Via Indipendenza #016 — 6 luglio 2026

Via Indipendenza

Cybersecurity · Geopolitica · Software · Open Source
#016 — Lunedì 6 luglio 2026
Editoriale della settimana

27 giorni. Poi il 2 agosto diventa realtà

Lunedì scorso, proprio mentre chiudevamo la #015, il Consiglio dell'Unione Europea approvava in via definitiva il Digital Omnibus sull'AI. Il 29 giugno 2026 segna la fine della procedura legislativa: il testo è adottato, manca solo la pubblicazione in Gazzetta Ufficiale — prevista nei prossimi giorni — e tre giorni dopo entra in vigore. La corsa agli aggiustamenti dell'ultimo minuto è finita. Il calendario è quello che è.

Dal 2 agosto — tra 27 giorni — gli obblighi di trasparenza dell'AI Act diventano esigibili in tutta Europa. Non quelli per i sistemi ad alto rischio, rinviati al 2027 e 2028 — ma quelli che toccano chiunque usi AI a contatto con clienti, dipendenti o pubblico. Chatbot, assistenti virtuali, strumenti generativi per il marketing, sistemi di supporto alla selezione del personale: se li usate, qualcuno deve poter sapere che dall'altra parte c'è una macchina.

Nella stessa settimana: Anthropic ha lanciato Claude Sonnet 5 — il 30 giugno, giorno stesso in cui scadeva la NIS2. I sistemi PLM manifatturieri sono nel mirino di una nuova campagna di attacchi: l'ACN ha segnalato lo sfruttamento attivo di una vulnerabilità critica in PTC Windchill, software usato da migliaia di aziende italiane del settore produttivo. E sul fronte della geopolitica digitale, l'accordo commerciale USA-UE con scadenza 4 luglio è entrato in vigore — non senza segnali di tensione residua.

Un numero interamente orientato alla concretezza: cosa fare, entro quando, perché. In cinque minuti.

☁️ Software e Cloud

2 agosto: gli obblighi che scattano davvero, e quelli che non scattano. Guida senza allarmismo

Il 29 giugno il Consiglio UE ha adottato definitivamente il Digital Omnibus sull'AI. Il testo — identico a quello approvato dal Parlamento il 16 giugno — sarà pubblicato in Gazzetta Ufficiale dell'UE nei prossimi giorni e entrerà in vigore tre giorni dopo. Questo chiude ogni margine di incertezza: il calendario è definitivo. Ecco cosa cambia davvero il 2 agosto, senza la nebbia da comunicati stampa.

Cosa scatta il 2 agosto — per la maggioranza delle PMI: gli obblighi di trasparenza dell'articolo 50 dell'AI Act diventano esigibili. In pratica: chi usa un chatbot o un assistente virtuale a contatto con clienti o utenti deve rendere riconoscibile che dall'altra parte c'è un sistema AI, a meno che non sia "ovviamente" evidente. Chi produce e distribuisce contenuti sintetici — testi, immagini, audio, video generati da AI — deve garantire che possano essere riconosciuti come tali. Entra in applicazione il regime sanzionatorio: da questo momento, un'ispezione, un contenzioso con un dipendente o un reclamo di un cliente possono chiedere le prove della vostra diligenza. L'ACN italiana, operativa come autorità di vigilanza dal 3 agosto, avrà la facoltà di accertare violazioni e applicare sanzioni fino a 15 milioni di euro o il 3% del fatturato mondiale.

Cosa non scatta il 2 agosto — grazie al Digital Omnibus: gli obblighi per i sistemi AI ad alto rischio dell'Allegato III (selezione del personale, scoring creditizio, biometria, infrastrutture critiche, istruzione, giustizia) slittano al 2 dicembre 2027. Il watermarking obbligatorio sui contenuti AI-generated (marcatura machine-readable) scatta invece al 2 dicembre 2026 — con un mese in più di quanto previsto in origine. Il divieto delle app nudifier entra in vigore il 2 dicembre 2026.

