Non è soltanto una questione tecnologica. E nemmeno una disputa commerciale tra colossi dell’intelligenza artificiale. Dietro l’allarme lanciato dalla Banca centrale europea sul modello Claude Mythos di Anthropic si intravede qualcosa di più profondo: il timore che la rivoluzione dell’IA applicata alla cybersicurezza possa accentuare le fragilità strategiche dell’Europa, esponendo le banche a una nuova generazione di attacchi informatici condotti “alla velocità degli algoritmi”.
A rendere esplicita questa preoccupazione è stato Frank Elderson, membro dell’executive board della Bce e vicepresidente del supervisory board, che in un’intervista ha parlato di Mythos come di un “game-changer” capace di modificare radicalmente il panorama della sicurezza digitale. Un intervento che arriva mentre le grandi banche americane stanno già correndo ai ripari dopo aver ottenuto accesso anticipato al sistema di Anthropic e mentre anche il Giappone si prepara ad aprire le porte del proprio sistema finanziario al modello.
Nel frattempo, negli Stati Uniti il tema è diventato materia di sicurezza nazionale, al punto che Anthropic è stata convocata per un briefing a porte chiuse davanti alla commissione Sicurezza interna della Camera dei rappresentanti.
COSA PREOCCUPA LA BCE SU MYTHOS
L’intervento di Elderson colpisce soprattutto per il tono. Per il dirigente della Bce Mythos “non è un semplice avanzamento tecnologico”, ma “una vera e propria rivoluzione nella cybersicurezza”.
Il modello di Anthropic, secondo Elderson, presenta almeno tre elementi che lo distinguono nettamente dagli strumenti utilizzati finora. Il primo riguarda la capacità di “individuare e sfruttare autonomamente le vulnerabilità con una velocità e una portata di gran lunga superiori” rispetto agli strumenti esistenti. Il secondo aspetto è la capacità di mettere insieme rapidamente piccole falle informatiche che, prese singolarmente, sembrano poco pericolose ma che combinate possono trasformarsi in attacchi molto più gravi. Operazioni che finora richiedevano giorni di lavoro da parte di specialisti. Il terzo, forse il più inquietante per le banche, riguarda invece possibilità di “leggere” gli aggiornamenti di sicurezza dei software per individuare quasi in tempo reale i punti deboli che stanno correggendo.
In pratica, ciò che prima richiedeva settimane di analisi potrebbe essere realizzato nel giro di poche ore.
La conseguenza, per la Bce, è che l’intera logica della resilienza operativa delle banche rischia di dover essere riscritta. Un allarme che nei giorni scorsi era stato lanciato anche dal Fondo monetario internazionale, preoccupato per i possibili effetti sistemici dell’IA sulla sicurezza del settore finanziario.
Elderson parla apertamente di una “situazione urgente” e avverte che il tempo prima che queste capacità diventino accessibili su larga scala potrebbe essere “brevissimo”.
Il punto è che l’intelligenza artificiale rischia di mandare in soffitta la vecchia distinzione tra falle “serie” e falle “minori”. Anche piccoli difetti software, se combinati rapidamente da sistemi come Mythos, possono diventare il punto di partenza per attacchi molto più pericolosi.
“Le vulnerabilità un tempo considerate minori devono essere trattate come urgenti e risolte immediatamente”, ha spiegato Elderson.
IL PARADOSSO EUROPEO: L’IA C’È, MA NON NELL’UE
L’aspetto più delicato della vicenda, almeno dal punto di vista geopolitico, è però un altro. Le banche europee non hanno accesso a Mythos.
Anthropic ha infatti presentato Mythos all’inizio di aprile definendolo “troppo potente per essere rilasciato al pubblico” e ne ha limitato l’accesso attraverso il progetto Glasswing, che coinvolge grandi gruppi tecnologici come Apple, Amazon, Microsoft, Google, Cisco e Broadcom. Una scelta motivata ufficialmente con ragioni di sicurezza, ma che di fatto sta creando una nuova asimmetria tecnologica tra Stati Uniti ed Europa.
La Bce riconosce il problema. “Le banche dell’area euro attualmente non hanno accesso a Mythos”, ammette Elderson, il quale però aggiunge subito: “La mancanza di accesso non è una scusa per l’inerzia”. Al contrario, proprio il fatto di restare esclusi dal modello di Anthropic impone agli istituti europei di accelerare sulle difese informatiche.
Dietro l’allarme della banca centrale europea si intravede anche una preoccupazione più ampia: che il vantaggio nell’intelligenza artificiale applicata alla cybersicurezza finisca per concentrarsi negli Stati Uniti e, in prospettiva, in alcuni paesi asiatici, lasciando l’Europa in ritardo.
