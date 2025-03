AI Act e Cyber Resilience ACT: impatti regolatori sulle strategie di cybersecurity. Intervento di Bianca de Teffè Erb, Data & AI Ethics Director, Deloitte a ‘CyberSEC2025 – AI, Crittografia Post-Quantum, Spionaggio e Geopolitica: il nuovo mondo della Cybersecurity’, la 4^ edizione della Conferenza internazionale promossa e organizzata dal nostro giornale, in corso il 5 e il 6 marzo a Roma presso i Saloni di Rappresentanza della Caserma Salvo D’Acquisto.

Regolamenti complementari

“Nel mio intervento parlerò dell’applicazione di due normative già in vigore dallo scorso anno, il Cyber Resilience Act e l’AI Act, regolamenti con obiettivi diversi ma complementari“. Apre così il suo intervento Bianca de Teffè Erb a CyberSEC2025.

AI Act: regolamentare l’uso etico dell’intelligenza artificiale

La manager illustra dunque azioni e finalità dei due provvedimenti europei iniziando dall’AI Act, che introduce una classificazione dei sistemi di intelligenza artificiale basata sul livello di rischio:

Sistemi proibiti : tecnologie che violano i diritti fondamentali o rappresentano un pericolo per la sicurezza pubblica.

: tecnologie che violano i diritti fondamentali o rappresentano un pericolo per la sicurezza pubblica. Alto rischio : sistemi utilizzati in ambiti critici come sanità, trasporti e forze dell’ordine.

: sistemi utilizzati in ambiti critici come sanità, trasporti e forze dell’ordine. Rischio limitato : IA che richiedono trasparenza e supervisione umana.

: IA che richiedono trasparenza e supervisione umana. Rischio minimo: applicazioni con impatti marginali sulla sicurezza e i diritti.

“L’obiettivo principale del regolamento – spiega Teffé Erb – è garantire l’uso sicuro ed etico dell’intelligenza artificiale, con un focus sulla trasparenza, valutazione del rischio e conformità normativa” .

Cyber Resilience Act: sicurezza per i prodotti digitalmente connessi

Il Cyber Resilience Act segna, invece, un passo decisivo per la protezione dei dispositivi IoT e dei sistemi connessi alla rete. Secondo quanto illustrato dal Direttore, questa legge nasce per contrastare le minacce informatiche che colpiscono hardware e software, con costi sempre più elevati: nel 2021, il cybercrimine ha causato danni per 5,5 trilioni di euro. Molti prodotti digitali presentano vulnerabilità strutturali, ricevono aggiornamenti di sicurezza irregolari e mancano di trasparenza sulle misure di protezione. Poiché il mercato digitale è globale, un singolo attacco informatico può propagarsi rapidamente, minacciando l’intero ecosistema europeo.

Sinergia tra AI Act e Cyber Resilience Act

“Ma qual è la sinergia tra i due regolamenti?” si chiede la Erb. Sebbene le due normative abbiano focus differenti, condividono principi chiave, tra cui il rafforzamento della sicurezza dei sistemi sviluppati in Europa. Inoltre, aggiunge “hanno requisiti comuni di cybersecurity, soprattutto per la protezione dei dati e delle infrastrutture critiche e richiedono maggiore trasparenza e valutazione del rischio, per garantire conformità e affidabilità” .

Le principali differenze riguardano, invece, il campo di applicazione:

L’ AI Act coinvolge tutti i soggetti che utilizzano o sviluppano sistemi di IA.

coinvolge tutti i soggetti che utilizzano o sviluppano sistemi di IA. Il Cyber Resilience Act riguarda produttori e distributori di prodotti digitali connessi.

Applicabilità alle aziende che operano nel settore della difesa

Quando si parla di applicabilità dei suddetti Regolamenti al settore della Difesa, insorgono però delle criticità. La manager descrive, in particolare, tre scenari:

Le normative non si applicano alla sicurezza nazionale qualora si parli unicamente di impiego militare. Al contrario, per un sistema a uso sia civile che militare, valgono le disposizioni europee. Anche se un sistema viene venduto a enti pubblici, le normative sono obbligatorie.

Strategie e raccomandazioni per l’adeguamento

Per affrontare queste nuove sfide normative, la manager di Deloitte raccomanda fortemente di concentrarsi su cinque macroprocessi chiave così elencabili:

Incident management, con protocolli di risposta alle minacce emergenti. Modelli di conformità, per allinearsi agli standard europei. Adeguamento dei controlli di sicurezza nei processi aziendali. Gestione delle terze parti, con verifica rigorosa dei fornitori. Testing e validazione, per garantire la robustezza delle tecnologie impiegate.

“Se da un lato queste normative pongono nuove sfide, dall’altro incentivano lo sviluppo di tecnologie sempre più avanzate, rispettose dei principi etici e della sicurezza. L’effetto Bruxelles, che eleva gli standard globali, richiede alle aziende di adeguare gli investimenti e innovare per mantenere la competitività” chiosa Teffé Erb sul palco della kermesse internazionale sulla cybersicurezza.