Cosa fare nelle prossime 4 settimane — priorità in ordine:

1. Verificare ogni punto di contatto AI con l'esterno. Avete un chatbot sul sito? Un assistente in WhatsApp Business? Un sistema di risposta automatica alle email? Se l'utente non sa che sta parlando con un'AI, dal 2 agosto siete fuori compliance. La correzione tecnica è spesso banale — una riga di testo o un'etichetta — ma va fatta e documentata.

2. Fare il registro AI. Un documento semplice — anche un foglio Excel — con tutti i sistemi AI in uso, chi ne è responsabile, come vengono usati, quali dati trattano. Non serve essere esaustivi al 100%: serve avere un documento che dimostri che ci avete pensato. In caso di ispezione, l'assenza totale di documentazione è il segnale peggiore che possiate dare.

3. Una sessione di formazione documentata. L'obbligo di AI literacy è già in vigore da febbraio 2025. Bastano 90 minuti con il team che usa strumenti AI, con una slide di registrazione delle presenze. Non serve un corso certificato: serve dimostrare che le persone sanno cosa stanno usando e con quali limiti.

4. Controllare i contratti con i fornitori AI. Il Data Processing Agreement (DPA) con chi fornisce i vostri strumenti AI — OpenAI, Microsoft, Google, altri — deve essere firmato e in linea con il GDPR. Se usate account personali dei dipendenti, questo non esiste. È il passaggio più spesso dimenticato e uno dei primi che le autorità verificheranno.

Fonti: NicFab, Federprivacy, Diritto Bancario, UniverseIT, Attrahere — 29 giugno-4 luglio 2026

🔒 Cybersecurity per chi decide

Manifatturiero nel mirino: vulnerabilità critica in PTC Windchill sfruttata attivamente. Aggiornare subito

L'ACN ha pubblicato questa settimana un bollettino di allerta su una vulnerabilità identificata come CVE-2026-12569 e già sfruttata attivamente in rete: si trova in PTC Windchill PDMLink e PTC FlexPLM, le principali piattaforme di Product Lifecycle Management usate da migliaia di aziende manifatturiere italiane per gestire distinte base, disegni tecnici, flussi di approvazione e documentazione di prodotto. La vulnerabilità è di tipo Remote Code Execution: un attaccante remoto, senza bisogno di credenziali, può eseguire codice arbitrario sul server che ospita il sistema.

PTC ha già rilasciato la patch. Il problema è il tempo tra la disponibilità della correzione e la sua applicazione effettiva nelle aziende: nei sistemi PLM manifatturieri, gli aggiornamenti richiedono validazione estesa (perché toccano la gestione dei dati di prodotto), finestre di manutenzione pianificate (spesso mensili o trimestrali) e spesso coinvolgono fornitori di servizi gestiti. Nel frattempo, la vulnerabilità rimane esposta.

Il pattern è identico a quello che abbiamo descritto settimane fa per i sistemi OT nel manifatturiero: la complessità operativa dell'aggiornamento crea una finestra di rischio strutturale. La novità è che ora il bersaglio si è spostato dai sistemi di controllo industriale ai sistemi di gestione del ciclo di vita del prodotto — che contengono proprietà intellettuale, segreti industriali, specifiche tecniche e contratti con clienti.

Azioni immediate se usate PTC Windchill:

• Verificare subito con il fornitore o il team IT la versione installata e lo stato delle patch disponibili.

• Se l'aggiornamento non è applicabile nell'immediato: isolare l'interfaccia web di Windchill dalla rete pubblica (non deve essere raggiungibile direttamente da Internet) e abilitare l'accesso solo via VPN con MFA.

• Verificare nei log di accesso eventuali connessioni anomale nelle ultime settimane, in particolare da IP non riconosciuti verso le porte dell'applicazione Windchill.

