ETSI EN 304 223 V2.1.1 (2025-12) è lo standard europeo pubblicato dall’ETSI (European Telecommunications Standards Institute) a dicembre 2025, intitolato “Securing Artificial Intelligence (SAI); Baseline Cyber Security Requirements for AI Models and Systems”. Fornisce un framework concreto, proporzionato al rischio, che aiuta le aziende a integrare la sicurezza AI nei processi esistenti (threat modelling, risk management, incident response). È stato accolto come benchmark mondiale perché sposta la sicurezza AI da principi generici a disciplina ingegneristica applicabile. In pratica si vuole rendere i sistemi AI più resilienti agli attacchi informatici, promuovendo fiducia e compliance in un settore in rapidissima evoluzione.

Andando nel dettaglio, si tratta del primo standard globale dedicato specificamente alla cybersecurity di base per modelli e sistemi di intelligenza artificiale, soprattutto quelli basati su reti neurali profonde e AI generativa. L’obiettivo è proteggere l’AI da minacce informatiche specifiche, che la distinguono dal software tradizionale. Perché serve uno standard dedicato all’AI in quanto apprende dai dati, può essere manipolata con input adversarial, subire data poisoning (avvelenamento dati durante l’addestramento), model extraction (furto del modello), prompt injection, model inversion (ricostruzione dati sensibili dagli output) e data drift. Lo standard integra pratiche cybersecurity classiche con misure pensate per queste vulnerabilità uniche.

Si rivolge chiaramente a tutta la catena del valore AI: sviluppatori (developers), fornitori di modelli, operatori di sistemi, custodi dei dati, integratori e utenti finali. È utile per conformarsi a normative come l’EU AI Act e per gestire rischi in produzione (non si applica a prototipi puramente accademici). Lo standard segue il ciclo di vita AI (allineato a ISO/IEC 22989): design, sviluppo, deployment, manutenzione, fine vita. Definisce 13 principi di sicurezza con disposizioni obbligatorie (“shall”) e raccomandate (“should”).

Principi chiave del design sicuro, Formazione del personale su rischi AI-specifici, progettazione con security-by-design, valutazione continua delle minacce, responsabilità umana (human oversight), explainability degli output e divieto di usi malevoli.
Sviluppo sicuro, Inventario e protezione degli asset (dati, modelli, prompt), sanitizzazione dati, infrastrutture isolate, gestione supply chain sicura (soprattutto per componenti di terze parti), documentazione dettagliata con hash crittografici, testing di sicurezza indipendente (inclusi adversarial testing).
Deployment e manutenzione, Comunicazione trasparente agli utenti, configurazione sicura, aggiornamenti regolari con test, monitoraggio anomalie, logging, rilevamento drift e piani di contingency.
Fine vita.

Dunque ETSI EN 304 223 V2.1.1 rappresenta un tassello fondamentale nel puzzle normativo europeo sulla sicurezza dell’intelligenza artificiale, integrandosi in modo complementare con NIS2, EU AI Act, ENISA e BEREC. L’EU AI Act (Regolamento 2024/1689) classifica già i sistemi AI per rischio e impone obblighi di cybersecurity soprattutto per AI ad alto rischio (artt. 15 e 55), ma resta generico sui dettagli tecnici. ETSI EN 304 223 fornisce proprio quei requisiti baseline concreti – lifecycle-based, con misure contro data poisoning, prompt injection, model theft, adversarial attacks – che aiutano i fornitori e deployer a dimostrare conformità all’AI Act in modo armonizzato e proporzionato. NIS2 (Direttiva 2022/2555) obbliga già entità essenziali e importanti a gestire rischi cyber sulla supply chain e a riportare incidenti, ma non entra nel merito dell’AI. EN 304 223 colma questa lacuna: per un operatore critico che usa AI (es. energia, trasporti, sanità), adottare lo standard ETSI diventa strumento operativo per soddisfare gli obblighi NIS2 di risk management e resilienza, specialmente su supply chain AI (modelli di terze parti, dataset). ENISA, come agenzia UE per la cybersecurity, collabora strettamente con ETSI (TC SAI) e promuove standard armonizzati. EN 304 223 è già citato come riferimento de facto nei lavori ENISA su AI security, rafforzando il coordinamento tra cybersecurity orizzontale (NIS2/CRA) e verticale (AI Act).BEREC, focalizzato su reti e servizi di comunicazione elettronica, entra in gioco quando l’AI è integrata in infrastrutture 5G/6G o edge computing. Lo standard ETSI supporta i provider di rete nel garantire che i componenti AI siano sicuri, allineandosi agli obiettivi BEREC di resilienza delle infrastrutture critiche.

In sintesi, EN 304 223 non è un’ulteriore regolamentazione, ma il ponte tecnico operativo che rende attuabili e misurabili gli obblighi di NIS2 e AI Act, con ENISA come garante di coerenza e BEREC come garante settoriale per le telco.