Le banche europee devono fare i conti con una nuova urgenza: l’intelligenza artificiale può ridurre drasticamente il tempo tra una falla nota, una patch pubblicata e un possibile attacco. Il tema è al centro dell’ultima newsletter di IA Spiegata Semplice, che parte dalle preoccupazioni della Banca Centrale Europea e arriva al caso Claude Mythos, il modello di Anthropic pensato per la cybersecurity difensiva ma abbastanza potente da cambiare la grammatica del rischio.
Il problema non riguarda soltanto i reparti IT delle banche. Riguarda la fiducia nel sistema finanziario, la gestione dei fornitori, la sicurezza del software comune a molte istituzioni e la capacità delle autorità europee di muoversi alla stessa velocità dei modelli più avanzati.
Mettetevi comodi, iniziamo.
Si legge tutta in 4 min. e 20 sec.
Quando la patch diventa una corsa contro il modello
La Banca Centrale Europea ha messo il tema della resilienza operativa al centro del dibattito. In un intervento del 3 giugno, Frank Elderson ha parlato della necessità di rafforzare la resilienza operativa nell’era dell’AI, ricordando che le banche non possono trattare l’intelligenza artificiale come un rischio futuro. È già dentro i processi, dentro i fornitori, dentro la sicurezza e dentro le minacce.
Il punto più delicato è il patching. Per anni la sicurezza aziendale ha vissuto con un ritmo quasi amministrativo: si scopre una vulnerabilità, si pubblica una correzione, le organizzazioni pianificano l’aggiornamento, testano la compatibilità, distribuiscono la patch. Questo ciclo era già imperfetto. Con modelli capaci di analizzare rapidamente codice, bollettini tecnici e comportamento dei sistemi, il tempo morto tra correzione e sfruttamento rischia di diventare sottilissimo.
La newsletter usa un’immagine semplice: qualcuno pubblica il manuale per chiudere una porta blindata e, pochi minuti dopo, qualcun altro capisce come forzarla. La metafora funziona perché descrive bene il nuovo svantaggio dei difensori. Non basta sapere che esiste una falla. Bisogna correggerla, verificare che la correzione non rompa sistemi critici e farlo prima che un attaccante automatizzato trasformi l’indizio in exploit.
Per una banca questo non è un dettaglio tecnico. Significa coordinare sistemi legacy, software di terze parti, ambienti cloud, filiali, applicazioni mobile, sistemi di pagamento e fornitori esterni. La catena è lunga, e l’AI attacca proprio la lentezza delle catene lunghe.
Mythos non è solo un modello, è un test di maturità
Claude Mythos Preview è il nome che ha reso questa discussione meno astratta. Anthropic lo ha distribuito in modo limitato dentro Project Glasswing, iniziativa nata per usare modelli avanzati nella ricerca di vulnerabilità nel software critico. La società ha spiegato che i partner iniziali hanno già trovato più di 10.000 vulnerabilità ad alta o critica severità e che il programma viene esteso a circa 150 nuove organizzazioni in oltre 15 Paesi.
La logica è difensiva: dare un vantaggio temporaneo a chi deve proteggere infrastrutture essenziali. Energia, acqua, sanità, comunicazioni, hardware e software open source sono settori dove una falla non resta confinata dentro un singolo perimetro aziendale. Tom’s Hardware ha già raccontato perché Claude Mythos nelle infrastrutture critiche cambia scala al problema.
Il paradosso è evidente. Il modello che aiuta a trovare vulnerabilità può anche mostrare quanto sarà pericoloso il mondo quando capacità simili saranno più diffuse, meno controllate o integrate in strumenti economici. Anthropic lo scrive con prudenza, ma il messaggio è chiaro: entro pochi mesi altri laboratori potrebbero avere modelli della stessa classe, e non è detto che tutti adottino le stesse cautele.
Per questo la questione bancaria non è se una banca possa accedere a Mythos. La questione è se sia pronta a vivere in un mondo in cui strumenti analoghi saranno disponibili, direttamente o indirettamente, anche a chi vuole usarli per attaccare.
Il rischio finanziario non passa più solo dai mercati
Il Fondo Monetario Internazionale ha collegato esplicitamente AI, cyberattacchi e stabilità finanziaria. In un’analisi pubblicata a maggio, il FMI sostiene che i rischi per la stabilità finanziaria crescono quando l’intelligenza artificiale accelera la scoperta e lo sfruttamento delle vulnerabilità. Il passaggio rilevante è sistemico: molte istituzioni usano lo stesso software, gli stessi fornitori, gli stessi servizi cloud, gli stessi framework.
Quando una vulnerabilità colpisce un componente diffuso, la domanda diventa: quante istituzioni possono essere esposte nello stesso momento? Questo è il motivo per cui le autorità non guardano solo alla banca singola, ma alla concentrazione tecnologica del settore. La sicurezza di una banca ormai dipende anche dal codice di un fornitore, dal tempo di risposta di un vendor, dalla qualità del disclosure process e dalla velocità con cui una patch attraversa l’intera filiera.
Qui entra anche la regolazione europea. Il regolamento DORA ha già imposto al settore finanziario una disciplina più severa sulla resilienza digitale, sui fornitori ICT e sulla gestione degli incidenti. L’arrivo dei modelli cyber-capable rende però quella disciplina meno amministrativa e più operativa: non basta avere un registro dei rischi, serve una macchina di risposta che funzioni davvero.