Fonte: ACN/CSIRT Italia — giugno/luglio 2026

🌍 Geopolitica digitale

L'accordo USA-UE del 4 luglio è entrato in vigore. Ma le tensioni sul digitale restano aperte

L'accordo commerciale di Turnberry ha superato la scadenza del 4 luglio — l'ultimatum di Trump per l'entrata in vigore — e i dazi sull'export europeo verso gli USA restano al 15% per la maggior parte delle merci, con l'eccezione di acciaio e alluminio ancora soggetti a tariffe più alte. L'Europa ha mantenuto la linea: nessuna rinegoziazione delle normative digitali come condizione dell'accordo commerciale.

Tuttavia, le dichiarazioni di Washington della settimana scorsa — dazi al 100% contro chi tassa le Big Tech — non rientrano nell'accordo, perché riguardano decisioni future e non le tariffe già concordate. Il tavolo è quello del digitale, e lì la partita rimane completamente aperta. La Commissione Europea ha risposto ribadendo la propria posizione: le normative europee sulle piattaforme digitali sono esercizio di sovranità regolamentare, non barriere commerciali. Washington la vede diversamente. E come abbiamo visto il 12 giugno con il caso Anthropic, le conseguenze operative di questa divergenza possono arrivare senza preavviso.

Il segnale da tenere d'occhio: nell'accordo commerciale USA-UE è prevista una clausola di revisione annuale. La prima revisione sarà nel luglio 2027. Da qui a lì, ogni norma europea che tocchi le piattaforme americane — dal DMA alle regole fiscali digitali — potrà essere usata come argomento negoziale. Per le aziende italiane che dipendono da fornitori tecnologici americani, questo è il contesto in cui si prendono le decisioni sui contratti pluriennali: non solo il prezzo di oggi, ma la stabilità del fornitore domani.

Fonti: Ekonomia.it, Commissione Europea — 4-5 luglio 2026

🔧 Open Source e Composable

Claude Sonnet 5, Kimi K2.6, GLM-5.2: il mercato dei modelli AI ha accelerato ancora. Come orientarsi

Il 30 giugno — giorno stesso della scadenza NIS2 — Anthropic ha rilasciato Claude Sonnet 5 a 2 dollari per milione di token in input, dichiarando prestazioni comparabili ad Opus 4.8 su molti benchmark. OpenAI ha rinviato il rilascio pubblico di GPT-5.6 su richiesta del governo americano, concedendo accesso anticipato solo a un gruppo ristretto di partner verificati. Sul fronte open source, Kimi K2.6 di Moonshot AI guida la classifica del ragionamento tra i modelli a pesi aperti (58.1 punti contro 65.7 di Claude Opus 4.8 proprietario), con GLM-5.2 di Z.ai in testa per i task di coding.

La biforcazione tra modelli proprietari e open source si è assestata su un punto di equilibrio significativo: per la stragrande maggioranza dei casi d'uso aziendali — sintesi documentale, supporto alla redazione, classificazione, estrazione di informazioni, automazione di workflow — i migliori modelli open source del 2026 offrono prestazioni adeguate. Il divario persiste sui task di ragionamento multi-step complesso e sul contesto lungo sopra i 200.000 token. Per tutto il resto, la scelta tra proprietario e open non è più una scelta di qualità: è una scelta di governance, privacy e indipendenza.

La lettura che conta per chi decide: la scelta del modello AI non è più una scelta tecnica da delegare all'IT. È una scelta strategica che determina: chi ha accesso ai vostri dati, sotto quale giurisdizione, con quale possibilità di interruzione improvvisa (caso Anthropic del 12 giugno), e con quale percorso di compliance verso l'AI Act di agosto. I modelli open source auto-ospitati non richiedono un DPA con nessun fornitore estero, perché i dati non escono dalla vostra rete. Per chi tratta dati sensibili di clienti o informazioni strategiche, questo vale molto di più del delta prestazionale.

