Nella mattinata di domani, martedì 26 maggio, i vertici delle principali banche europee siederanno a un tavolo d’emergenza convocato dalla Banca Centrale Europea. L’ordine del giorno non riguarderà l’inflazione, i tassi di interesse o le turbolenze geopolitiche, ma una minaccia silenziosa e dirompente: la tenuta della sicurezza informatica nell’era dell’intelligenza artificiale offensiva.

A innescare il livello di massima allerta tra i regolatori è stato il recente debutto di Claude Mythos Preview, un nuovo modello di intelligenza artificiale sviluppato dall’azienda statunitense Anthropic. A differenza dei suoi predecessori, questo sistema non si limita ad assistere gli sviluppatori, ma è capace di scovare vulnerabilità “zero-day” in totale autonomia e a una velocità che surclassa le controparti umane. Le cifre emerse negli ultimi giorni fanno tremare i polsi: attraverso il “Progetto Glasswing”, un’iniziativa lanciata da Anthropic per testare il modello in un perimetro altamente ristretto, Mythos ha individuato oltre 10.000 falle critiche e ad alta gravità nei software più utilizzati al mondo in un solo mese.

L’eccezionalità di questo strumento è stata certificata anche dall’AI Security Institute (AISI) del Regno Unito, che ha rilevato come Mythos Preview sia riuscito a superare il 73% delle sfide di cybersicurezza “Capture the Flag” concepite per esperti umani di altissimo livello, un traguardo mai raggiunto prima dell’aprile 2025. Applicato al mondo reale, il modello ha permesso a partner come Mozilla di scovare ben 271 vulnerabilità nel browser Firefox, dieci volte il numero rilevato impiegando i modelli della generazione precedente.

Frank Elderson, vicepresidente del Consiglio di vigilanza della BCE, ha definito l’avvento di questa tecnologia un autentico punto di svolta (game changer) per la sicurezza informatica e ha lanciato un monito inequivocabile: se fino a ieri il ritmo della compliance bancaria poteva essere assimilato a un “andante” musicale, oggi è imperativo passare a un tempo “presto”. Il motivo del cambio di passo risiede nel collasso della cosiddetta “finestra difensiva”. Fino ad oggi, la pubblicazione di un aggiornamento di sicurezza (una patch) concedeva ai dipartimenti IT intere settimane per effettuare i test. Oggi, i nuovi modelli autonomi possono analizzare quella patch per creare un attacco mirato contro i sistemi non ancora aggiornati in meno di 30 minuti.

Tuttavia, l’Europa affronta questa crisi in una posizione di netto svantaggio strategico. Mentre i colossi di Wall Street come JPMorgan Chase, Bank of America e Goldman Sachs hanno ottenuto l’accesso privilegiato a Mythos per fortificare preventivamente le proprie infrastrutture, gli istituti di credito del Vecchio Continente ne sono stati esclusi. Elderson ha avvertito senza mezzi termini che “la mancanza di accesso non è una scusa per l’inazione”, esortando le banche statunitensi presenti in Europa a condividere le preziose informazioni sulle minacce con le banche rivali del continente, poiché attori malevoli potrebbero presto impadronirsi di capacità offensive simili.

Questa urgenza tecnologica si scontra pesantemente con l’attuale quadro normativo dell’Unione. Il Digital Operational Resilience Act (DORA), le cui regole sono entrate in vigore nel gennaio 2025, impone rigorosi requisiti di gestione del rischio, test di resilienza e aggiornamenti dei sistemi informatici critici su base settimanale. Regole che, seppur pensate per blindare il sistema, rischiano di apparire già insufficienti: un framework normativo ancorato a cicli lunghi fatica a competere con un’intelligenza artificiale capace di fiutare decenni di vulnerabilità latenti in pochi istanti.

L’allarme della vigilanza di Francoforte, infine, si estende al rischio sistemico vero e proprio. L’immenso bisogno di calcolo dell’IA ha spinto numerose banche a finanziare la costruzione di imponenti data center e infrastrutture digitali. La BCE teme che un attacco informatico di nuova generazione a questi hub scatenerebbe un disastroso “effetto a cascata”, paralizzando a monte interi settori, dai fornitori di energia elettrica ai produttori di hardware locali, tramutando improvvisamente miliardi di euro di crediti erogati in inesigibili sofferenze bancarie.

In attesa che l’ecosistema dell’innovazione continentale, trainato dalla start-up francese Mistral AI (attualmente in trattative con gruppi come BNP Paribas e HSBC), riesca a forgiare un’alternativa sovrana capace di sostituire Mythos per la difesa europea , il messaggio diramato da Francoforte segna un netto spartiacque: la sicurezza informatica burocratica e programmata non esisterà più. La finanza globale, volente o nolente, opera ora alla velocità della macchina.