimento biometrico non autorizzato) sono vietati. I sistemi ad alto rischio, utilizzati in settori come sanità, trasporti, giustizia o sicurezza, devono rispettare requisiti rigorosi, tra cui valutazioni d’impatto sui diritti fondamentali (FRIA), trasparenza, accuratezza e robustezza. I sistemi a rischio limitato (es. chatbot) richiedono obblighi di trasparenza, mentre quelli a rischio minimo sono soggetti a regolamentazioni leggere.
Tempistiche e sanzioni
L’implementazione dell’AI Act è graduale:
- Febbraio 2025: divieto di pratiche a rischio inaccettabile e obbligo di alfabetizzazione digitale per il personale.
- Agosto 2025: entrata in vigore delle norme su governance e autorità di notifica.
- Agosto 2026: piena applicazione, con requisiti completi per i sistemi ad alto rischio.
Le sanzioni per violazioni sono severe: fino a 35 milioni di euro o il 7% del fatturato globale annuo per i casi più gravi, come l’uso di sistemi vietati, e fino a 15 milioni di euro o il 3% del fatturato per violazioni minori, come la mancata notifica di un sistema IA.
Governance e supporto
L’AI Act istituisce un Ufficio Europeo per l’IA presso la Commissione Europea, affiancato da un Comitato scientifico indipendente e un Consiglio AI, per monitorare i modelli di intelligenza artificiale, sviluppare standard e garantire conformità. Inoltre, introduce sandbox regolamentari per consentire alle aziende, in particolare PMI, di testare sistemi IA innovativi in ambienti controllati.
Impatto dell’AI Act sulle aziende
L’AI Act ha implicazioni significative per le imprese, specialmente per quelle che sviluppano, implementano o utilizzano sistemi di intelligenza artificiale. Le aziende devono ripensare i propri processi, investire in conformità e cogliere le opportunità offerte dalla normativa.
Le imprese devono gestire sfide complesse con l’AI Act: condurre valutazioni d’impatto (FRIA) sui sistemi IA ad alto rischio, mappare l’intero ecosistema IA e garantire trasparenza e tracciabilità. I costi di compliance, tra investimenti tecnologici, formazione specialistica e supporto legale, rappresentano un peso significativo, soprattutto per le PMI. Le tempistiche sono stringenti: entro agosto 2026 le aziende devono completare le attività di assessment e implementare controlli conformi. La responsabilità è distribuita tra fornitori e deployer; chi utilizza API di provider come OpenAI, Google o Anthropic deve verificare la compliance del fornitore e integrare misure di mitigazione specifiche per il proprio contesto applicativo.
Nonostante le sfide, l’AI Act offre opportunità chiave: un vantaggio competitivo per chi si adegua rapidamente, grazie a trasparenza e affidabilità; spazi di innovazione responsabile tramite sandbox regolamentari; aumento della domanda di esperti in compliance IA e cybersecurity; e il rafforzamento del ruolo dell’UE come leader globale nella regolamentazione dell’IA, attrattiva per aziende internazionali.
AI ACT e cybersecurity: quale legame?
L’IA sta trasformando il panorama della cybersecurity, agendo sia come strumento per potenziare le difese sia come arma per attacchi sempre più sofisticati. L’AI Act integra la cybersecurity come requisito fondamentale per i sistemi ad alto rischio, richiedendo che siano progettati e sviluppati secondo il principio di security by design. Questo include:
- Valutazione del rischio cybersecurity: le aziende devono identificare e mitigare i rischi specifici dei componenti IA, documentando ogni misura.
- Robustezza e resilienza: i sistemi ad alto rischio devono resistere ad attacchi informatici, come tentativi di manipolazione dei dati di addestramento (data poisoning) o attacchi di tipo Adversarial Attack (tecniche di attacco utilizzate per alterare il comportamento di un modello di machine learning al fine di favorire un eventuale aggressore di un sistema di intelligenza artificiale).
