Safety, Security e IA: un quadro legislativo per la sicurezza, in tutto il mondo

Thomas Pilz, Managing Partner di Pilz GmbH and Co. KG

(In caso di discrepanze, fa fede il discorso effettivamente pronunciato)

Tutti noi conosciamo il marchio CE. È presente su elettrodomestici, giocattoli o articoli per la casa, ma naturalmente anche su macchine e impianti. È l’acronimo di “Conformité Européenne”. Il marchio CE è praticamente il “sigillo” con cui si indica che i prodotti commercializzati all’interno dello Spazio Economico Europeo (UE ed EFTA) ottemperano ai requisiti minimi di sicurezza, di tutela dell’ambiente e di salute. Applicando il marchio, l’importatore conferma di avere ottemperato alle disposizioni di legge vigenti in materia di sicurezza del prodotto all’interno dell’UE. Da 30 anni, per ogni prodotto che rientra nell’ambito di applicazione di una direttiva UE, è vincolante la dichiarazione di conformità CE.

Una di queste direttive è la Direttiva Macchine, la cui applicazione è obbligatoria fin dal 1995. La Direttiva Macchine stabilisce requisiti univoci e omogeni in materia di sicurezza e tutela della salute nell'interazione tra uomo e macchina e ha sostituito così le numerose norme esistenti nei singoli Stati sulla sicurezza delle macchine.

CE: un modello di successo
Quello che inizialmente aveva rappresentato per le aziende uno sforzo considerevolmente impegnativo, è oggi qualcosa a cui nessuno sarebbe più disposto a rinunciare. Marcatura CE e Direttiva Macchine garantiscono trasparenza e generano fiducia tra fabbricanti e utilizzatori. Sono quindi storie di successo. In altre parti del mondo sono diventate e sono tutt’ora modelli da seguire per costruire anche nei Paesi extra-UE un quadro legislativo di sicurezza delle macchine.

Ne è un esempio il Brasile: dal 2010 è in vigore una legge nazionale - la Norma Regulamentadora 12 (NR-12) – MÁQUINAS E EQUIPAMENTO - che prevede requisiti minimi di sicurezza per le macchine e le relative apparecchiature. Di fatto, sono stati in gran parte ripresi i requisiti di sicurezza contenuti nell’Allegato I della Direttiva Macchine, inclusi i singoli requisiti speciali per determinate tipologie di macchine. È per questa ragione che, in Europa, la legge viene anche denominata “direttiva macchine brasiliana”.

Novità assoluta: anche in India un quadro normativo per la sicurezza delle macchine
Ora anche l’India, l’economia con la crescita più rapida, si sta dotando di un quadro normativo per la sicurezza delle macchine. Il “Ministry of Heavy Industries” ha espressamente emanato due normative in materia. Le cosiddette “Omnibus Technical Regulations” stabiliscono i requisiti di sicurezza per le diverse tipologie di macchine e per l’equipaggiamento elettrico. Tali requisiti hanno il compito di garantire che le macchine soddisfino lo standard di sicurezza prima che la macchina venga immessa sul mercato indiano.
Analogamente a quanto accade in Europa, esistono certificazioni obbligatorie e un marchio di conformità. La maggior parte dei nuovi requisiti in India coincide con le norme internazionali esistenti.

Chiunque intenda esportare verso l’India, è tenuto a nominare un rappresentante autorizzato con sede nel Paese. La nostra controllata indiana è in grado di supportare le aziende nell’ottemperare alle disposizioni di legge e quindi anche in fase di esportazione in questo Paese. Il personale di Pilz India collabora inoltre con la commissione preposta del “Bureau of Indian Standard”.

Il tema legato alla sicurezza delle macchine sarà sicuramente oggetto di sviluppo costante e continuo. Ciò che tuttavia è possibile affermare con certezza è che, in futuro, le macchine o i prodotti non conformi (si potrebbe dire quelli su cui non è presente il marchio CE indiano), non potranno essere importati in India. Una situazione di questo tipo implicherebbe il blocco in dogana di macchine e prodotti fino all’avvenuta ottemperanza alle disposizioni necessarie da parte del fornitore.

