Un modello di intelligenza artificiale può mettere a rischio l’intero sistema finanziario è l’incipit che ha costretto i vertici Usa a una riunione d’emergenza. La preoccupazione nasce da Mythos, un sistema sviluppato da Anthropic con capacità di analisi automatica che vanno ben oltre i tradizionali strumenti di sicurezza informatica. Per chi non è esperto, un modello di intelligenza artificiale è un insieme di algoritmi addestrati su grandi quantità di dati per compiere compiti come riconoscere schemi o suggerire azioni; Mythos è descritto come particolarmente potente nel riconoscere difetti e punti deboli nei software. La portata delle sue capacità ha fatto scattare l’allerta perché la scoperta casuale o l’uso malevolo di tali informazioni può tradursi in danni economici diretti e indiretti per banche, cittadini e infrastrutture.
Indice
- 1 Che cosa può fare Mythos e perché è diverso
- 2 Chi ha partecipato alla mobilitazione e cosa è emerso
- 3 Perché Anthropic ha scelto di non vendere Mythos sul mercato
- 4 Quali infrastrutture sono a rischio e che danni possono causare
- 5 Impatto diretto sui consumatori, risparmiatori e contribuenti
- 6 Costi e obblighi per le banche e per le autorità regolatorie
- 7 Azioni concrete possibili per ridurre il rischio
- 8 Rischio reputazionale e gestione della riservatezza
- 9 Cosa devono sapere e fare i cittadini
Che cosa può fare Mythos e perché è diverso
Mythos è in grado di individuare migliaia di vulnerabilità che finora erano sfuggite alle analisi umane e agli strumenti automatici tradizionali. Per vulnerabilità informatica si intende una debolezza in un programma, in una configurazione o in un sistema che può essere sfruttata per accedere, manipolare o bloccare dati e servizi. Mythos non solo segnala questi punti deboli, ma nei test è risultato capace di suggerire sequenze d’azione per sfruttarli e di fingersi interfaccia autorizzata per carpire dati di utenti. Questa differenza qualitativa tra segnali di rischio e istruzioni operative è ciò che ha reso la tecnologia oggetto di preoccupazione politica e industriale.
Chi ha partecipato alla mobilitazione e cosa è emerso
La riunione convocata dal Tesoro Usa ha visto la presenza dei vertici delle maggiori banche come Bank of America, Citigroup, Goldman Sachs, Wells Fargo e Morgan Stanley, e del presidente della Federal Reserve, Jerome Powell. L’assenza del CEO di JP Morgan Chase è stata notata, ma l’elemento saliente è stata la natura strettamente riservata dell’incontro, segno dell’urgenza percepita. Per il grande pubblico è utile chiarire che la Federal Reserve ha un ruolo nella stabilità finanziaria: quando esiste un rischio che può minare il funzionamento dei mercati o la capacità delle banche di operare, la Fed e il Tesoro intervengono per coordinare risposte. La partecipazione congiunta di regolatori e banche segnala che la questione è vista come rischio sistemico, cioè come minaccia che potrebbe propagarsi dall’infrastruttura informatica a tutto il sistema economico.
Perché Anthropic ha scelto di non vendere Mythos sul mercato
Anthropic ha preferito non commercializzare Mythos e lo ha inserito nel progetto Glasswing, destinato a fornire supporto esclusivo alle aziende che mantengono i sistemi operativi e le piattaforme principali. Il progetto Glasswing è concepito come un canale controllato per condividere i risultati e aiutare a correggere le falle individuate, anziché distribuire il modello in modo ampio. La scelta risponde al rischio che un’IA così potente, se finita nelle mani sbagliate, possa essere usata per attacchi diffusi contro servizi finanziari e infrastrutture critiche. L’approccio comporta però un dilemma: concentrare il controllo delle conoscenze in poche mani riduce rischi immediati, ma genera pressioni politiche e richieste di trasparenza su chi decide i criteri di accesso.
