L’AI Act rappresenta una pietra miliare nella regolamentazione dell’intelligenza artificiale, con un impatto profondo sulle aziende e sulla cybersecurity. Le sfide normative, come la complessità e i costi di conformità, sono bilanciate da opportunità di innovazione responsabile, vantaggio competitivo e creazione di nuovi mercati.
L’Unione Europea ha intrapreso un percorso ambizioso regolando l’IA con l’AI Act, il primo quadro normativo globale sull’IA, entrato in vigore il 2 febbraio 2025 e con piena applicazione prevista entro agosto 2026, garantendo un uso sicuro, etico e responsabile e bilanciando innovazione e protezione dei diritti fondamentali.
L’intersezione tra AI Act e cybersecurity apre nuove prospettive per le aziende, chiamate a navigare tra obblighi normativi, rischi crescenti e opportunità di business. Adottando un approccio proattivo, le aziende possono trasformare le nuove normative in un volano per la crescita, garantendo un futuro digitale sicuro e affidabile. Questo articolo esplora il quadro generale dell’AI Act, il suo impatto sulle imprese e il legame con la cybersecurity, con un focus su temi normativi e sulle strategie di compliance.
L’AI Act (Regolamento UE 2024/1689) è stato concepito per regolamentare lo sviluppo, l’immissione sul mercato e l’uso dei sistemi di intelligenza artificiale in Europa. Approvato il 21 maggio 2024 e pubblicato il 12 luglio 2024, il regolamento si basa su un approccio basato sul rischio, classificando i sistemi IA in quattro categorie: rischio inaccettabile, alto rischio, rischio limitato e rischio minimo.
L’AI Act si propone di:
I sistemi a rischio inaccettabile (es. social scoring o riconoscimento biometrico non autorizzato) sono vietati. I sistemi ad alto rischio, utilizzati in settori come sanità, trasporti, giustizia o sicurezza, devono rispettare requisiti rigorosi, tra cui valutazioni d’impatto sui diritti fondamentali (FRIA), trasparenza, accuratezza e robustezza. I sistemi a rischio limitato (es. chatbot) richiedono obblighi di trasparenza, mentre quelli a rischio minimo sono soggetti a regolamentazioni leggere.
L’implementazione dell’AI Act è graduale:
Le sanzioni per violazioni sono severe: fino a 35 milioni di euro o il 7% del fatturato globale annuo per i casi più gravi, come l’uso di sistemi vietati, e fino a 15 milioni di euro o il 3% del fatturato per violazioni minori, come la mancata notifica di un sistema IA.
L’AI Act istituisce un Ufficio Europeo per l’IA presso la Commissione Europea, affiancato da un Comitato scientifico indipendente e un Consiglio AI, per monitorare i modelli di intelligenza artificiale, sviluppare standard e garantire conformità. Inoltre, introduce sandbox regolamentari per consentire alle aziende, in particolare PMI, di testare sistemi IA innovativi in ambienti controllati.
L’AI Act ha implicazioni significative per le imprese, specialmente per quelle che sviluppano, implementano o utilizzano sistemi di intelligenza artificiale. Le aziende devono ripensare i propri processi, investire in conformità e cogliere le opportunità offerte dalla normativa.
Le imprese devono gestire sfide complesse con l’AI Act: condurre valutazioni d’impatto (FRIA) sui sistemi IA ad alto rischio, mappare l’intero ecosistema IA e garantire trasparenza e tracciabilità. I costi di compliance, tra investimenti tecnologici, formazione specialistica e supporto legale, rappresentano un peso significativo, soprattutto per le PMI. Le tempistiche sono stringenti: entro agosto 2026 le aziende devono completare le attività di assessment e implementare controlli conformi. La responsabilità è distribuita tra fornitori e deployer; chi utilizza API di provider come OpenAI, Google o Anthropic deve verificare la compliance del fornitore e integrare misure di mitigazione specifiche per il proprio contesto applicativo.
Nonostante le sfide, l’AI Act offre opportunità chiave: un vantaggio competitivo per chi si adegua rapidamente, grazie a trasparenza e affidabilità; spazi di innovazione responsabile tramite sandbox regolamentari; aumento della domanda di esperti in compliance IA e cybersecurity; e il rafforzamento del ruolo dell’UE come leader globale nella regolamentazione dell’IA, attrattiva per aziende internazionali.
L’IA sta trasformando il panorama della cybersecurity, agendo sia come strumento per potenziare le difese sia come arma per attacchi sempre più sofisticati. L’AI Act integra la cybersecurity come requisito fondamentale per i sistemi ad alto rischio, richiedendo che siano progettati e sviluppati secondo il principio di security by design. Questo include:
L’AI Act si allinea con altre normative europee sulla cybersecurity, come la Direttiva NIS2 (in vigore dal 18 ottobre 2024) e il Cyber Resilience Act. La NIS2 rafforza la resilienza delle infrastrutture critiche in settori come sanità ed energia, mentre il Cyber Resilience Act impone ai produttori di dispositivi connessi di integrare misure di sicurezza sin dalla fase di progettazione.
Un esempio pratico è l’interazione con il GDPR. L’AI Act richiede che i sistemi IA rispettino la protezione dei dati personali, un aspetto critico per la cybersecurity. Le aziende devono garantire che i dati utilizzati per l’addestramento dei modelli IA siano trattati in modo sicuro e conforme, evitando violazioni che potrebbero comportare sanzioni sia dall’AI Act sia dal GDPR.
Per navigare il panorama normativo e sfruttare le opportunità offerte dall’AI Act e dalla cybersecurity, le aziende devono adottare un approccio proattivo e strategico.
Le imprese devono:
Per soddisfare i requisiti dell’AI Act e proteggersi dalle minacce, le aziende devono:
Dal febbraio 2025, l’alfabetizzazione digitale è diventata obbligatoria, richiedendo formazione specifica sui rischi informatici e le best practice di sicurezza. Le aziende devono organizzare corsi per sensibilizzare il personale sull’uso sicuro dell’IA e promuovere una cultura della cybersecurity, fondamentale per mitigare il rischio umano.
Nonostante il 75% dei CISO italiani identifichi ancora le persone come il principale rischio cyber, un approccio evoluto le considera il primo firewall aziendale.
La collaborazione pubblico-privato è cruciale per affrontare le sfide della cybersecurity. Governi, imprese e istituzioni devono unire le forze per identificare e mitigare i rischi sulle infrastrutture critiche e sviluppare standard condivisi, come la norma ISO/IEC 42001, che allinea la gestione dei dati IA ai requisiti dell’AI Act.
Il 2025 segna un punto di svolta per la cybersecurity e l’IA in Europa. L’Italia, che rappresenta il 10% degli attacchi informatici globali nonostante contribuisca solo all’1,8% del PIL mondiale, è al centro di una “tempesta cibernetica” senza precedenti. L’AI Act, insieme a normative come NIS2 e il Cyber Resilience Act, offre un quadro per affrontare queste sfide, ma richiede un cambio di paradigma nella governance della cybersecurity.
Le aziende che sapranno trasformare gli obblighi normativi in opportunità strategiche potranno non solo garantire la conformità, ma anche rafforzare la propria resilienza e competitività. Investire in tecnologie sicure, formare il personale e collaborare con partner esperti sarà cruciale per navigare il nuovo panorama normativo e tecnologico.
Di Luca Bonora - CYBEROO Evangelist