Il Regolamento Macchine 2023/1230 viene spesso riassunto con una scorciatoia troppo facile: sarebbe la norma che regola l’AI nelle macchine. Non è così. Il regolamento (UE) 2023/1230 guarda una cosa molto più concreta: un software, un dato, una configurazione, un accesso remoto o un aggiornamento possono cambiare il comportamento della macchina e portare una persona in una situazione pericolosa? Se sì, non stiamo parlando di un dettaglio IT. Stiamo parlando di sicurezza della macchina, di funzione di sicurezza, di documentazione tecnica e di valutazione del rischio. Se no, l’etichetta AI da sola non trasforma un algoritmo in un componente di sicurezza.
Questo è il punto che molti saltano. La macchina di oggi non finisce più nella carpenteria, nei motori, nei ripari e nell’armadio elettrico. Può dipendere da logica di controllo, dati, software, sensori, comunicazioni, accessi remoti, update e resilienza contro interferenze digitali. È qui che il Regolamento Macchine 2023/1230 stringe davvero le maglie rispetto alla direttiva 2006/42/CE.
Regolamento Macchine 2023/1230: non regola l’AI in generale
Partiamo da una distinzione essenziale. Un sistema AI che analizza dati di linea, prevede guasti, calcola OEE o suggerisce parametri di processo non entra automaticamente nel perimetro della conformità della macchina. Se lavora a fianco della macchina e non realizza una funzione di sicurezza, non diventa un componente di sicurezza per il solo fatto di usare AI.
Il cambio di passo arriva in un caso preciso: quando un componente di sicurezza, oppure un sistema integrato nella macchina, ha un comportamento autoevolutivo, usa apprendimento automatico e assicura una funzione di sicurezza. Qui il tema non è l’AI in astratto. Qui il tema è che il comportamento della funzione che protegge la persona dipende da una logica che può evolvere. E allora il livello di attenzione sale parecchio.
Lo si vede bene nell’Allegato I. La parte più severa non si attiva perché una macchina “ha AI”, ma perché una soluzione digitale interviene nella sicurezza in modo sostanziale. Questa differenza va capita subito, altrimenti si finisce in due errori opposti: sopravvalutare sistemi irrilevanti per la sicurezza, oppure sottovalutare software che incidono davvero sul rischio.
Regolamento Macchine 2023/1230: cosa cambia davvero
La novità non è che dal 2027 bisogna iniziare a fare la valutazione del rischio. Quella c’era già. C’erano già i limiti della macchina, l’uso previsto, l’uso scorretto ragionevolmente prevedibile, la gerarchia delle misure di protezione, l’istruzione per l’uso, la marcatura CE e la dichiarazione finale. Il punto è un altro: il regolamento (UE) 2023/1230 rende esplicito che software e digitale non sono più accessori da gestire a lato.
La macchina può essere un sistema la cui sicurezza dipende dal software. Può essere connessa in rete. Può ricevere aggiornamenti. Può dipendere da dati provenienti da sensori o da sistemi superiori. Può essere avviata da remoto. Può essere autonoma in alcune decisioni. Può essere modificata non solo con chiavi e cacciaviti, ma anche con parametri, firmware, ricette e configurazioni.
Tradotto in pratica: non basta più chiedere se i componenti hanno CE. Bisogna verificare se, una volta integrati, generano un rischio nuovo o modificano un rischio già noto. Non basta scrivere in una riga che la cybersicurezza è stata considerata. Bisogna dimostrare dove un evento cyber può toccare la sicurezza della macchina e quali misure sono state adottate.
La macchina non finisce nell’hardware
Una delle modifiche più concrete è questa: nella definizione di macchina rientra anche un insieme che soddisfa la definizione stessa ma non ha ancora installato il software destinato alla specifica applicazione prevista dal fabbricante. Sembra un dettaglio da giuristi. In realtà è un messaggio molto operativo: se il software è necessario perché la macchina svolga l’uso previsto, quel software non è un accessorio estetico. Fa parte di ciò che ne determina funzione, comportamento e sicurezza.
Se la conformità viene valutata senza considerare il software che la macchina userà davvero, la documentazione tecnica descrive un oggetto teorico, non la macchina reale che l’utilizzatore metterà in servizio.
La valutazione del rischio parte dai limiti della macchina
Qui ISO 12100 resta centrale, anzi diventa ancora più importante. Perché il punto di partenza non è la lista dei ripari o dei dispositivi. Il punto di partenza sono i limiti della macchina: ambiente, modi di funzionamento, compiti dell’operatore, interfacce, dipendenze da altri sistemi, fonti dei comandi, fasi del ciclo di vita, manutenzione, pulizia, diagnosi, arresto e riavvio.
