La Banca centrale europea ha organizzato una riunione il 26 maggio 2025 per affrontare i rischi legati alla cybersecurity causati dall’utilizzo crescente dell’intelligenza artificiale. Con il tema centrale dell’AI offensiva, sonostate coinvolte oltre 300 figure chiave provenienti da enti pubblici, aziende private e associazioni di settore per discutere una serie di questioni critiche, tra cui il modello Mythos di Anthropic, i tempi ridotti per applicare le patch di sicurezza, l'accesso asimmetrico alla tecnologia avanzata negli Stati Uniti ed il problema della readiness operativa bancaria entro il 2026.

La frontiera dell’AI e la risposta dell’UE

I dati tecnologici forniti da Anthropic mettono in luce che Mythos, un modello AI lanciato nel 2025, è capace di individuare vulnerabilità informatiche con una velocità che non ha precedenti. Il dashboard pubblico mostra che il modello ha scoperto 1.596 vulnerabilità in appena 281 progetti open source. Nell’insieme, il numero di vulnerabilità rilevate con i partner è stimato superare le 10mila unità, la stragrande parte delle quali valutate come “high” o “critical”, con solo 97 corrette fino a oggi, il che rivela un problema esteso e non trascurabile.

L’Unione Europea e 15 Paesi, tra cui l'Italia, hanno ottenuto l’accesso al modello Mythos, ma solo dopo un ritardo di un mese rispetto alle istituzioni e ai governi Usa. Questo accesso asimmetrico solleva problematiche su una possibile dipendenza tecnologica e una mancanza di sovranità europea in un settore ormai cruciale per la crescita economica e la sicurezza.

Un aspetto che mette in evidenza questo gap è l’executive order firmato recentemente da Donald Trump, il presidente Usa, che richiede alle grandi società di ai di permettere al governo federale un periodo di 30 giorni di ispezione e revisione per qualsiasi modello avanzato prima del suo lancio ufficiale. Questo intervento mira a proteggere la sicurezza nazionale e mostra una forte volontà di controllo Usa sull’AI, un controllo che l’Europa non sembra poter esercitare, vista la concentrazione di aziende con i modelli più avanzati negli Usa.

I tempi di risposta: quando trenta minuti diventano critici

Frank Elderson, vicepresidente del Consiglio di vigilanza bancaria della BCE, ha sottolineato la crescente criticità del fattore tempo nel contesto della gestione delle patch di sicurezza. Ha fatto riferimento a una metafora musicale: il tempo andante non basta più, bisogna passare al tempo presto, espressione che evidenzia l’accelerazione necessaria nel settore. Questa accelerazione è cruciale, considerando che oggi i tool di intelligenza artificiale possono ricostruire una vulnerabilità in soli trenta minuti, un ritmo di emergenza per le banche che ancora non hanno applicato gli aggiornamenti di sistema.

Per Elderson, non avere accesso a modelli avanzati come Mythos “non è una scusa per non agire”. Gli attori malevoli possono già sfruttare la tecnologia, un pericolo concreto che il settore bancario non si può permettere di sottovalutare.

I casi concreti: vulnerabilità e conseguenze

Tra gli esempi più significativi, spicca il lavoro svolto dal British AI Security Institute, che ha valutato il modello Mythos e ha rilevato che supera il 73% delle sfide di livello esperto nel benchmark “Capture the Flag”. Mozilla ha aggiornato Firefox 150 con 271 patch basate sull’AI, grazie alle rilevazioni di Mythos.

I temi tecnici e le sfide per le banche

Le banche europee, con architetture complesse costituite da sistemi di pagamento, middleware, software di gestione e fornitori terzi, stanno affrontando enormi sfide nella gestione delle vulnerabilità. Compressione del tempo di risposta e adattamento operativo sono solo alcune delle sfide per il settore. Con l’applicazione del regolamento DORA (gennaio 2025), le banche europee hanno nuove responsabilità legali e di conformità che impongono nuovi testing, reporting e gestione delle ICT.

Il DORA richiede un sistema di reporting più rigoroso e obbliga le banche a collaborare con enti esterni per garantire la sicurezza e la conformità. La BCE può usare questi strumenti come leve di governance, ma il rischio per le banche rimane alto.

Gli investimenti necessari per la sicurezza

Il giorno successivo alla riunione, il vicepresidente uscente Luis de Guindos ha ribadito l’esigenza per le banche di aumentare significativamente gli investimenti in cybersecurity. “Questo non è un costo una tantum – ha precisato – ma una spesa strutturale”. Queste parole indicano che l'intero settore dovrà riconsiderare i propri modelli di business, anche le istituzioni più piccole dovranno essere preparate.

I limiti operativi dell’UE: un divario pericoloso

I dati emersi mostrano che solo pochissime aziende europee sono state ammesse al programma Glasswing, in cui vengono utilizzati modelli come Mythos per la ricerca. Tra gli ammessi ci sono Google, Microsoft, Nvidia, JPMorgan Chase, ma nessuna di esse è un player europeo. Il governo Usa ha rifiutato estensioni per ragioni di sicurezza nazionale.

Come ha evidenziato Ieva Ilves, esperta di policy tecnologica europea, il modello Mythos, dato che rientra in un programma di ricerca chiuso, non è soggetto alle rigide norme europee sull’AI. Ciò esclude Anthropic dal controllo formale dell’UE, pur avendo un impatto esteso.

Le sfide regolatorie: un paradosso normativo

L’actuIA ha lanciato l’allarme che, sebbene il regolamento DORA ponga obblighi in materia di gestione del rischio ICT, non garantisce alcun accesso sovrano a strumenti AI avanzati. Un altro aspetto di debolezza è rappresentato dal divario operativo rispetto a Paesi come il Regno Unito, che ha firmato accordi bilaterali con gli Usa per il testing di modelli di frontiera, un vantaggio non replicabile nell’Ue.

Impatto sulla stabilità finanziaria

I dati forniti dal Financial Stability Board evidenziano che i rischi connessi all’AI non sono ristretti al settore bancario. La crescita esponenziale nell’uso delle tecnologie AI sta già creando vulnerabilità sistemiche, con potenziali implicazioni per la stabilità finanziaria globale. L'accesso limitato al modello Mythos da parte dell’Ue, rispetto agli Usa,