Sicurezza: 30 anni dopo
Torniamo ora alla metà degli anni ‘90: all’epoca, Tim Berners-Lee del CERN, il centro di ricerca con sede in Svizzera, ha reso pubblica la tecnica per l’utilizzo del World Wide Web (WWW), il punto di svolta per la connessione in rete e la digitalizzazione della società e dell’industria.

30 anni più tardi, la sicurezza viene definita diversamente. Questo a motivo del fatto che proprio la connessione in rete e la digitalizzazione, sottopongono prodotti e macchine con elementi digitali a pericoli completamenti diversi, ad esempio attraverso la manomissione e la manipolazione dei dati. Il legislatore, in Europa, ha risposto: il principio della marcatura CE rimane. I requisiti per il suo mantenimento sono stati adattati tuttavia allo stato dell’arte della tecnica e della tecnologia. Il nuovo Regolamento macchine ha sostituito nel 2023 la Direttiva Macchine. Qui desidero illustrare brevemente due novità, Intelligenza Artificiale e Industrial Security.

L’IA può essere considerata sicura?
“Un robot non deve recar danno a un essere umano”
: già nel 1942, Isaac Asimov formulava questo principio in uno dei suoi racconti di fantascienza, una sorta di legge sui robot per le macchine intelligenti. Oggi, 83 anni più tardi, occorre ripensare e rinnovare le regole del gioco per l’interazione tra uomo e macchina, a causa degli ulteriori sviluppi dell’Intelligenza Artificiale.
Questo aspetto è stato riconosciuto anche dal legislatore che ha inglobato il tema Intelligenza Artificiale nel nuovo Regolamento macchine. In quel contesto si parla di “macchine con comportamento autoevolutivo”. Come può una macchina essere sicura se la sua risposta a una situazione di pericolo è stabilita da un algoritmo e non più solo dall’azione dell’essere umano?
In casi estremi occorre osservare se da un software ad autoapprendimento può derivare, in talune circostanze, una nuova macchina. Un tema di grandissimo interesse, non solo per i fabbricanti ma anche per gli organismi notificati.

L’IA non riguarda solo il mondo delle macchine. Il regolamento emanato dall’UE sull’Intelligenza Artificiale, il cosiddetto AI Act (Legge sull’intelligenza artificiale), disciplina, a livello generale, cosa possono e cosa non devono fare i sistemi IA.
Il regolamento vieta svariate pratiche legate all’IA, come ad esempio la manipolazione delle persone. Ciò significa che una persona non può essere indotta, attraverso l’IA, a prendere decisioni che rischierebbero di danneggiare seriamente la persona stessa o altri essere umani. Inoltre, alcune applicazioni ben precise, ad esempio quelle dei settori dell’istruzione, delle infrastrutture critiche o dell’attività di contrasto classificate come sistemi di IA ad alto rischio, devono ottemperare a requisiti specifici. Questi sistemi di IA ad alto rischio dovranno, in futuro, essere provvisti proprio di marchio CE.

Noi di Pilz riteniamo il regolamento sull’IA una legge importante che assicura, da un lato, la possibilità di sfruttare delle opportunità e, dall’altro, garantisce la riduzione dei rischi derivanti dall’IA.

Senza security, nessun marchio CE
In ragione della crescita esponenziale nel numero di cyberattacchi e danni da manipolazioni e manomissioni, il nuovo Regolamento macchine stabilisce, per il futuro, anche la protezione contro alterazioni e corruzioni delle funzioni di sicurezza, ad esempio di sistemi di controllo, fornendo quindi disposizioni in materia di Industrial Security. Nella seconda parte di questo evento, il nostro esperto Simon Nutz fornirà informazioni dettagliate su questo aspetto, illustrando come le aziende siano ora in grado di agire e adattarsi con reattività per continuare ad apporre il marchio CE sui loro prodotti. Anche la definizione di sicurezza delle macchine viene riformulata ex novo.

Legislazione sulla security: non c’è due senza tre
Complessivamente, l’UE ha messo in campo disposizioni di legge di Industrial Security per la fabbricazione delle macchine strutturandole su tre livelli. Sono in essere disposizioni per macchine, prodotti con elementi digitali e aziende.  

