L’intelligenza artificiale è entrata nella cybersicurezza dalla porta principale e da entrambe le direzioni. Può individuare vulnerabilità, analizzare milioni di segnali e aiutare a rispondere a un attacco prima che diventi una crisi. Ma gli stessi strumenti consentono a soggetti ostili di automatizzare truffe, trovare punti deboli e produrre campagne ingannevoli a costo ridotto. La Commissione europea ha presentato il 7 luglio un piano d’azione dedicato a questo doppio uso: coordinare Stati membri, imprese e organismi europei, rafforzare hardware e software, promuovere modelli affidabili e sostenere capacità proprie.
Il documento non annuncia una nuova legge. Secondo la Commissione, la priorità è rendere operativi gli strumenti già esistenti e affidare un ruolo importante all’Agenzia dell’Unione europea per la cybersicurezza, ENISA. Sono previsti esercizi, valutazioni, cooperazione, sostegno alla ricerca e una competizione europea per soluzioni di IA applicate alla sicurezza. Euronews e altre testate specializzate hanno però evidenziato il punto più scomodo: l’Europa continua a dipendere in misura rilevante da modelli avanzati e infrastrutture sviluppati fuori dal continente.
È bene che Bruxelles riconosca il problema. Sarebbe però un errore scambiare un piano per una capacità già acquisita. Nella sicurezza digitale la distanza tra l’annuncio e l’attuazione è lo spazio in cui avvengono gli incidenti.
Una minaccia che riguarda la vita ordinaria
La parola cybersicurezza fa pensare a specialisti chiusi in una sala operativa. In realtà riguarda ospedali, comuni, scuole, fabbriche e famiglie. Un attacco a un fornitore sanitario può bloccare prenotazioni e diagnosi; un ransomware in una piccola impresa può cancellare ordini e salari; una truffa costruita con voce sintetica può colpire un anziano convincendolo che un figlio sia in pericolo. Proteggere reti e dati significa proteggere relazioni, lavoro e servizi essenziali.
L’IA aumenta velocità e scala. Un aggressore può adattare messaggi a migliaia di persone, imitare stili linguistici, cercare automaticamente errori nel software. Dall’altra parte, i difensori possono correlare segnali che un essere umano non riuscirebbe a leggere in tempo. Non è una guerra tra macchina buona e macchina cattiva: sono persone e organizzazioni che usano strumenti potenti con fini diversi. Per questo la responsabilità umana non diventa meno importante; diventa decisiva.
Regole senza capacità non bastano
L’Unione europea possiede un quadro normativo articolato: AI Act, NIS2, Cyber Resilience Act, protezione dei dati e regole sui prodotti digitali. La densità delle norme può essere un vantaggio se crea fiducia e standard comuni. Diventa un limite se piccole imprese e amministrazioni ricevono soltanto nuovi obblighi, moduli e sanzioni senza competenze per applicarli.
Il piano sarà credibile se tradurrà i principi in strumenti accessibili: linee guida chiare, centri di risposta che aiutino davvero i territori, ambienti di prova, acquisti comuni, formazione per dirigenti e tecnici. Una piccola azienda non può mantenere la stessa struttura di sicurezza di una banca globale, ma non per questo deve essere lasciata indifesa. Servizi condivisi, associazioni di categoria, camere di commercio, università e fornitori locali possono creare una rete sussidiaria di protezione.
Anche la pubblica amministrazione deve smettere di considerare la sicurezza un accessorio del progetto digitale. Prima di acquistare un sistema occorre sapere chi aggiornerà il software, dove saranno trattati i dati, come si reagirà a un incidente e quale alternativa resterà disponibile se il servizio si ferma. La resilienza non consiste nel promettere che nulla accadrà, ma nel prepararsi a continuare le funzioni essenziali quando qualcosa accade.
Sovranità non significa isolamento
La dipendenza da tecnologie straniere non si risolve chiudendo il mercato o pretendendo di costruire in Europa ogni componente. Sovranità significa poter scegliere, controllare e sostituire ciò da cui dipendiamo. Significa evitare che un singolo fornitore, una decisione politica esterna o una clausola opaca possa interrompere una funzione strategica. È autonomia di giudizio prima ancora che autarchia industriale.
L’Europa deve investire in calcolo, ricerca, semiconduttori, software aperto e imprese capaci di crescere. Ma deve anche mantenere cooperazione con partner affidabili, perché le minacce attraversano i confini in pochi secondi. Diversificare e costruire capacità proprie rende le alleanze più solide: chi possiede competenze può collaborare da pari, non soltanto chiedere accesso.
Le risorse pubbliche richiedono disciplina. Non ogni progetto che aggiunge l’etichetta “IA” è innovativo, né ogni campione europeo merita protezione permanente. Bandi e investimenti devono avere obiettivi misurabili: vulnerabilità scoperte, tempi di risposta ridotti, personale formato, prodotti adottabili. La politica industriale è utile quando crea un ecosistema; diventa dannosa quando seleziona rendite.
La persona resta nel circuito
Un sistema automatico può classificare un’attività come sospetta, ma la decisione di bloccare un servizio sanitario o segnalare un cittadino ha conseguenze umane. Occorrono responsabilità identificabili, registri delle decisioni, possibilità di contestazione e verifiche indipendenti. “Lo ha deciso l’algoritmo” non è una risposta accettabile in una democrazia.
Allo stesso modo, non possiamo affidare alla tecnologia il compito di correggere comportamenti irresponsabili. Password riutilizzate, aggiornamenti rinviati, accessi concessi senza controllo e personale non formato restano vie d’ingresso comuni. La cultura della sicurezza nasce da gesti ordinari, ripetuti e comprensibili. Dirigenti e amministratori devono dare l’esempio: se la protezione viene percepita come un’imposizione dell’ufficio tecnico, sarà sempre aggirata.
La formazione deve raggiungere anche i cittadini. Riconoscere una richiesta anomala, verificare con un secondo canale, non cedere all’urgenza artificiale sono nuove forme di prudenza civile. Famiglie, scuole e associazioni possono fare molto, purché le istituzioni offrano materiali chiari invece di campagne allarmistiche.
Dalla dichiarazione alla verifica
Il piano europeo va nella direzione giusta perché riconosce che IA e cybersicurezza non possono essere governate separatamente. Ora servono scadenze, responsabilità e indicatori pubblici. Quanti enti locali ricevono assistenza? Quante PMI adottano strumenti verificati? Quanto tempo passa tra la scoperta di una vulnerabilità e la correzione? Quanto aumenta la capacità europea senza moltiplicare duplicazioni?
La libertà digitale non nasce dall’assenza di regole né dalla sorveglianza totale. Nasce da infrastrutture affidabili, istituzioni responsabili, imprese innovative e cittadini consapevoli. L’Europa può offrire un modello in cui la tecnologia serve la persona e non la trasforma in materia prima. Ma per farlo deve aggiungere alla propria forza normativa la capacità di costruire, proteggere e reagire. Il piano del 7 luglio è un inizio; la misura del suo valore sarà ciò che funzionerà quando arriverà il prossimo attacco.