Claude Mythos, l’ultimo modello Ai sviluppato da Anthropic, non è ancora uscito sul mercato ma ha già messo in allarme ministri delle finanze, governatori delle banche centrali e i vertici degli istituti di credito in tutto il mondo. La potenza di questo modello è tale che Christine Lagarde, la presidente della Bce, ha convocato per oggi una riunione d’emergenza per discuterne con i manager delle principali banche dell’area euro.
I test condotti su Mythos da team di esperti di sicurezza hanno dimostrato che il modello è capace di individuare migliaia di vulnerabilità gravi in sistemi operativi e browser tra i più diffusi al mondo, compresi quelli su cui si appoggiano molte banche europee in un tempo irrisorio rispetto agli esseri umani. Se finisce nelle mani sbagliate, Claude Mythos può essere una grave minaccia per i conti bancari europei e mondiali.
Cosa fa Mythos che gli altri modelli non fanno
Claude Mythos non è uno strumento di uso generale. Anthropic lo ha sviluppato specificamente per analizzare grandi basi di codice, identificare bug anche in software molto vecchi e ricostruire catene di vulnerabilità che, combinate, possono aprire falle critiche in sistemi che in apparenza sembrano sicuri.
Il problema non è Mythos in sé: è la velocità. Un criminale che disponesse di questo strumento potrebbe individuare e sfruttare una vulnerabilità nel giro di minuti, mentre oggi le banche impiegano mediamente settimane o mesi per testare i propri sistemi, applicare le patch di sicurezza e verificare che l’aggiornamento non abbia creato nuovi problemi.
Consapevole dei rischi, la società guidata da Dario Amodei non ha reso il modello disponibile al pubblico e lo sta testando nell’ambito di un programma ristretto (Project Glasswing) che include grandi aziende tecnologiche e alcuni istituti finanziari statunitensi. L’Europa non è stata inclusa in questa fase di test e questo aumenta il livello della minaccia per l’Ue.
L’allarme della Bce
Frank Elderson, membro del board della Bce e vicepresidente della vigilanza bancaria, ha parlato senza mezzi termini: “La mancanza di accesso a Mythos non può essere una scusa per l’inazione” ha dichiarato aggiungendo che “Le banche devono prepararsi subito a una generazione di modelli AI capaci di trovare vulnerabilità e sfruttarle in pochi minuti”.
Christine Lagarde ha confermato che la Bce sta sviluppando difese specifiche contro attacchi informatici potenziati da modelli come Mythos, ma ha riconosciuto lo svantaggio strutturale in cui si trova l’Europa: mentre alcune grandi banche americane hanno già accesso al modello e stanno testando le proprie difese, gli istituti europei lavorano ancora al buio.
Il Financial Times, che ha anticipato i contenuti della riunione di oggi, riferisce che la Bce ha chiesto alle banche dell’area euro di accelerare drasticamente il ciclo di aggiornamento dei propri sistemi IT e di portare a un livello molto più alto la capacità di risposta rapida in caso di attacco.
Perché le banche europee sono più esposte
Il problema non riguarda solo Mythos, ma l’infrastruttura tecnologica su cui il sistema bancario europeo si regge. Molte banche, soprattutto quelle di piccole e medie dimensioni, continuano ad appoggiarsi a sistemi informatici obsoleti, costruiti per accumulo nel corso di decenni, dove software di generazioni diverse si intrecciano e comunicano tra loro in modi difficili da mappare e ancora più difficili da aggiornare senza rischi di interruzioni operative.
Il punto è che un modello come Mythos non ha bisogno di trovare una vulnerabilità critica: gli basta identificare una catena di piccole falle, ciascuna innocua da sola, che combinate aprono una porta d’accesso ai sistemi di pagamento, ai database dei clienti o ai meccanismi di clearing interbancario.
Le banche statunitensi, secondo Reuters, hanno già iniziato a correre ai ripari: alcune hanno avviato programmi di revisione accelerata del codice sorgente dei propri sistemi, assumendo team dedicati alla sicurezza Ai. In Europa questo processo è ancora alle prime fasi.
Un rischio sistemico, non solo tecnico
Il punto che preoccupa di più i regolatori non è un singolo attacco a una singola banca. È il rischio di contagio. Il sistema bancario è interconnesso: i pagamenti, il clearing, i mercati dei titoli di Stato si reggono su infrastrutture condivise. Un attacco riuscito a un nodo critico può avere effetti a cascata su tutto il sistema, bloccando transazioni, creando incertezza sui mercati e minando la fiducia dei depositanti.
Al Financial Times, due fonti vicine ai lavori preparatori della riunione Bce hanno descritto Mythos come “la minaccia più concreta al sistema finanziario globale emersa dall’intelligenza artificiale“, precisando che il rischio non è teorico ma misurabile sulla base dei test già condotti.
Intervenendo a margine degli incontri Fmi-Banca Mondiale di Washington il mese scorso, la presidente della Bce, Christine Lagarde, aveva già detto che modelli come Mythos “se finissero nelle mani sbagliate, potrebbero avere conseguenze devastanti per la stabilità del sistema bancario mondiale“.
Australia e Nuova Zelanda hanno avviato un monitoraggio specifico delle esposizioni delle loro banche centrali ai rischi legati a Mythos, a riprova che la preoccupazione non è geograficamente circoscritta all’Europa o agli Stati Uniti.
Cosa può fare la Bce
La riunione di oggi è un passaggio politico prima che tecnico. La Bce non può obbligare le banche a cambiare le proprie infrastrutture dall’oggi al domani: può però comunicare con chiarezza che i vecchi tempi di aggiornamento (trimestrale, semestrale, annuale) non sono più compatibili con il livello di rischio attuale, e che la vigilanza guarderà con attenzione diversa gli istituti che non dimostrano progressi.
ùSul tavolo ci sono anche le richieste di accesso a Mythos per scopi difensivi: le banche europee, come quelle americane, vorrebbero poter usare il modello per testare i propri sistemi prima che lo faccia qualcun altro. Ma Anthropic non ha ancora aperto quella porta, e Bruxelles non ha ancora trovato il modo di negoziare condizioni di accesso in nome del sistema europeo.
