Verso la fabbrica intelligente?
Il Regolamento Macchine (UE) 2023/1230 e la sfida della cybersecurity industriale per le PMI italiane
Un articolo di: Antonino Cilluffo
C’è un paradosso silenzioso nelle fabbriche italiane. Da un lato, il mercato dell’intelligenza artificiale nel nostro Paese vale 1,2 miliardi di euro e cresce a ritmi superiori al 50% annuo. Dall’altro, appena l’8% delle PMI manifatturiere ha adottato almeno una tecnologia avanzata. Centinaia di migliaia di piccoli imprenditori che continuano a gestire la produzione, quando va bene, con fogli Excel — spesso evoluti e costruiti negli anni per rappresentare i processi reali dell’azienda — mentre le loro macchine industriali, spesso vecchie di decenni, lavorano in totale isolamento le une dalle altre.
È uno scenario che chi frequenta il tessuto produttivo italiano conosce bene: aziende con trenta, cinquanta dipendenti, con fatturati anche importanti, ma un’organizzazione ridotta all’osso e una resistenza quasi viscerale al cambiamento. Le macchine non si parlano perché l’imprenditore non vede ragioni per farle parlare. E fino a oggi, in effetti, nessuno è riuscito a dargli le giuste motivazioni.
Il fallimento degli incentivi come leva di trasformazione
Industria 4.0 avrebbe dovuto essere la grande svolta. L’interconnessione dei macchinari, la raccolta dati in tempo reale, la manutenzione predittiva: un orizzonte promettente, tradotto in generosi incentivi fiscali. Il risultato concreto? Nella maggior parte dei casi, è stato l’acquisto di un nuovo centro di lavoro CNC affiancato a macchine che hanno trent’anni di vita. L’incentivo è stato percepito come leva economica — comprare macchinari a prezzo scontato — non come occasione di trasformazione organizzativa. Le macchine legacy rappresentano ancora circa il 70% del parco installato nelle PMI italiane.
Transizione 5.0 avrebbe dovuto correggere il tiro, spostando l’attenzione sul risparmio energetico e sulla sostenibilità. Ma la complessità burocratica, le certificazioni necessarie e i paletti imposti dal PNRR hanno prodotto un sostanziale flop: miliardi stanziati e un clima di incertezza che ha paralizzato molte imprese. A differenza della Germania, dove società specializzate verificano sul campo che le aziende abbiano effettivamente collegato le macchine, risparmiato energia e implementato manutenzione evolutiva, in Italia il meccanismo è rimasto largamente autoreferenziale. Si prendono gli incentivi, si installa il dispositivo di interconnessione e, nella maggior parte dei casi, finisce lì. Nessuna evoluzione, nessun progetto di lungo periodo.
Il risultato è un panorama frammentato: progettini da venti o trentamila euro, ripetuti su decine di clienti, utili a prendere il credito d’imposta ma incapaci di innescare un vero percorso di digitalizzazione. L’imprenditore torna al proprio foglio Excel, che spesso rimane il vero centro operativo della conoscenza aziendale, mentre i sistemi installati restano strumenti isolati che non si integrano realmente nei processi. Ma parliamoci chiaro: se devo sostituire Excel con un sw che richiede risorse e persone per la formazione e la gestione senza portare reale valore aggiunto, perché dovrei farlo?
Il Regolamento Macchine: quando la compliance diventa necessità
Ora però qualcosa cambia. E cambia non per incentivo, ma per obbligo. Il 20 gennaio 2027 entrerà in piena applicazione il nuovo Regolamento Macchine (UE) 2023/1230, che sostituisce la storica Direttiva 2006/42/CE. Non si tratta di un aggiornamento marginale: è un cambio di paradigma che tocca nel profondo il modo in cui le macchine industriali vengono progettate, immesse sul mercato e — aspetto cruciale — gestite durante il loro intero ciclo di vita.
La novità più dirompente riguarda la cybersecurity. Per la prima volta nella storia della normativa europea sulle macchine, la sicurezza informatica diventa un requisito essenziale di conformità al pari della sicurezza meccanica ed elettrica. Le sezioni 1.1.9 e 1.2.1 dell’Allegato III stabiliscono che i sistemi di controllo automatizzati debbano essere protetti contro la corruzione, sia accidentale sia intenzionale. In termini pratici, significa che per ottenere la marcatura CE il fabbricante dovrà dimostrare non solo che la macchina non può ferire un operatore per un guasto meccanico, ma anche che non può essere compromessa da un attacco informatico che ne alteri il funzionamento con conseguenze potenzialmente letali.
E non finisce qui. Il Regolamento impone la documentazione digitale per l’intero ciclo di vita della macchina: manuali d’uso, dichiarazioni di conformità, rapporti di manutenzione dovranno essere forniti in formati elettronici standard. Si riconoscono per la prima volta i rischi derivanti dai sistemi basati su intelligenza artificiale, integrandoli nella valutazione dei pericoli. E soprattutto, il Regolamento si applica anche alle macchine che subiscono modifiche sostanziali dopo la loro immissione sul mercato, comprese quelle effettuate con mezzi digitali: chi modifica una macchina ne diventa, a tutti gli effetti, il fabbricante e deve garantirne la conformità.
