Immaginiamo una fabbrica in cui un robot apprende dai gesti del proprio operatore, oppure una macchina agricola che si aggiorna automaticamente tramite connessione cloud: un’intrusione informatica, se non adeguatamente prevenuta, potrebbe alterarne il funzionamento, generando comportamenti imprevedibili.

In questo contesto si inserisce il Regolamento (UE) 2023/1230 relativo alle macchine, destinato a trovare piena applicazione a partire dal 20 gennaio 2027, sostituendo integralmente la Direttiva 2006/42/CE (la c.d. “Direttiva Macchine”) e abrogando altresì la Direttiva 73/361/CEE. Si tratta di un intervento normativo di sistema volto a traghettare la disciplina della sicurezza delle macchine nell’era digitale. La previgente Direttiva, difatti, pur avendo rappresentato per quasi due decenni un riferimento solido, non era più adeguata a governare fenomeni tecnologici quali l’intelligenza artificiale o l’Internet of Things.

Un cambio di paradigma normativo: la sicurezza diventa immateriale

Un primo elemento di discontinuità è rappresentato dall’ingresso, a pieno titolo, del software e dell’intelligenza artificiale nel perimetro della sicurezza delle macchine. Il software per il funzionamento delle macchine non è più considerato un accessorio, ma può assumere la qualifica di componente di sicurezza della macchina. Ne deriva il suo assoggettamento alle procedure di valutazione della conformità e alla marcatura CE.

Ancora più significativo è il trattamento riservato ai sistemi dotati di capacità autoevolutive, tipici delle applicazioni di intelligenza artificiale: per tali sistemi, il Regolamento richiede specifiche analisi del rischio, verifiche di affidabilità e, in numerosi casi, l’intervento obbligatorio di un organismo notificato, a garanzia della prevedibilità dei comportamenti e della tutela degli operatori. Su questo fronte il Regolamento dialoga con il Regolamento (UE) 2024/1689 (“AI Act”): i sistemi di intelligenza artificiale utilizzati come componenti di sicurezza di una macchina possono infatti essere qualificati come sistemi ad alto rischio ai sensi dell’AI Act, ogniqualvolta la macchina rientri in quella categoria di prodotti per la cui valutazione di conformità è richiesto l’intervento di un organismo notificato. Ne discende allora un cumulo di obblighi per il fabbricante.

Cybersecurity e safety: una convergenza inevitabile

Accanto a ciò, si colloca un ulteriore profilo di innovazione, destinato a incidere profondamente sulle prassi aziendali: l’integrazione della cybersecurity tra i requisiti essenziali di sicurezza.

Per la prima volta, infatti, la protezione contro attacchi informatici o manipolazioni esterne viene espressamente ricondotta nell’alveo della sicurezza delle macchine. Ne consegue che i fabbricanti sono tenuti a progettare e realizzare prodotti capaci di resistere non solo ai rischi tradizionali di natura meccanica, ma anche alle minacce digitali, in un’ottica di sicurezza integrata che supera definitivamente la distinzione tra dimensione fisica e informatica. A completare il quadro interviene il Cyber Resilience Act (Regolamento (UE) 2024/2847, il “CRA”), applicabile ai prodotti con elementi digitali secondo un calendario scaglionato: obblighi di reporting dall’11 settembre 2026, obblighi sostanziali dall’11 dicembre 2027. Per le macchine connesse la compliance dovrà essere costruita in modo coerente tra i due regimi, evitando duplicazioni ma assicurando entrambi i set di requisiti essenziali di cybersecurity.

La documentazione diventa digitale (ma non meno rigorosa)

Il Regolamento introduce altresì una significativa evoluzione in materia di documentazione, consentendo la fornitura in formato digitale delle istruzioni d’uso, delle dichiarazioni di conformità e della documentazione tecnica.

Tale innovazione, che si traduce in una semplificazione operativa e in una riduzione dei costi, è tuttavia accompagnata da stringenti requisiti di accessibilità, conservazione e tracciabilità, nonché dall’obbligo di garantire, per gli utilizzatori non professionali, la disponibilità di informazioni essenziali anche in formato cartaceo.

Modifiche sostanziali: una responsabilità ridefinita

Particolarmente rilevante è, poi, la codificazione della nozione di “modifica sostanziale” (art. 3, punto 16 del Regolamento).

Il legislatore europeo chiarisce che ogni intervento sulla macchina, fisico o digitale, idoneo a introdurre nuovi rischi o ad aggravare quelli esistenti comporta l’assunzione, in capo al soggetto che lo realizza, dello status di fabbricante. Tale qualificazione implica l’obbligo di sottoporre la macchina a una nuova procedura di valutazione della conformità, con conseguente apposizione della marcatura CE.

Con questa precisazione si riducono le incertezze interpretative che, in passato, hanno alimentato un significativo contenzioso. Resta tuttavia aperta una questione di impatto pratico: quando la macchina integra un sistema di AI fornito da terzi, o destinato a riaddestrarsi sul campo, la qualifica di fabbricante può spostarsi lungo la catena di fornitura in modo non sempre intuitivo: ogni riaddestramento significativo, ogni pacchetto di aggiornamento che alteri l’uso previsto, può ridisegnare il perimetro delle responsabilità tra fabbricante, fornitore di AI e system integrator.

Un’opportunità, oltre che un obbligo

È innegabile che il percorso di adeguamento comporti costi iniziali, soprattutto per le piccole e medie imprese. Tuttavia, tali oneri devono essere letti alla luce dei benefici di medio-lungo periodo: la riduzione del rischio di infortuni e del contenzioso, il miglioramento della competitività sui mercati internazionali e la possibilità di sviluppare innovazione in un contesto normativo certo e orientato alla sicurezza. A questi si aggiunge un cambio di modello di business spesso sottovalutato: per le macchine connesse, la lettura coordinata del Regolamento Macchine con il CRA, che impone un periodo di supporto minimo di cinque anni (art. 13, par. 8 CRA), con obbligo di rilascio gratuito degli aggiornamenti di sicurezza, trasforma la vendita in una relazione di lungo periodo. Non è più “produco e vendo”, ma “produco, vendo e sostengo”: una traiettoria che incide sul pricing, sui contratti di manutenzione e sulla struttura stessa del post-vendita.

In questa prospettiva, i prossimi mesi che precedono la piena applicazione del Regolamento rappresentano una finestra temporale cruciale. È il momento in cui le imprese sono chiamate a effettuare una ricognizione del proprio parco macchine, a valutare il grado di integrazione digitale dei prodotti, a verificare l’eventuale appartenenza a categorie ad alto rischio e ad aggiornare, di conseguenza, la documentazione tecnica. Una ricognizione che, per i prodotti connessi o basati su intelligenza artificiale, non può prescindere dalle scadenze parallele dell’AI Act e del Cyber Resilience Act: tre calendari destinati a sovrapporsi e a imporre un’unica, coerente strategia di compliance di prodotto.

—–

A cura di
Marco Agami
Adebowale Adediwura
Carlo Favaro