Fonti: TECHSY, PUNKU.AI, AIPIA, Alessio Pomaro — giugno/luglio 2026

🔬 Dal laboratorio

Solo il 35% delle aziende europee si sente pronto per il 2 agosto. E il 50% non ha ancora un inventario dei propri sistemi AI

Un'indagine Deloitte su 500 manager europei, pubblicata questa settimana, fornisce il quadro più nitido disponibile sulla readiness delle imprese europee all'AI Act: solo il 35,7% si sente adeguatamente preparato per la compliance del 2 agosto. Il 19,4% si dichiara scarsamente preparato. E il dato più significativo è quello strutturale: oltre il 50% delle organizzazioni non ha ancora un inventario completo dei propri sistemi AI in uso.

Il problema non è tecnico. È organizzativo. Nelle PMI, l'adozione di strumenti AI è avvenuta spesso in modo frammentato: un dipendente che usa ChatGPT per scrivere email, un altro che usa Copilot per analizzare fogli Excel, un terzo che ha integrato un chatbot sul sito aziendale. Nessuno di questi passaggi è stato autorizzato formalmente, documentato o valutato rispetto ai requisiti del GDPR o dell'AI Act. Il management spesso non sa nemmeno quanti strumenti AI siano in uso nella propria azienda.

La buona notizia è che il passaggio da "zero documentazione" a "compliance minima dimostrabile" non richiede mesi. Richiede un pomeriggio di mappatura, qualche ora di redazione di una policy interna e una sessione di formazione. La cattiva notizia è che quei quattro passaggi, se non vengono fatti nelle prossime quattro settimane, diventano un problema legale il 2 agosto.

Fonti: Deloitte/TrueScreen, AI4Business — luglio 2026

🎯 Strumento della settimana

AI Policy Generator — Il modello di policy AI aziendale in 20 minuti, gratuito

Cos'è: Una serie di template e strumenti gratuiti sviluppati da organizzazioni come AIPIA, Future of Privacy Forum e alcune law firm specializzate, pensati per aiutare le PMI a redigere in tempi rapidi: una AI Policy interna (chi può usare cosa, con quali dati, con quale supervisione), un AI Register di base (inventario dei sistemi in uso), e una disclosure per i clienti (informativa sull'uso di AI nelle interazioni con l'azienda). Nessuno di questi strumenti è un sostituto della consulenza legale — ma tutti permettono di passare da zero documentazione a una base di compliance documentata in meno di mezza giornata.

Perché è rilevante questa settimana: con 27 giorni al 2 agosto e il 50% delle aziende europee ancora senza inventario AI, il collo di bottiglia non è la tecnologia ma la governance. Avere un documento — anche imperfetto — che dimostri che l'azienda ha pensato a come usa l'AI è infinitamente meglio che non avere nulla. E la maggior parte delle violazioni sanzionabili nei primi mesi di applicazione riguarderà le aziende completamente sprovviste di documentazione, non quelle che hanno un sistema parzialmente imperfetto.

aipia.it/risorse/ai-policy-template — template gratuito di AI Policy aziendale in italiano, con guida alla compilazione. Include sezioni su AI literacy, supervisione umana, gestione dei dati e procedure di incidente.

aipolicy.it — AI Act Checker interattivo: risponde a 15 domande e genera un report sul livello di rischio dei sistemi in uso e sugli obblighi applicabili.

digital-strategy.ec.europa.eu — strumenti ufficiali dell'AI Office della Commissione Europea, inclusa la guida ai sandbox regolamentari nazionali per chi vuole testare sistemi AI in ambiente controllato prima del 2 agosto.

Via Indipendenza

La newsletter settimanale per chi guida un'azienda e vuole capire la tecnologia, non subirla.

Un progetto promosso da airpim srl

viaindipendenza.com

Keep Reading