La scorsa settimana, presentando il nuovo EU Action Plan on Cybersecurity and Artificial Intelligence, la vicepresidente della Commissione Henna Virkkunen ha chiarito che Bruxelles non intende introdurre nuove regole su AI e cybersecurity nel breve periodo. La priorità sarà accelerare l’attuazione delle normative già esistenti, in particolare AI Act, NIS2, Cyber Resilience Act e DORA. Con questo l’Europa lancia il messaggio che intende portare la cybersecurity alla velocità dell’intelligenza artificiale. L’ambizione è corretta, perfino necessaria. Il problema è che, prima di accelerare, qualcuno dovrebbe guardare il cruscotto. Questo perché, mentre veniva presentato un Action Plan fatto di modelli avanzati, cyber range e remediation assistita, Francia, Irlanda, Paesi Bassi e Spagna venivano deferite alla Corte di Giustizia per la mancata piena attuazione della Direttiva NIS2, che di cybersecurity si occupa.
I conti, evidentemente, non tornano. Da una parte si sostiene che l’Europa debba prepararsi ad attacchi più rapidi, frequenti e scalabili grazie all’intelligenza artificiale. Dall’altra, quattro Stati membri non hanno ancora completato il passaggio preliminare: rendere operativa una direttiva che dovrebbe costituire una delle fondamenta del sistema europeo di cybersecurity. È la fotografia della distanza tra la sofisticazione delle aspettative e la maturità reale di chi dovrebbe soddisfarle. L’Action Plan muove da un assunto ragionevole: il quadro normativo esiste già e ora bisogna applicarlo meglio e più velocemente. Tuttavia, sembra non avere fatto fino in fondo i conti con l’oste, cioè con lo stato dell’arte delle organizzazioni europee. Molte imprese sono ancora impegnate a capire se rientrano nella NIS2, quali responsabilità attribuire, come censire asset e fornitori, quali incidenti notificare e quali evidenze produrre. In parecchi casi il vulnerability management è ancora un foglio di calcolo, il piano di risposta agli incidenti un documento mai provato e la gestione delle patch una trattativa tra urgenze operative e finestre di manutenzione.
Chiedere alle stesse organizzazioni di integrare le minacce assistite dall’IA, valutare l’affidabilità dei modelli e ridurre i tempi di remediation è corretto nella direzione, ma ottimistico nel punto di partenza. È come montare un motore da Formula Uno su un’utilitaria che deve ancora passare la revisione. Resta da capire se ruote, freni e telaio siano in grado di reggerlo.
Il problema non è che l’Europa guardi troppo avanti, la questione è che lo fa senza avere ben presente la profondità del ritardo. Il deferimento dei quattro Paesi dimostra che l’enforcement non è soltanto una questione da scaricare sulle imprese. Prima di pretendere che le organizzazioni applichino le regole, l’Unione deve assicurarsi che gli Stati le abbiano recepite, tradotte in procedure e affidate ad autorità capaci di vigilare. Altrimenti si crea un paradosso: Bruxelles accelera, le amministrazioni nazionali rincorrono e le aziende cercano di capire quale strada sia davvero aperta. Nel frattempo, l’intelligenza artificiale riduce il tempo disponibile per reagire, ma la governance continua a muoversi con la velocità di una riunione convocata per decidere chi debba convocare la successiva. Un piano credibile dovrebbe distinguere livelli diversi di maturità. Le organizzazioni più avanzate possono sperimentare modelli di frontiera e remediation automatizzata. Le altre devono prima consolidare inventari, responsabilità, continuità operativa, gestione delle vulnerabilità e risposta agli incidenti. Trattarle come se partissero tutte dalla stessa linea significa produrre altra compliance formale: nuovi documenti, ma poca capacità reale. L’Europa ha ragione quando dice che non basta un’altra norma isolata. Tuttavia, nemmeno un piano d’azione basta, se chi deve eseguirlo non possiede ancora le fondamenta organizzative necessarie. Prima di costruire il piano superiore della cybersecurity europea, sarebbe prudente controllare se il piano terra è stato completato. L’intelligenza artificiale può scoprire una vulnerabilità in pochi secondi, ma se occorrono anni per recepire una direttiva e mesi per autorizzare una patch, non abbiamo accelerato la sicurezza: abbiamo soltanto reso più visibile il ritardo.
