La sicurezza dell’AI è centro di dibattito in qualsiasi ambiente, da tanti punti di vista che generano più confusione che altro, così come lo fa la sovrapposizione di normative, documenti e regolamentazione. Alcuni esperti hanno però sottolineato la rilevanza di uno di questi documenti: il documento finale dello standard europeo ETSI EN 304 223 (V2.1.1), pubblicato a dicembre 2025 dal comitato tecnico “Securing Artificial Intelligence” (SAI). Stabilisce i requisiti fondamentali di cybersicurezza (baseline) per i modelli e i sistemi di intelligenza artificiale, inclusi i sistemi di AI generativa.
Il 304-223 fa riferimento a ben 25 documenti precedenti, redatti da aziende o organizzazioni, ed elabora un framework articolato su cinque argomenti, che enumerano 13 principi, per ciascuno dei quali sono elencati i documenti di riferimento (dalla lista dei 25) e presenta complessivamente 72 richieste (provisions) da seguire.
Le 5 fasi di SAI 304 223
Nell’AI ci sono minacce specifiche, diverse da quelle del software tradizionale, come il data poisoning (avvelenamento dei dati) o l’indirect prompt injection. Si rivolge a diversi attori della catena del valore:
sviluppatori, operatori, custodi dei dati, utenti finali e anche le affected entities. Quest’ultima categoria comprende sia umani non meglio specificati nella catena di produzione, sia software quali apps o sistemi autonomi (e quindi agenti) coinvolti nel processo.
Le 5 fasi cruciali, con il numero di principi tra parentesi, sono: progettazione (5), sviluppo (4), distribuzione (1), manutenzione (2) e fine del ciclo vita (1). Ad ogni categoria il documento aggiunge il termine “sicuro”, nel dubbio che non si fosse capita la specificità dell’approccio. La categoria con il maggior numero di provisions è la progettazione (design), che ne raccoglie ben 26.
Tra i 13 principi delineati figurano la resilienza ad attacchi avversari e input inaspettati, hash crittografici per le componenti dei modelli, la supervisione umana. Qui e là emerge il pensiero delle responsabilità nel caso un agente interroghi un altro agente, un punto che (a suo modo) lo scrittore di fantascienza Asimov risolse molto tardi con la legge zero – ma quelli erano romanzi. Di norme e prassi ci occupiamo spesso su queste pagine.
Guida anche per AI Act, NIS2 e le altre
Il documento contiene una sezione specifica di riferimenti informativi (Clause 2.2). Sono esplicitamente menzionati ISO/IEC 22989 e 27001, NIST AI RMF, OWASP AI Exchange (e non ASVS).
Non sono citate nel documento altre norme, in particolare NIS2, EN ISO/IEC 23894:2024, PNA, ISO/IEC 42001 e standard più generali come ISO 12207/15288). Molte di queste saranno comunque considerate nella pratica, se non altro per ovvi motivi cronologici: chi è conforme alle norme preesistenti partirà dal lavoro già fatto e cercherà un percorso di adeguamento.
I legami più rilevanti, espliciti o impliciti, sono quelli con AI Act e NIS2. Mentre l’AI Act è una norma di prodotto (regola l’oggetto “IA”), la NIS2 è una norma di processo (regola l’ente che usa l’informatica). La ETSI EN 304 223 funge da “ponte” tecnico: seguendo i suoi 13 principi e le sue 72 provisions con occhio attento, dovrebbe essere immediato estrarre la parte di compliance all’AI Act e i controlli richiesti dalla NIS2 per i sistemi intelligenti.
Se questa fosse la direzione, nella prassi la 304 223 diventerebbe via via il testo unico che riunisce le singole “leggi” del passato e anche le specifiche diventate de facto vere e proprie norme. Il framework sembra pensato per poter assorbire eventuali modifiche che il futuro ci richiederà.
Ministeri europei per AI e Tlc?
E’ quindi un tentativo di regolamentare l’innovazione nel software? Certamente: se questo filone è irregolamentabile ex ante, forse lo è ex post, se le attività interne e i tentativi di attacco vengono tracciati con attenzione e dettaglio. Questo potrebbe quindi diventare il testo unico, lato Ai (e forse per tutto il software), per una gestione europea dell’innovazione. Se adottata correttamente, potrebbe diventare il riferimento unico, come se esistesse un Ministero dell’Innovazione paneuropeo regolato da processi e non da apparati che prima o poi andranno eletti.
Questo punto è a mio avviso centrale per il futuro del Vecchio Continente. La storia dei singoli Paesi, spesso piccoli e poco abitati, quindi inadatti al mondo d’oggi, da un lato richiede coesione, dall’altro impedisce una federazione formale in Stati Uniti d’Europa. La coesione si può raggiungere con regole ben comprese che diventano comuni, e in quest’ottica potrebbero essere adottata anche da altre aree come Regno Unito, Norvegia, Canada e la stessa Groenlandia. Anche altre iniziative (Ipcei, Horizon) escono dai confini strettamente continentali.
Nel dettaglio dell’AI, il controllo della filiera richiesto sia dalla 304 223, sia dall’EU AI Act, si applica indipendentemente dall’ubicazione aziendale. I primi esperimenti con la privacy all’europea non andarono troppo bene (si pensi agli accordi bilaterali per gli apparati di videosorveglianza), ma certamente quella lezione è stata imparata.
L’esempio del Digital Network Act
Dal punto di vista della coesione europea, la 304 223 cerca di implementare i risultati che inizialmente si sperava di raggiungere con Enisa (European Network and Information Security Agency), che invece è rimasto a livello consultivo per l’opposizione di tutti a renderlo paneuropeo. Per diversi motivi storici, invece, il movimento è riuscito con l’energia, dove gli enti nazionali (per l’Italia Arera) devono fare ciò che Acer (Agency for the Cooperation of Energy Regulators) dice loro.
Il movimento generale dei regolatori europei verso i cosiddetti ministeri virtuali è abbastanza evidente anche nell’altra grande norma del momento, il Digital Network Act. Il DNA non è solo una norma sulle telecomunicazioni (compresi 6G e satelliti), ma la proposta di un nuovo assetto di potere.
L’obiettivo è trasformare il Berec (Body of European Regulators for Electronic Communications), che oggi è un semplice gruppo di regolatori, in una sorta di Ministero europeo delle TLC. Solo una gestione unitaria delle infrastrutture critiche e dell’innovazione permetterà all’Europa di non restare schiacciata tra le interpretazioni unilaterali di potere mostrate in questi anni da Russia, Cina e Stati Uniti.