Via Indipendenza
Mercoledì l'Italia si è data le regole sull'AI. Nessuno se n'è accorto
Il 10 giugno 2026, mentre le notizie erano dominate dalla maturità e dai Mondiali di calcio, il Consiglio dei Ministri ha approvato in esame preliminare i due decreti attuativi della legge italiana sull'intelligenza artificiale. Per la prima volta l'Italia si dota di un quadro normativo nazionale organico sull'AI — sanzioni, responsabilità, tutele per i lavoratori, regole per la polizia, un nuovo reato penale per chi omette misure di sicurezza sui sistemi AI ad alto rischio.
Non sono testi definitivi — passeranno dalle Commissioni parlamentari e dalla Conferenza delle Regioni — ma la direzione è chiara e la tempistica è stretta: l'AI Act europeo entra in piena applicazione il 2 agosto, tra 48 giorni. L'Italia arriva alla scadenza con una legge quadro e ora con i decreti attuativi. Pochissimi paesi europei possono dire lo stesso.
Nella stessa settimana, Apple ha annunciato che la nuova Siri AI — presentata come il salto generazionale più grande nella storia dell'assistente vocale — non arriverà in Europa. Il motivo ufficiale di Apple è il Digital Markets Act. Il motivo reale, secondo la Commissione Europea, è che Apple ha chiesto un'esenzione totale dalle regole invece di adattarsi. È lo stesso scontro in miniatura che attraversa tutta la settimana: le regole europee costano, ma esistono per una ragione.
Intanto gli attacchi ransomware all'Italia hanno superato quota 116 da inizio anno. Le regole si scrivono in Consiglio dei Ministri. La sicurezza si costruisce in azienda, una configurazione alla volta. Questa settimana, in cinque minuti, trovate tutto quello che serve.
🌍 Geopolitica digitale10 giugno: il Governo approva i decreti AI. Ecco cosa cambia concretamente per le imprese
Il Consiglio dei Ministri del 10 giugno ha approvato in esame preliminare due schemi di decreto legislativo attuativi della legge n. 132/2025 sull'intelligenza artificiale, costruendo il primo quadro normativo nazionale organico coordinato con l'AI Act europeo. I decreti non sono ancora definitivi — servirà il vaglio parlamentare e delle Authority competenti — ma il contenuto è già chiaro e merita attenzione.
Il primo decreto riguarda poteri delle autorità, vigilanza, sanzioni, formazione e lavoro. La governance è affidata ad AgID come autorità di notifica e all'ACN come autorità di vigilanza del mercato — il punto di contatto unico con l'UE. Per il comparto finanziario si affiancano Banca d'Italia, Consob e Ivass. Il decreto introduce tutele specifiche per i lavoratori: le decisioni su assunzioni e licenziamenti devono restare sotto controllo umano. L'AI può supportare, non decidere da sola su aspetti che riguardano il rapporto di lavoro. Introduce anche obblighi di formazione: l'AI entrerà nei curriculum dei licei e nella formazione professionale continua, con l'obiettivo dichiarato di "prevenire l'obsolescenza delle competenze".
Il secondo decreto disciplina l'uso dell'AI nelle attività di polizia e introduce un nuovo reato penale: chi omette le misure di sicurezza obbligatorie su sistemi AI ad alto rischio potrà essere perseguito penalmente. È la prima volta che in Italia la sicurezza informatica di un sistema AI diventa potenzialmente una questione di responsabilità penale, non solo civile.
Le tre implicazioni pratiche per le PMI — da valutare adesso:
1. Decisioni sul personale. Se usate AI per screening dei CV, valutazione delle performance o allocazione dei turni, il principio del "controllo umano obbligatorio" si applica già. Documentate chi prende la decisione finale e come viene esercitato il controllo.
2. Responsabilità penale sui sistemi ad alto rischio. Se la vostra azienda sviluppa o distribuisce sistemi AI classificati ad alto rischio (selezione del personale, scoring creditizio, sistemi di sicurezza), l'omissione delle misure di sicurezza non è più solo un problema di sanzione amministrativa.
3. La finestra temporale si sta chiudendo. Con i decreti in consultazione e l'AI Act applicabile dal 2 agosto, chi non ha ancora avviato la mappatura dei propri sistemi AI ha circa sei settimane. Non è troppo tardi per iniziare — ma bisogna iniziare.