Il nodo non riguarda soltanto il rischio di attacchi sempre più sofisticati. Il problema è che anche gli strumenti difensivi più avanzati rischiano di restare nelle mani di un numero ristretto di soggetti con accesso privilegiato ai nuovi modelli.
Per questo Elderson invita le banche europee a rafforzare subito i controlli sulle vulnerabilità utilizzando gli strumenti di IA già disponibili e a monitorare con attenzione le indicazioni che arriveranno dagli istituti e dalle aziende che stanno già lavorando con Mythos.
LE BANCHE AMERICANE GIÀ IN EMERGENZA
L’allarme della Bce arriva mentre negli Stati Uniti gli effetti concreti di Mythos stanno già emergendo.
Come riferito da Reuters , le principali banche americane che hanno ottenuto accesso al modello stanno affrontando una corsa contro il tempo per correggere centinaia o addirittura migliaia di vulnerabilità individuate dall’intelligenza artificiale di Anthropic.
Tra gli istituti coinvolti figurano Goldman Sachs, Citigroup, Bank of America, Morgan Stanley e JPMorgan Chase. Il problema è che Mythos sta individuando falle informatiche a una velocità molto superiore rispetto alla capacità tradizionale delle organizzazioni di correggerle.
Vulnerabilità considerate di gravità bassa o moderata vengono ora sistemate nel giro di pochi giorni, mentre in passato gli interventi potevano essere rinviati per settimane.
Tra le capacità che allarmano di più c’è quella di combinare vulnerabilità minori fino a costruire attacchi molto più sofisticati.
Adam Meyers di CrowdStrike ha raccontato a Reuters che il suo team ha impiegato “un intero weekend” soltanto per capire come usare Mythos. Quando ne ha visto le capacità, la sua reazione istintiva è stata: “Qui cambia tutto”.
Il problema è che la necessità di correggere rapidamente centinaia di falle potrebbe tradursi in interventi tecnici più frequenti e quindi in possibili rallentamenti o interruzioni temporanee dei servizi bancari. Per questo le banche stanno organizzando gli aggiornamenti con grande cautela.
Il nodo centrale, però, resta l’asimmetria tra capacità offensive e capacità difensive. Grossi banchieri come Jamie Dimon di JPMorgan e Nitin Seth di Incedo ritengono infatti che l’IA stia aumentando velocità e portata degli attacchi informatici più rapidamente di quanto le banche riescano a rafforzare le proprie difese.
IL GIAPPONE SI MUOVE, L’EUROPA OSSERVA
Mentre l’Europa resta esclusa dall’accesso diretto a Mythos, il Giappone sembra invece pronto a entrare nel ristretto gruppo di paesi ammessi.
Mitsubishi Ufj Bank, Sumitomo Mitsui Banking e Mizuho Bank dovrebbero ottenere l’accesso al modello entro la fine di maggio.
La decisione sarebbe stata comunicata direttamente dal segretario al Tesoro statunitense Scott Bessent durante alcuni incontri avuti in Giappone.
L’accesso a Mythos non appare più soltanto come una scelta commerciale, ma come un tema che coinvolge i rapporti tra governi, sistemi finanziari e alleanze geopolitiche.
Tokyo aveva già chiesto a Washington di poter utilizzare il sistema e la premier Sanae Takaichi ha ordinato di rafforzare i controlli sulle vulnerabilità delle infrastrutture strategiche.
IL CASO ARRIVA AL CONGRESSO USA
La tensione crescente attorno a Mythos emerge anche sul piano politico americano.
Anthropic terrà infatti un briefing a porte chiuse davanti alla commissione Sicurezza interna della Camera dei rappresentanti degli Stati Uniti. L’incontro si concentrerà sulle capacità del modello, sulle implicazioni per la sicurezza nazionale e sulle possibili conseguenze normative.
Non è il primo confronto tra Anthropic e il Congresso americano sul tema. Il rilascio limitato di Mythos aveva già attirato forte attenzione negli ambienti politici di Washington.
LA RISPOSTA DI OPENAI
Il caso Mythos si intreccia con la crescente sfida tra Anthropic e OpenAi nella cybersicurezza.
La società guidata da Sam Altman ha lanciato Daybreak, un sistema pensato per individuare vulnerabilità informatiche e competere direttamente con Mythos, e ha annunciato che offrirà all’Europa l’accesso al modello Gpt-5.5-Cyber per governi, agenzie e imprese.
Una scelta che ha anche un significato strategico: accreditarsi come partner tecnologico più aperto verso l’Europa rispetto ad Anthropic.