• Il Regolamento macchine si applica alle macchine.
• Il Cyber Resilience Act stabilisce i requisiti in materia di cybersicurezza per i prodotti con elementi digitali.
• La direttiva UE, invece, che si occupa delle misure da implementare per un livello comune elevato di cybersicurezza all’interno dell’Unione, la cosiddetta Direttiva NIS 2, si applica praticamente a tutte le aziende del nostro settore con più di 50 dipendenti.

In questo modo, il settore industriale si trova a dovere far fronte a un compito immane: tutte e tre le leggi sono già state pubblicate dall’UE. Per due di queste, nello specifico Regolamento Macchine e CRA, il tempo stringe e alle industrie resta poco più di un anno e mezzo di tempo per convertire sviluppo, produzione ed engineering come richiesto, inclusi tutti i relativi processi e attività, quali formazione o documentazione. Un compito di proporzioni immani, come è stato per il recepimento della Direttiva Macchine.

Del Regolamento macchine abbiamo parlato poco fa. Il CRA stabilisce che i prodotti con elementi digitali siano progettati, sviluppati e fabbricati secondo i requisiti fondamentali in materia di cybersicurezza. In concreto significa che adesso esistono disposizioni per la valutazione del rischio e relativa garanzia, per la gestione delle vulnerabilità, per la documentazione come pure per gli obblighi di segnalazione.

Anche noi siamo soggetti a queste prescrizioni. Per attuare tutto ciò, da qualche anno abbiamo introdotto, nelle nostre aree di sviluppo prodotto, un processo di sviluppo “secure” certificato secondo IEC 62443-4-1 e omologato nel 2022. In questo modo, siamo in grado di garantire che i nostri sviluppi ottempereranno al CRA. La gamma di prodotti Pilz è estremamente ampia e variegata ed è stato necessario valutare ogni singolo prodotto per stabilire in quale misura fosse oggetto del CRA e se eventualmente dovesse essere adattato in base a quanto previsto dalla legge. La valutazione ha avuto luogo e sono state introdotte in anticipo le misure corrispondenti.

Il terzo atto giuridico, la Direttiva NIS 2 dell’UE che obbliga le aziende ad attrezzarsi per essere pronte in caso di cyberattacchi, deve ancora essere recepita come legge nazionale. Anzi, ciò sarebbe dovuto accadere al più tardi il 18 ottobre dello scorso anno. Allo stato attuale, 9 dei 27 Stati membri UE hanno completato il recepimento. Nei restanti Paesi, come Germania o Austria, è spesso la situazione politica a impedire l’approvazione delle leggi.

Security non solo per legge
Un invito, o meglio, un appello da parte di Pilz: dall’esperienza personale vissuta con il cyberattacco del 2019, posso affermare che sarebbe fatale attendere l’unanimità a livello politico per quanto riguarda il recepimento delle misure di protezione relativamente alla security. Non si tratta di ottemperare a disposizioni di legge ma di proteggere l’azienda e garantirne la sopravvivenza.

In presenza di tutti i recenti requisiti e disposizioni ci si pone la domanda se, oltre all’UE, anche altri mercati affronteranno le nuove sfide dettate da Intelligenza Artificiale o cybercriminalità. Per trovare una risposta, desidero fare ancora una volta riferimento al modello di successo della marcatura CE. Similmente alla Direttiva Macchine, anche per tematiche come IA e Cybersicurezza si auspica che la legislazione e le norme europee fungano e vengano prese a modello in tutto il mondo. La maggior parte del governi ha tutto l’interesse a che i loro cittadini siano protetti al meglio da possibili danni e pericoli; anche i fabbricanti di macchine e i produttori, però, hanno l’esigenza di potere commercializzare i propri articoli ovunque nel mondo. Questo significa che anche i player economici extra-UE si atterranno alle nuove disposizioni se intendono continuare a importare nell’Unione Europea.

Come si può vedere, la sicurezza ha molteplici sfaccettature che hanno effetto su noi, i nostri partner e clienti e, più in generale, sulla società. La recente procedura di omologazione in India, i nuovi requisiti in materia di IA e Security nell’UE, sono esempi di quanto sia importante una cooperazione funzionante trasversale a tutti i mercati. Leggi e norme internazionali sono una delle chiavi di questa collaborazione. Ci aiutano a fare affidamento, a livello globale, su meccanismi di sicurezza tecnici.