Fonti: Governo.it, FiscoeTasse, Il Fatto Quotidiano, Diritto Bancario — 10-11 giugno 2026
☁️ Software e CloudSiri AI non arriva in Europa. Lo scontro Apple-UE spiega tutto quello che c'è da sapere sul DMA
All'8 giugno, durante la WWDC 2026, Craig Federighi ha annunciato che la nuova Siri — l'assistente vocale profondamente rinnovato con AI generativa, capace di capire il contesto personale dell'utente e agire trasversalmente tra app, messaggi, foto e servizi — non sarà disponibile nell'Unione Europea con iOS 27 e iPadOS 27. Nessuna data alternativa. Nessuna certezza. Apple ha aggiunto una multa da 500 milioni di euro già ricevuta dalla Commissione come elemento del contenzioso.
Il motivo dichiarato da Apple è il Digital Markets Act, che impone ai grandi gatekeeper tecnologici obblighi di interoperabilità: in pratica, altri assistenti virtuali dovrebbero poter accedere alle stesse funzioni di sistema di Siri — messaggi, file, foto, azioni sulle app. Apple sostiene che questo comprometterebbe la privacy degli utenti. La Commissione Europea risponde che Apple non ha nemmeno provato a trovare soluzioni compatibili, ma ha chiesto direttamente un'esenzione totale dal DMA.
Non è la prima volta: già nel 2024 Apple aveva bloccato Apple Intelligence in Europa con la stessa motivazione. Il pattern si ripete: ogni volta che una funzionalità AI richiede accesso profondo ai dati personali, Apple sceglie di non distribuirla in Europa piuttosto che adattarsi alle regole di interoperabilità.
La lettura strategica per le imprese: lo scontro Apple-UE non è solo una questione di assistenti vocali. È la definizione in tempo reale di chi controlla l'accesso ai dati personali nell'era dell'AI. Il DMA chiede che nessun gatekeeper abbia accesso esclusivo a quel layer. Apple — e non solo Apple — preferirebbe che quel layer rimanesse chiuso. Per le aziende che costruiscono prodotti o servizi che dipendono da ecosistemi proprietari, questo scontro decide quanto spazio di manovra avranno in futuro. La posta in gioco è strutturale, non commerciale.
Fonti: AI News, Agenda Digitale, Digiteee, Melamorsicata — 8-11 giugno 2026
🔒 Cybersecurity per chi decide116 attacchi ransomware all'Italia da inizio anno. La supply chain è la nuova porta d'ingresso
Il contatore degli attacchi ransomware contro target italiani aggiornato all'11 giugno segna 116 rivendicazioni dall'inizio del 2026. Nella settimana appena trascorsa sono comparsi nuovi nomi sui portali del dark web: aziende nei settori distribuzione, utility e manifatturiero, rivendicate dai gruppi SafePay, Nova e SpaceBears. Il manifatturiero e la distribuzione restano i settori più colpiti, ma il dato più significativo emerge dall'analisi dei pattern di attacco: la supply chain digitale è diventata il vettore preferito.
Cosa significa concretamente? L'attaccante non colpisce più l'azienda bersaglio direttamente. Compromette prima un fornitore di software, un partner logistico o un provider cloud di terzo livello — soggetti con misure di sicurezza più deboli — e attraverso di loro raggiunge il target finale. È lo stesso principio che ha reso famoso il caso SolarWinds nel 2020, ma oggi è diventato un metodo standard applicato anche a livello di PMI. Avere un firewall aggiornato e un buon backup non basta più se il vettore di attacco è un software che usate ogni giorno e che è già stato compromesso a monte.
Le domande da fare ai propri fornitori di software — adesso:
• Il vostro software viene aggiornato automaticamente o manualmente? Chi autorizza gli aggiornamenti nella vostra azienda?
• Il fornitore ha un programma di bug bounty o una politica di responsible disclosure per le vulnerabilità?
• In caso di violazione del fornitore, in quanto tempo verrebbe notificata alla vostra azienda?
• Il contratto con il fornitore include clausole sulla sicurezza della supply chain e sulla responsabilità in caso di breach?
Il report semestrale di SHM Studio evidenzia anche che l'identità è diventata il nuovo perimetro di sicurezza: la maggioranza degli attacchi del primo semestre 2026 inizia con credenziali compromesse, non con exploit tecnici sofisticati. La combinazione tra supply chain compromessa e credenziali rubate è la ricetta più efficace del cybercrime 2026.
Fonti: Cybersecurity360, SHM Studio, Ransomfeed — 9-11 giugno 2026
🔧 Open Source e ComposableLa Cina costruisce 295 miliardi di data center con chip Huawei, senza Nvidia. Cosa ci insegna
Da Pechino arriva la notizia di un piano quinquennale da 295 miliardi di dollari per costruire una rete nazionale di data center dedicati all'AI, con l'obiettivo di usare tecnologia cinese per almeno l'80% dell'infrastruttura — chip Ascend di Huawei, escludendo di fatto Nvidia. Non è solo una risposta alle sanzioni americane sull'export di chip. È una strategia deliberata di costruzione di un ecosistema tecnologico autonomo, con standard, chip, software e formati proprietari cinesi.