Il punto è culturale prima ancora che tecnico. Molte organizzazioni hanno trattato la cybersecurity come costo, assicurazione o compliance. L’AI la riporta al centro della continuità industriale. Una banca che non riesce ad aggiornare in fretta non è solo esposta a un attacco. È lenta in un ambiente dove la lentezza diventa una vulnerabilità.
Anthropic corre anche sul piano industriale
La newsletter lega il caso Mythos alla traiettoria industriale di Anthropic. Il collegamento ha senso: il laboratorio che preoccupa i regolatori è lo stesso che sta diventando uno dei soggetti economici più pesanti dell’AI. Il primo giugno la società ha annunciato di aver depositato in modo confidenziale una bozza di registrazione S-1 presso la SEC per una possibile IPO. Pochi giorni prima aveva comunicato un round da 65 miliardi di dollari, con valutazione post-money di 965 miliardi e fatturato annualizzato superiore a 47 miliardi di dollari.
Tom’s Hardware ha già analizzato perché la possibile IPO di Anthropic riscrive anche gli equilibri con OpenAI. In questo caso, però, la dimensione finanziaria incrocia quella di sicurezza. Se i modelli più potenti diventano strumenti per proteggere infrastrutture critiche, allora la governance di un laboratorio privato diventa un tema pubblico.
Non è un’accusa ad Anthropic. È una constatazione. Quando una singola azienda può decidere chi accede a capacità difensive avanzate, in quali Paesi, con quali requisiti e con quali limiti, il confine tra prodotto, politica industriale e sicurezza nazionale si assottiglia. L’apertura dell’ufficio di Milano, raccontata anche da Tom’s Hardware AI Operator, conferma che la partita europea non è laterale.
L’Europa vuole modelli sicuri, accesso controllato e capacità industriale propria. Le banche vogliono strumenti per difendersi. I laboratori vogliono scalare. Sono obiettivi compatibili solo finché la fiducia regge. Appena il modello diventa troppo potente per essere distribuito normalmente, la fiducia smette di essere una parola da marketing e diventa architettura istituzionale.
Che cosa devono fare le banche lunedì mattina
La risposta non può essere “comprare un modello più potente”. La prima cosa da fare è più noiosa e più urgente: sapere quali sistemi sono esposti, quali fornitori contano davvero, quali patch restano ferme per ragioni organizzative e quali vulnerabilità vengono accettate per abitudine. Senza inventario, non c’è AI che tenga.
Il secondo passaggio è ridurre il tempo di remediation. Questo significa finestre di aggiornamento più frequenti, test automatizzati migliori, ambienti di staging realistici, metriche condivise tra sicurezza e operation, contratti con i fornitori che prevedano tempi di risposta coerenti con il nuovo scenario. Una patch critica che resta sospesa per settimane oggi è un rischio visibile.
Il terzo passaggio è usare l’AI anche in difesa, ma dentro un perimetro serio: triage delle vulnerabilità, analisi del codice, generazione assistita delle patch, simulazioni controllate, correlazione degli alert. Tom’s Hardware ha già spiegato come Mythos abbia trovato vulnerabilità open source, ma proprio quel caso mostra il collo di bottiglia: validare, correggere, coordinare, distribuire.
La difesa moderna non sarà fatta da un modello magico che chiude tutte le crepe. Sarà fatta da organizzazioni capaci di usare modelli, processi e responsabilità in modo coerente. L’AI accelera l’attaccante e il difensore. Vince chi ha già tolto attrito alla propria macchina interna.
Sipario e conclusioni
La lezione della settimana è meno spettacolare di un caveau violato e più scomoda: il rischio non nasce solo dalla potenza dell’AI, nasce dallo scarto tra quella potenza e la lentezza delle istituzioni che deve difendere. Se il modello ragiona in minuti e l’organizzazione aggiorna in settimane, il problema non è più solo tecnico. È gestionale.
Le banche hanno un vantaggio: sono tra i settori più regolati, vigilati e abituati a pensare in termini di rischio sistemico. Hanno anche uno svantaggio: sono piene di eredità tecnologiche, dipendenze da fornitori e procedure pensate per un mondo più lento. L’AI cyber-capable mette in crisi proprio quella lentezza.
Come sempre, gli autori di IA Spiegata Semplice invitano a rispondere alla newsletter con feedback, suggerimenti o anche solo un saluto. Questa volta, però, il tema non riguarda solo chi lavora in banca. Riguarda qualunque impresa che usa software critico e immagina ancora di poter rimandare gli aggiornamenti al prossimo ciclo ordinario.
La newsletter di IA Spiegata Semplice esce ogni venerdì e racconta l’intelligenza artificiale con taglio divulgativo, esempi concreti e attenzione al lavoro delle imprese.
Il podcast di IA Spiegata Semplice
Intelligenza Artificiale Spiegata Semplice
Ogni lunedì Pasquale Viscanti e Giacinto Fiore raccontano quello che sta accadendo grazie (o a causa) dell’intelligenza artificiale.
Il podcast di Tom’s Hardware
Two Humans in the Loop
Il podcast di Tom’s Hardware dedicato all’intelligenza artificiale e al suo impatto sulle nostre vite. Condotto da Valerio Porcu (senior editor Tom’s Hardware) e Fabrizio Degni (CAIO, AI Ethics & Data Governance). Pubblicato ogni venerdì sul canale YouTube B2B Labs e su Spotify.
#Adessonews seleziona nella rete articoli di particolare interesse.
Se vuoi leggere l’articolo completo clicca sul seguente link
Pasquale Viscanti e Giacinto Fiore
Source link