Solo su questa base ha senso definire uso previsto e uso scorretto ragionevolmente prevedibile, individuare i pericoli, stimare il rischio e scegliere le misure di riduzione. Senza questa sequenza si produce una documentazione formalmente ordinata ma scollegata dalla realtà tecnica.
Quando il problema è il comportamento, non l’etichetta
Il filo logico è semplice: il problema inizia quando cambia il comportamento della macchina, il contesto d’uso o il modo in cui la persona interagisce con essa. Non quando compare una parola di moda in una brochure.
Accesso remoto e PLC
Prendiamo un caso banale e per questo pericoloso: una macchina con accesso remoto di assistenza. Un attacco, una cattiva configurazione o credenziali deboli permettono di caricare un programma modificato nel PLC. A prima vista sembra tutto uguale: i ripari sono al loro posto, l’E-STOP è ancora rosso, i certificati dei componenti sono nel fascicolo. Ma la macchina può muoversi in modo diverso. Può cambiare la sequenza, il tempo di arresto, la velocità, la logica di riavvio, la reazione all’apertura di un riparo.
Dire che è stato solo un incidente IT è troppo poco. Se l’effetto può essere movimento inatteso, mancato arresto o accesso a una zona pericolosa, siamo dentro la valutazione del rischio della macchina.
SCADA e sistemi superiori
Lo stesso vale per SCADA. Se si limita a leggere dati, l’impatto sulla sicurezza può essere basso. Ma va verificato, non presunto. Se invece SCADA scrive ricette, cambia parametri, commuta modalità operative, influenza abilitazioni o condizioni di restart, non stiamo più parlando di semplice supervisione. Stiamo parlando di un’influenza esterna sul comportamento della macchina.
In quel momento bisogna tornare ai limiti della macchina. Una postazione che prima era autonoma, una volta integrata in un sistema superiore, lavora con dipendenze diverse, comandi diversi, errori diversi e sorprese diverse per l’operatore. Dire che SCADA è lato cliente non risolve nulla. Se influenza il comportamento, entra nella valutazione del rischio.
Aggiornamenti software e ricollocazione
Anche un aggiornamento apparentemente innocuo può cambiare ciò che conta davvero: la sicurezza. Un update può alterare una logica di consenso, un ritardo, una soglia, una diagnostica, un timeout di comunicazione. Se questi elementi toccano una funzione di sicurezza, l’aggiornamento non è più manutenzione neutra. È una modifica con potenziale effetto sul rischio.
Stesso discorso per la ricollocazione della macchina. Spostare un impianto non significa automaticamente modifica sostanziale. Ma se il nuovo sito introduce condizioni ambientali o operative non previste — per esempio requisiti di stabilità, vibrazioni, interazioni con altri sistemi o vincoli strutturali diversi — allora i limiti della macchina cambiano. E quando cambiano i limiti, la valutazione del rischio non può fare finta di niente.
Cybersicurezza: entra dove tocca la funzione di sicurezza
Qui serve precisione. Il Regolamento Macchine 2023/1230 non trasforma il fabbricante di macchine in un fornitore di servizi di sicurezza informatica. Non gli chiede di diventare un SOC. Ma gli chiede di affrontare la cybersicurezza quando un danno accidentale o intenzionale, una modifica del software, una manipolazione dei dati o un’interferenza esterna possono portare a una situazione pericolosa.
Per questo il regolamento insiste su alcuni punti molto concreti: il collegamento con altri dispositivi o con dispositivi remoti non deve generare situazioni pericolose; software e dati rilevanti per la conformità devono essere identificati e protetti; gli interventi su configurazione e software devono lasciare traccia; i sistemi di comando devono resistere non solo ai guasti, ma anche a tentativi ragionevolmente prevedibili di causare una situazione pericolosa da parte di terzi.
In termini pratici, IEC 62443 può aiutare a strutturare la parte di automazione e rete. Il CRA aggiunge un altro strato per i prodotti con elementi digitali. Ma nessuno dei due sostituisce la domanda centrale di ISO 12100: questo scenario modifica il rischio della macchina o no?
Documentazione tecnica, dichiarazioni e moduli: qui si misura la conformità
La documentazione tecnica non può più essere un archivio passivo di schemi e PDF. Deve mostrare il ragionamento del fabbricante: quali requisiti si applicano, quali pericoli sono stati identificati, quali misure sono state adottate, quali rischi residui restano e in che modo software, dati, sensori, controllo remoto o autonomia incidono sulla sicurezza.