La tempesta perfetta: Regolamento Macchine e Cyber Resilience Act
Il 2027 sarà un anno di doppia scadenza. A meno di undici mesi dall’entrata in vigore del Regolamento Macchine, l’11 dicembre 2027 diventerà pienamente applicabile anche il Cyber Resilience Act (CRA), il regolamento europeo che impone ai produttori di dispositivi con elementi digitali di integrare la sicurezza informatica fin dalla fase di progettazione e di garantire aggiornamenti software per almeno cinque anni.
Per i fabbricanti di macchine industriali, la convergenza è significativa: il Regolamento Macchine chiede la sicurezza del sistema nel suo complesso; il CRA entra nel dettaglio dei singoli componenti digitali. Insieme, disegnano un quadro normativo in cui non è più possibile immettere sul mercato europeo una macchina connessa senza aver affrontato in modo strutturato il tema della sicurezza informatica. Lo standard ISA/IEC 62443, riferimento internazionale per la cybersecurity dei sistemi di automazione industriale, diventa la bussola naturale per orientarsi in questo nuovo scenario.
Il vero problema: le macchine già installate
Se per i fabbricanti il percorso è chiaro — adeguarsi o restare fuori dal mercato — per gli utilizzatori finali la questione è più complessa e, per certi versi, più urgente. Migliaia di PMI italiane operano con parchi macchine eterogenei, composti da impianti di epoche e fornitori diversi, nessuno dei quali è stato progettato pensando alla cybersecurity. Collegare queste macchine in rete — cosa che il mercato, prima ancora della norma, richiede sempre più insistentemente — significa esporle a rischi che oggi non sono nemmeno percepiti.
Ed è proprio qui che si annida il problema più profondo. L’imprenditore della piccola azienda manifatturiera non ha un reparto IT. Spesso non ha nemmeno un responsabile della sicurezza informatica. Le sue macchine funzionano, producono, fatturano. Perché dovrebbe collegarle? Perché dovrebbe investire in qualcosa che non capisce e di cui non percepisce il bisogno?
La risposta, oggi, non è più solo “perché è meglio” o “perché ci sono incentivi”. Dal 2027 le nuove macchine immesse sul mercato dovranno rispettare requisiti molto più stringenti, anche sul piano della cybersecurity. Alcuni interventi rilevanti su macchine esistenti — se configurabili come modifiche sostanziali — possono attivare i requisiti del nuovo Regolamento. Chi collega una macchina vecchia di vent’anni a un sistema MES senza aver valutato i rischi di cybersecurity si assume una responsabilità che prima semplicemente non esisteva.
Oltre l’Excel: costruire un percorso possibile
Eppure, proprio in questa stretta normativa si nasconde un’opportunità. Il caso di quelle piccole aziende che hanno iniziato il percorso di interconnessione partendo dallo strumento che già conoscevano — un foglio Excel evoluto, potenziato con macro e Visual Basic, collegato alle macchine tramite un dispositivo fisico capace di leggerne i dati — dimostra che la via d’accesso esiste. Non è la via della grande piattaforma IoT o del digital twin. È la via del pragmatismo: partire dai processi reali dell’azienda e dagli strumenti che già li rappresentano — spesso un foglio Excel costruito negli anni — e da lì costruire progressivamente integrazione e visibilità. Non stravolgere i processi, ma renderli visibili.
Da quel primo collegamento, da quei primi dati raccolti e normalizzati, si apre progressivamente un mondo: analisi di efficienza, monitoraggio dei consumi energetici, prime forme di manutenzione predittiva, e sì — anche sicurezza. Ma il percorso deve essere graduale, sostenibile e soprattutto comprensibile per chi lo intraprende. Non servono rivoluzioni: serve accompagnamento.
I nuovi incentivi previsti dalle misure di Transizione 5.0 e dalle politiche europee per l’efficienza energetica possono fornire la leva economica per avviare questo percorso. Ma la leva normativa del Regolamento Macchine è quella che, per la prima volta, può spostare davvero l’ago della bilancia. Non “puoi” collegare le macchine. “Devi” farlo in sicurezza. E per farlo in sicurezza, devi sapere cosa succede nelle tue macchine.
Uno sguardo al futuro che è già presente
Il 20 gennaio 2027 non è lontano. Mancano meno di undici mesi. Oltre 850 norme armonizzate sono in fase di revisione per allinearsi al nuovo Regolamento. Lo standard EN 50742, specificamente dedicato alla protezione contro la corruzione dei sistemi di controllo, è in fase di sviluppo. Il quadro si sta componendo, ma per le PMI italiane il rischio è quello di arrivarci impreparate, come è già successo con il GDPR: una corsa dell’ultimo minuto, costosa e inefficace.
La fabbrica intelligente non è un’utopia tecnologica. È una necessità normativa che sta bussando alla porta. La domanda non è più “vogliamo andare verso la fabbrica intelligente?”. La domanda è: “siamo pronti ad andarci?”. E per chi non lo è, il tempo per prepararsi si sta esaurendo.