Il parallelismo con il Tech Sovereignty Package europeo della settimana scorsa è evidente — e significativo. Tre blocchi geopolitici, tre strategie diverse: gli USA puntano sulla velocità e la deregolamentazione dei campioni privati; la Cina costruisce un ecosistema statale autonomo; l'Europa cerca una via intermedia tra regolazione e costruzione. Per le aziende europee, questo significa che nei prossimi anni il mercato tecnologico sarà sempre più frammentato in ecosistemi incompatibili. Scegliere un fornitore significa scegliere un ecosistema — e un'esposizione geopolitica.
La lezione open source: in un mondo di ecosistemi chiusi e incompatibili, il software con standard aperti e formati documentati è l'unica protezione strutturale contro il lock-in geopolitico. Non è un'alternativa ideologica ai grandi fornitori: è una polizza assicurativa contro la frammentazione. Chi costruisce oggi su standard aperti — OpenDocument, WebDAV, S3-compatibile, OpenAPI — mantiene la capacità di muoversi tra ecosistemi. Chi costruisce su formati proprietari paga il costo ogni volta che cambia fornitore o che il fornitore cambia le condizioni.
Fonte: Avvenire di Calabria, AI News — 11 giugno 2026
🔬 Dal laboratorioIl software sta cambiando grammatica. Da codice a orchestrazione di agenti
All'evento Sequoia AI Ascent 2026, Andrej Karpathy — ex direttore dell'AI di Tesla, ex OpenAI, uno dei ricercatori più autorevoli nel campo — ha presentato una tesi che sta circolando rapidamente nelle comunità tecniche e che vale la pena sintetizzare per chi gestisce un'azienda: il software sta cambiando la propria grammatica economica.
Fino ad oggi, il software era essenzialmente codice: istruzioni precise che eseguono operazioni definite in modo deterministico. Il nuovo paradigma è diverso: il software diventa orchestrazione — un sistema che coordina agenti AI, gestisce contesto e verifica continuamente i risultati. Non si scrive più "fai esattamente questo"; si scrive "raggiungi questo obiettivo, verificando questi vincoli". Il comportamento emerge dall'interazione tra agenti, non dall'esecuzione di istruzioni predefinite.
Per chi non scrive codice, la traduzione pratica è questa: i prossimi strumenti aziendali non vi chiederanno di cliccare su menu e pulsanti. Vi chiederanno di descrivere un obiettivo e vi consegneranno il risultato. Il processo sarà opaco — non saprete esattamente quali passi ha seguito l'agente. Questo cambia radicalmente il modo in cui si audita, si controlla e si certifica un sistema AI. Ed è esattamente la ragione per cui i decreti attuativi italiani del 10 giugno impongono il controllo umano sulle decisioni critiche: non come limite burocratico, ma come risposta tecnica a un sistema che, per sua natura, non è più completamente trasparente.
Fonte: Rivista AI, Sequoia AI Ascent 2026 — 9-11 giugno 2026
🎯 Strumento della settimanaDependency-Track — Sapere cosa c'è dentro il software che usate, prima che lo scoprano gli attaccanti
Cos'è: Dependency-Track è una piattaforma open source per la gestione della Software Bill of Materials (SBOM) — in pratica, l'inventario di tutti i componenti, librerie e dipendenze che compongono il software che usate o che sviluppate. Analizza continuamente le componenti note, le confronta con i database pubblici delle vulnerabilità (NVD, OSV, VulnDB) e genera alert quando viene scoperta una vulnerabilità in un componente che avete in produzione.
Perché è rilevante questa settimana: con la supply chain digitale diventata il principale vettore di attacco, la domanda "cosa c'è dentro il software che usiamo?" è diventata una domanda di sicurezza, non solo tecnica. Dependency-Track risponde a questa domanda in modo automatico e continuo. I decreti attuativi italiani del 10 giugno impongono misure di sicurezza sui sistemi AI ad alto rischio — conoscere le dipendenze software è il primo passo per documentarle e per dimostrare compliance.
→ dependencytrack.org — open source, Apache 2.0, progetto OWASP. Si integra con i principali pipeline CI/CD (GitHub Actions, GitLab CI, Jenkins). Deployment via Docker in meno di un'ora.
Nota: particolarmente rilevante per chi sviluppa software internamente o gestisce applicazioni custom. Per chi usa solo software di terze parti, il primo passo è chiedere ai propri fornitori la SBOM dei prodotti che avete in produzione — un diritto che il Cyber Resilience Act europeo renderà obbligatorio a breve.
Via Indipendenza
La newsletter settimanale per chi guida un'azienda e vuole capire la tecnologia, non subirla.
Un progetto promosso da airpim srl