Quali infrastrutture sono a rischio e che danni possono causare
Le vulnerabilità individuate da Mythos non riguardano solo i servizi bancari, ma anche reti elettriche, acquedotti e sistemi di gestione del traffico aereo. Per un cittadino significa che un attacco informatico ben orchestrato può causare interruzioni di servizi essenziali, perdite patrimoniali o furti di dati personali. Tecnicamente, la capacità di penetrazione indica la possibilità di alterare processi automatizzati, bloccare transazioni o compromettere strumenti di autenticazione: tutte azioni che tradotte in termini economici possono comportare costi diretti per ripristino, perdite per clienti e oneri per il sistema finanziario. Le conseguenze possono estendersi all’operatività delle imprese, al ritmo dei pagamenti e alla fiducia complessiva nei servizi digitali.
Impatto diretto sui consumatori, risparmiatori e contribuenti
Il rischio informatico si traduce in ricadute concrete per famiglie e risparmiatori, che possono subire frodi sui conti, ritardi nei pagamenti o blocchi temporanei dei servizi bancari. In termini economici, la protezione dei depositi e il ruolo delle autorità pubbliche diventano centrali: se perdite sistemiche fossero ingenti, lo Stato potrebbe essere chiamato a intervenire con misure che implicano costi pubblici e potenziali impatti per i contribuenti. Il concetto di rischio sistemico qui assume valore pratico perché l’insolvenza o il malfunzionamento diffuso di istituti chiave può richiedere interventi coordinati per stabilizzare i mercati. Anche i lavoratori del settore possono subire conseguenze, come pressione sui budget per la sicurezza, ristrutturazioni o maggiori requisiti formativi.
Costi e obblighi per le banche e per le autorità regolatorie
Le banche devono aumentare investimenti in cybersicurezza e aggiornare controlli interni per chiudere le falle rilevate, con impatti sui bilanci e sulla redditività a breve termine. Per le autorità regolatorie il compito è definire obblighi di segnalazione, standard minimi e verifiche indipendenti che giustifichino i costi sostenuti dalle banche. In termini pratici, spese straordinarie per patching, audit e aggiornamenti software possono ridurre la capacità di erogare credito o aumentare i costi operativi trasferibili ai clienti. Se la portata degli interventi richiedesse misure pubbliche, si profilerebbe una scelta politica tra sostegno ai sistemi e limitazione dell’esposizione fiscale.
Azioni concrete possibili per ridurre il rischio
Le misure immediatamente attuabili comprendono audit indipendenti, condivisione di minacce e limitazione dell’accesso ai modelli più potenti tramite controlli di accesso e revisione del codice. Le aziende tecnologiche e le banche possono rafforzare i test di penetrazione, aggiornare sistemi di autenticazione e collaborare in consorzi per scambiare indicatori di compromissione. Anche azioni regolamentari come requisiti di trasparenza sullo sviluppo e l’uso di modelli AI, o limiti alle esportazioni tecnologiche, rientrano tra gli strumenti a disposizione dei governi. Queste misure hanno impatti operativi concreti: richiedono risorse umane specializzate e possono allungare i tempi di rilascio di software e servizi.
Rischio reputazionale e gestione della riservatezza
La gestione riservata della vicenda e le precedenti fughe di informazioni hanno aumentato le tensioni su chi detiene le competenze e come le rende disponibili. Anthropic ha ammesso di aver segnalato al governo federale le capacità offensive e difensive di Mythos, mentre in passato parti del suo software meno avanzato sono state compromesse da attori esterni. Il rischio reputazionale per aziende e banche può tradursi in perdite di fiducia da parte dei clienti e in ricadute sui prezzi delle azioni, con effetti economici misurabili. Per il mercato è essenziale che le informazioni sensibili siano gestite con equilibrio tra trasparenza e protezione delle contromisure tecniche.
Cosa devono sapere e fare i cittadini
I cittadini devono essere consapevoli dei rischi e delle tutele disponibili, come le garanzie sui depositi e gli strumenti di protezione offerti dalle banche. Dal punto di vista pratico, gli utenti possono seguire gli avvisi ufficiali delle loro istituzioni finanziarie e monitorare transazioni sospette, mentre le autorità possono emettere disposizioni per limitare impatti sistemici. È importante comprendere che la gestione di questa tipologia di rischio coinvolge sia il settore privato che il pubblico e che eventuali misure di emergenza possono avere riflessi sui conti correnti, sui servizi e, in ultima istanza, sulle scelte fiscali collettive. La situazione resta in evoluzione e richiede coordinamento continuo tra aziende tecnologiche, istituzioni finanziarie e regolatori.