Negli anni a venire i costruttori di macchine industriali si troveranno a gestire una sovrapposizione normativa senza precedenti: il Regolamento Macchine (UE) 2026/1230, il Cyber Resilience Act (UE) 2026/2847 e l’AI Act (UE) 2026/1689 applicheranno regole diverse alla stessa macchina. Il fatto che le date di entrata in vigore siano scaglionate — con il Regolamento Macchine operativo da gennaio 2027, il CRA previsto per dicembre 2027 e l’AI Act entrante a fasi tra agosto 2026 e 2027 — complica la pianificazione per le imprese.
Occorre però andare oltre l’etichetta “complessità”: la questione cruciale è che questi testi normativi si intersecano su medesime componenti tecnologiche senza, allo stato, una traduzione tecnica unitaria. Senza norme armonizzate consolidate, i costruttori devono disegnare processi di valutazione che riconoscano rischi fisici, vulnerabilità informatiche e impatti connessi all’intelligenza artificiale.
Tre logiche, tre priorità
Il primo fronte è la tutela fisica: il Regolamento Macchine mantiene al centro la safety, ovvero la protezione dell’operatore dai pericoli meccanici e fisici, ma include già specifiche di cybersicurezza nei punti chiave dell’allegato III (articoli 1.1.9 e 1.2.1). Dall’altra parte, il Cyber Resilience Act guarda ai prodotti come oggetti digitali esposti a vulnerabilità durante tutto il loro ciclo di vita, imponendo valutazioni del rischio, gestione e notifica delle vulnerabilità e una documentazione tecnica strutturata. Infine, l’AI Act amplia il campo introducendo la nozione di sistema AI — sistemi che elaborano input per produrre output con effetti su ambienti fisici o virtuali — e, per le soluzioni classificate come ad alto rischio, richiedendo la valutazione da parte di organismi notificati.
Interazioni operative
Queste tre prospettive esigono tre tipologie di analisi: il risk assessment per pericoli fisici, la valutazione delle vulnerabilità informatiche richiesta dal CRA e l’analisi degli impatti e dei diritti fondamentali prevista dall’AI Act. Non si tratta di compilare tre check-list separate, ma di progettare un percorso integrato che renda coerenti risultati, evidenze tecniche e documentazione. La conformità a una norma può favorire l’adesione a un’altra, ma la relazione non è automatica: serve dimostrazione tecnica e tracciabilità delle scelte progettuali.
Il nodo delle norme tecniche
I regolamenti fissano requisiti essenziali, ma non prescrivono soluzioni tecniche: la conversione in specifiche verificabili spetta alle norme armonizzate elaborate dagli organismi di normazione. Al momento, però, queste norme non sono ancora tutte disponibili: per il CRA sono pianificate circa quaranta norme armonizzate con scadenze già posticipate oltre il terzo trimestre 2026; per l’AI Act mancano regole pratiche su come valutare la conformità e gestire i rischi; e il quadro di riferimento per il Regolamento Macchine è in aggiornamento, inclusa la norma quadro EN 50742 che dovrebbe chiarire l’interazione tra safety e cybersicurezza.
Conseguenze per i produttori
In assenza di uno standard tecnico condiviso, le imprese che avvieranno processi di compliance saranno costrette a decisioni interpretative e ad adottare pratiche riconoscibili a livello internazionale. Per esempio, il CRA riconosce come riferimento tecnico gli standard della serie ISA/IEC 62443, che possono fungere da bussola provvisoria per le valutazioni di cybersecurity. Tuttavia, l’uso di questi riferimenti richiede una documentazione che dimostri come le scelte tecniche soddisfano i requisiti regolamentari specifici.
Cosa fare nella fase di incertezza
Rimanere fermi in attesa delle norme sarebbe una strategia rischiosa. È invece consigliabile separare ciò che è già definito da ciò che è ancora aperto e procedere con una roadmap di compliance pragmatica. Sul fronte del Regolamento Macchine conviene aggiornare le procedure di sicurezza funzionale includendo i controlli sul software di controllo e predisponendo la documentazione prevista. Per il CRA è fondamentale determinare se i prodotti rientrano nella categoria PDE (prodotti con elementi digitali generici) e avviare un cybersecurity risk assessment basato su standard riconosciuti.
Priorità operative
Per l’AI Act il primo passo pratico è mappare le componenti che possono essere classificate come sistema AI e valutare se ricadono nella definizione di alto rischio, perché in quel caso scatta l’obbligo di valutazione tramite organismo notificato e una documentazione tecnica specifica. Parallelamente, costruire competenze interne, aggiornare i contratti di assistenza e predisporre canali di gestione/ricerca delle vulnerabilità renderà l’azienda più resiliente anche quando le norme armonizzate saranno pubblicate.
In conclusione, le imprese italiane che producono macchine hanno davanti uno scenario con tre regole che si sovrappongono ma non coincidono. Chi agirà ora, costruendo processi integrati di risk assessment, documentazione tecnica e competenze interne, ridurrà l’incertezza e potrà dimostrare la conformità in modo più rapido e solido non appena le norme tecniche saranno disponibili.