Quando appropriato, questo significa includere informazioni sul codice sorgente o sulla logica di programmazione del software riferito alla sicurezza. Significa descrivere sistemi comandati da sensori, avviati a distanza o autonomi quando la sicurezza dipende dai dati ricevuti. Significa spiegare capacità, limiti, dati e processi di prova e validazione. In breve: la documentazione deve dimostrare che il fabbricante capisce perché la macchina è sicura, non solo che ha raccolto file.
Allegato I, moduli A/B/C/G/H e organismo notificato
Un altro punto spesso banalizzato è la nuova logica dell’Allegato I, diviso in parte A e parte B. Non è solo una rinumerazione rispetto alla direttiva 2006/42/CE. La parte A richiede procedure più severe e, in pratica, porta all’intervento di un organismo notificato tramite i moduli A/B/C/G/H nelle combinazioni ammesse, in particolare B + C, G o H a seconda del caso. La parte B mantiene una logica più vicina al mondo già noto, ma solo se il percorso di conformità è davvero corretto.
Ed è qui che l’AI conta davvero: non perché “c’è AI”, ma perché un sistema con comportamento autoevolutivo basato su apprendimento automatico realizza una funzione di sicurezza. Questo caso non va trattato con la leggerezza di un software di analisi dati.
Dichiarazione di conformità UE e dichiarazione UE di incorporazione
Dal 20 gennaio 2027 non basta cambiare il titolo del modulo finale. La dichiarazione di conformità UE deve riflettere il nuovo impianto normativo. Deve indicare il percorso seguito per dimostrare la conformità, le norme o le specifiche utilizzate e, se applicate solo in parte, anche l’estensione di tale applicazione. Scrivere una frase generica del tipo conforme al regolamento non basta. Il regolamento definisce i requisiti; la dichiarazione deve mostrare con quale strada tecnica sono stati soddisfatti.
Per la quasi-macchina il documento corretto è la dichiarazione UE di incorporazione. Anche qui non è un semplice cambio di nome. Se un fornitore continua a usare un vecchio modello pensato per la direttiva 2006/42/CE senza aggiornare contenuti, riferimenti e logica documentale, il segnale è chiaro: probabilmente non ha aggiornato il processo, ha aggiornato solo l’intestazione.
Istruzioni digitali sì, ma non improvvisate
Il regolamento consente istruzioni e dichiarazione di conformità UE in formato digitale. È utile, ma non è un liberi tutti. Le istruzioni devono essere accessibili con la modalità indicata sulla macchina, sul prodotto, sull’imballaggio o nel documento accompagnatorio; devono poter essere stampate, scaricate e salvate; devono restare disponibili online per il ciclo di vita previsto e per almeno dieci anni dall’immissione sul mercato o dalla messa in servizio. Lo stesso vale, in sostanza, per la disponibilità digitale della dichiarazione.
Se il file sparisce dopo tre anni perché cambia il sito aziendale, non è digitalizzazione efficiente. È non conformità organizzata male.
Importatore e distributore non sono comparse
Il regolamento distribuisce responsabilità più chiaramente lungo la filiera. Importatore e distributore non possono limitarsi a spostare scatole. Devono verificare presenza di marcatura CE, documenti richiesti, dati identificativi, istruzioni comprensibili e corretto percorso documentale. Se immettono il prodotto con il proprio nome o lo modificano in modo rilevante per la conformità, possono assumere obblighi da fabbricante. Anche qui il messaggio è semplice: meno alibi, più tracciabilità.
Cosa fare adesso, senza aspettare il 2027 all’ultimo minuto
Chi lavora seriamente sulla conformità dovrebbe già fare cinque verifiche di base.
- Riesaminare i limiti della macchina considerando rete, software, accessi remoti, update, sensori e sistemi superiori.
- Rifare o aggiornare la valutazione del rischio con ISO 12100, non con una checklist ferma a dieci anni fa.
- Identificare chiaramente quali software e quali dati incidono sulla conformità e su ogni funzione di sicurezza.
- Verificare se il prodotto, o un suo componente di sicurezza, rientra nell’Allegato I parte A o parte B e quale procedura di valutazione della conformità è corretta.
- Allineare documentazione tecnica, istruzioni, dichiarazione di conformità UE e, quando serve, dichiarazione UE di incorporazione per la quasi-macchina.
Il punto finale è questo: non chiederti se la macchina ha AI. Chiediti chi, cosa o quale interfaccia può cambiarne il comportamento in modo rilevante per la sicurezza. È questa la domanda giusta. Ed è esattamente la domanda che il Regolamento Macchine 2023/1230 obbliga finalmente a mettere nero su bianco.