supersqualo
Privacy & Sicurezza

Cyber Resilience Act per prodotti che includono IA: cosa cambia

Vendi un prodotto digitale con componente IA in UE? Dal dicembre 2027 il Cyber Resilience Act ti obbliga a marcatura CE cyber, vulnerability management e SBOM. Spoiler: se non ti adegui, niente piu' mercato europeo.

Di Super Squalo·6 min lettura
Nota. Una cosa onesta: tengo aggiornate queste guide come posso, ma l'IA cambia talmente in fretta che alcuni dettagli potrebbero essere superati nel giro di pochi mesi. Se hai bisogno di sapere com'è la situazione adesso, scrivimi.

Lunedì mattina, riunione tecnica. Sei il responsabile tecnico di una software house italiana che vende un gestionale con assistente IA integrato. Vendi in tutta Europa, fatturi due milioni l'anno, dieci dipendenti. Il commerciale ti chiede a che punto sei col Cyber Resilience Act. Tu non sai cosa sia. Male. Hai poco più di un anno per metterti a posto, perché dall'11 dicembre 2027 senza una marcatura specifica non potrai più vendere il tuo software in Europa. Punto.

Ti spiego in fretta cosa cambia, senza il pacchetto da diecimila euro che ti vorrebbero vendere.

Il pasticcio in cui finisci se rinvii a domani

L'errore classico è pensare "ho ancora due anni, ci penso a fine 2026". Sbagliato. Distinta dei componenti software, gestione delle vulnerabilità, sicurezza in fase di progetto sono cose che non si improvvisano in tre settimane. Chi non parte adesso, a dicembre 2027 si ritrova fuori dal mercato europeo. Non è un'opinione, è la legge.

L'altro errore: pensare che riguardi solo i grandi. Riguarda tutti i prodotti digitali venduti in Europa, anche il piccolo software house di Bologna con cinque dipendenti.

Cosa NON puoi fare

Non puoi vendere in Europa software senza marcatura specifica dopo l'11 dicembre 2027. Senza, sei fuori. Anche se il tuo software è già installato da anni: gli aggiornamenti vanno marcati.

Non puoi ignorare la distinta dei componenti software. Devi avere la lista di tutto quello che gira dentro il tuo prodotto: modelli IA, dataset, librerie, licenze. In formato standard, aggiornata a ogni rilascio.

Non puoi dire "tanto noi non abbiamo mai avuto vulnerabilità". Non è una difesa: la legge vuole il processo documentato di gestione, non l'assenza di problemi.

Non puoi saltare la notifica degli incidenti. Se ti bucano, hai 24 ore per il primo allarme, 72 ore per i dettagli, 14 giorni per il rapporto finale. Alle autorità di sicurezza europea e italiana.

Non puoi smettere di fornire patch dopo due anni. La legge ti obbliga a cinque anni minimo di supporto sicurezza, gratis.

Cosa devi fare, in ordine

La legge divide i prodotti in tre fasce. La maggior parte (circa il 90%) è in fascia base: autovaluti tu la conformità, firmi una dichiarazione, sei a posto. Una parte minore (assistenti IA standalone, password manager, antimalware, browser) è in fascia "importante prima classe": audit semplificato. Una parte ancora più piccola (sistemi operativi, IoT industriali, IA biometrica) è in fascia "importante seconda classe": audit obbligatorio fatto da un ente esterno certificato.

Valutazione del rischio. Dove può attaccarti uno sguardo cattivo? Per l'IA: prompt iniettati, output dannosi, dati di addestramento avvelenati. Lo scrivi nero su bianco e dici come lo eviti.

Sicurezza in fase di progetto. Cifratura attiva di default, autenticazione forte, principio del minimo privilegio. Per l'IA: filtri all'ingresso e all'uscita, limiti di richieste, moderazione dei contenuti.

Distinta dei componenti. Lista in formato standard di tutto quello che c'è dentro il prodotto, aggiornata a ogni release. Esiste software gratuito che la genera automaticamente.

Gestione vulnerabilità. Processo scritto: chi le riceve (anche dall'esterno, da ricercatori), chi le valuta, in quanto tempo le risolvi. Pubblichi una pagina sul tuo sito dove chiunque può segnalare.

Documentazione tecnica. Cartella che esiste sul tuo server, accessibile in 24 ore se l'autorità chiede: valutazione del rischio, distinta componenti, rapporto del test di sicurezza annuale, registro incidenti, dichiarazione di conformità firmata, manuale utente con sezione sicurezza. La conservi 10 anni dopo l'ultima vendita.

Specificità per chi integra IA

Se il tuo prodotto integra modelli IA, hai obblighi in più. Documenti il modello: versione, fornitore, origine dei dati di addestramento. Test di sicurezza specifici: red teaming sui tentativi di aggirare il modello, robustezza contro input malevoli, controllo sui pregiudizi.

Monitoraggio in produzione: la qualità di un modello degrada nel tempo, è un rischio di sicurezza. La dipendenza da fornitori esterni (OpenAI, Anthropic) va contrattualizzata e resa sostituibile: se domani Anthropic chiude il servizio, tu non puoi morire con loro.

I paletti che non si toccano

Nomina un responsabile della sicurezza del prodotto, anche se è il tuo CTO che già fa altre dieci cose. Pianifica le release con questa legge in mente. Sanzione fino a 15 milioni di euro o il 2,5% del fatturato globale, più ritiro forzato dal mercato europeo. Per una software house media, una sanzione così significa chiusura.

Una nota personale

Sul gruppo Telegram di Super Squalo (t.me/Squalogruppo) ci sono CTO e responsabili tecnici che stanno già lavorando alla cosa. Si scambiano modelli di documenti, esperienze, strumenti. Si risponde gratis. Tradotto: prima di firmare il preventivo del consulente di turno per l'audit di sicurezza, fai un giro lì.

Hai un dubbio? Vieni a parlarne.

Gruppo Telegram aperto. Domande, opinioni, casi vissuti. Senza venditori e senza spam. Per consulenza personale o caso aziendale, usa il pulsante consulenza.

Entra nel gruppo TelegramRichiedi consulenza