- Monitoraggio continuo: le aziende devono implementare processi per rilevare anomalie e garantire la continuità operativa, anche dopo il rilascio del sistema.
L’AI Act si allinea con altre normative europee sulla cybersecurity, come la Direttiva NIS2 (in vigore dal 18 ottobre 2024) e il Cyber Resilience Act. La NIS2 rafforza la resilienza delle infrastrutture critiche in settori come sanità ed energia, mentre il Cyber Resilience Act impone ai produttori di dispositivi connessi di integrare misure di sicurezza sin dalla fase di progettazione.
Un esempio pratico è l’interazione con il GDPR. L’AI Act richiede che i sistemi IA rispettino la protezione dei dati personali, un aspetto critico per la cybersecurity. Le aziende devono garantire che i dati utilizzati per l’addestramento dei modelli IA siano trattati in modo sicuro e conforme, evitando violazioni che potrebbero comportare sanzioni sia dall’AI Act sia dal GDPR.
Strategie per affrontare le sfide e cogliere le opportunità
Per navigare il panorama normativo e sfruttare le opportunità offerte dall’AI Act e dalla cybersecurity, le aziende devono adottare un approccio proattivo e strategico.
Mappatura e valutazione dei sistemi IA
Le imprese devono:
- Identificare tutti i sistemi IA in uso e classificarli in base al livello di rischio (inaccettabile, alto, limitato, minimo).
- Condurre una valutazione d’impatto sui diritti fondamentali (FRIA) per i sistemi ad alto rischio, analizzando l’impatto su privacy, non discriminazione e altri diritti.
- Documentare ogni processo per dimostrare la conformità, come richiesto dall’articolo 9 dell’AI Act.
Investimenti in cybersecurity
Per soddisfare i requisiti dell’AI Act e proteggersi dalle minacce, le aziende devono:
- Adottare tecnologie avanzate, come sistemi di rilevamento delle intrusioni e crittografia.
- Implementare il principio di security by design, integrando misure di sicurezza sin dalla progettazione dei sistemi IA.
- Collaborare con esperti di cybersecurity per garantire la conformità e mitigare i rischi.
Formazione e consapevolezza
Dal febbraio 2025, l’alfabetizzazione digitale è diventata obbligatoria, richiedendo formazione specifica sui rischi informatici e le best practice di sicurezza. Le aziende devono organizzare corsi per sensibilizzare il personale sull’uso sicuro dell’IA e promuovere una cultura della cybersecurity, fondamentale per mitigare il rischio umano.
Nonostante il 75% dei CISO italiani identifichi ancora le persone come il principale rischio cyber, un approccio evoluto le considera il primo firewall aziendale.
Collaborazione pubblico-privato
La collaborazione pubblico-privato è cruciale per affrontare le sfide della cybersecurity. Governi, imprese e istituzioni devono unire le forze per identificare e mitigare i rischi sulle infrastrutture critiche e sviluppare standard condivisi, come la norma ISO/IEC 42001, che allinea la gestione dei dati IA ai requisiti dell’AI Act.
Il futuro: un equilibrio tra sicurezza e innovazione
Il 2025 segna un punto di svolta per la cybersecurity e l’IA in Europa. L’Italia, che rappresenta il 10% degli attacchi informatici globali nonostante contribuisca solo all’1,8% del PIL mondiale, è al centro di una “tempesta cibernetica” senza precedenti. L’AI Act, insieme a normative come NIS2 e il Cyber Resilience Act, offre un quadro per affrontare queste sfide, ma richiede un cambio di paradigma nella governance della cybersecurity.
Le aziende che sapranno trasformare gli obblighi normativi in opportunità strategiche potranno non solo garantire la conformità, ma anche rafforzare la propria resilienza e competitività. Investire in tecnologie sicure, formare il personale e collaborare con partner esperti sarà cruciale per navigare il nuovo panorama normativo e tecnologico.
Di Luca Bonora - CYBEROO Evangelist
