I modelli AI più potenti stanno diventando una preoccupazione concreta per chi vigila sulla tenuta del sistema finanziario europeo. A dirlo sono la Banca Centrale Europea e il Comitato europeo per il rischio sistemico, che hanno acceso un faro sui pericoli legati a queste tecnologie. Il punto è semplice, ma tutt’altro che rassicurante. Alcuni sistemi di intelligenza artificiale riescono a scovare falle nei software e a costruire attacchi in tempi rapidissimi, spesso prima ancora che gli sviluppatori riescano a correre ai ripari. E così le banche si trovano davanti a un compito preciso, ovvero rafforzare le difese contro i rischi di cybersicurezza.
Un nome che circola con insistenza in questo contesto è Claude Mythos 5, il modello di Anthropic capace di individuare vulnerabilità nei programmi. Per ora non è accessibile al pubblico, ma è proprio questa prospettiva a far discutere gli addetti ai lavori.
Cosa chiede la Banca Centrale Europea alle banche
La spinta arriva da una lettera firmata da Claudia Buch, presidente del Supervisory Board della Banca Centrale Europea, indirizzata ai vertici di 110 istituti bancari. Il messaggio è diretto e non lascia molto spazio all’interpretazione. I sistemi di intelligenza artificiale stanno evolvendo a una velocità impressionante, e i modelli più avanzati sanno trovare le debolezze nei software e scrivere gli exploit con una rapidità che mette in difficoltà chiunque debba difendersi.
Le banche, quindi, sono chiamate a fare la loro parte senza perdere tempo. Buch chiede di valutare subito l’impatto di questa minaccia e di preparare un piano d’azione dettagliato. Non parole generiche, ma misure concrete. Servono controlli più solidi, risorse allocate nel modo giusto, ruoli e responsabilità assegnati con chiarezza, oltre a scadenze precise per mettere tutto in pratica.
In particolare, l’attenzione si concentra sui sistemi ICT collegati a Internet, che vanno protetti meglio. Le patch di sicurezza devono essere applicate in fretta e le tecnologie ormai obsolete, quelle che non ricevono più aggiornamenti, vanno sostituite. Il calendario è stretto. Il piano d’azione dovrà arrivare entro il 31 ottobre 2026, il che lascia agli istituti meno di quattro mesi per organizzarsi.
L’avviso dell’ESRB e il nodo della dipendenza dagli Stati Uniti
Sul fronte del rischio sistemico si è mosso anche il Comitato europeo per il rischio sistemico, che ha diffuso un avviso dedicato proprio alle capacità cyber dei nuovi modelli di intelligenza artificiale. Nel documento emerge un tema che va oltre la sicurezza informatica pura. C’è infatti la questione della dipendenza dalle aziende statunitensi, un aspetto che spinge verso la necessità di rafforzare le competenze europee nel campo dell’intelligenza artificiale, in linea con quanto previsto dalla Commissione.
Curiosamente, in questi documenti non viene mai citato un modello specifico. Eppure il sospetto è forte. I timori sembrano ruotare attorno alla possibilità che Claude Mythos 5, o qualcosa di simile, possa un giorno diventare accessibile a tutti. E non si tratta di ipotesi campate in aria. Sia la NSA, la National Security Agency, sia la CISA, la Cybersecurity and Infrastructure Security Agency, hanno testato in prima persona il modello di Anthropic, verificando quanto rapidamente riesca a individuare vulnerabilità nei software.
Un dato che, messo insieme al resto, spiega bene perché le autorità europee abbiano deciso di muoversi ora, prima che questi strumenti finiscano in mani meno affidabili.