L’ia Claude Mythos mette in allarme le banche: martedì riunione in Bce

La Banca centrale europea ha convocato le banche europee per un incontro previsto martedì 26 maggio con l’obiettivo di intensificare la vigilanza sulla minaccia informatica emergente legata a nuovi modelli di intelligenza artificiale, in particolare a Claude Mythos, un sistema sviluppato da Anthropic che alcuni esperti considerano in grado di mettere alla prova gli attuali standard di sicurezza IT.

Nel corso della riunione, la Banca centrale europea solleciterà gli istituti a velocizzare l’adozione di contromisure e a valutare meccanismi di condivisione delle informazioni con controparti esterne, incluse banche con tecnologie avanzate situate fuori dall’Unione europea.

Obiettivo dell’incontro

La primaria finalità dell’assemblea è favorire uno scambio operativo sulle vulnerabilità emergenti e sulle best practice per mitigare i rischi cyber derivanti dall’uso di modelli IA di nuova generazione. In pratica, la Banca centrale europea intende raccogliere valutazioni dai partecipanti, far emergere esperienze pratiche e sottolineare l’urgenza di rafforzare le difese informatiche degli istituti finanziari.

In particolare, verrà posta attenzione alla possibilità che fornitori di software rilascino patch che possono essere rapidamente analizzate e sfruttate da attori ostili tramite tecniche di reverse engineering, riducendo drasticamente il tempo disponibile per le banche per rispondere agli aggiornamenti.

La posizione della vigilanza

Frank Elderson, membro del board della Banca centrale europea e vicepresidente del Consiglio di vigilanza sulle banche, ha spiegato:

“Data la rapidità con cui evolvono le minacce informatiche legate all’intelligenza artificiale, bisogna intervenire più rapidamente. Martedì intendiamo ascoltare le valutazioni degli istituti, condividere le esperienze e rimarcare l’urgenza di questo problema.”

Frank Elderson ha aggiunto:

“Sembra che, se uno dei grandi fornitori di software rilascia una patch, sia possibile fare reverse engineering della vulnerabilità che la patch dovrebbe correggere, non in settimane, ma forse in 30 minuti. Questo significa che, una volta pubblicata la patch, una banca deve avere processi in atto per assicurarsi di applicare queste patch molto più velocemente di quanto non avvenga attualmente secondo le prassi di mercato.”

Rischi tecnici e operativi

I rischi non sono solo teorici: l’accesso controllato a Claude Mythos tramite test come il cosiddetto Project Glasswing ha permesso a un numero limitato di organizzazioni non europee di sperimentare capacità avanzate del modello. Questo approccio di testing può accelerare scoperte tecniche che, se diffuse o sfruttate in modo improprio, amplificano la superficie di attacco contro le infrastrutture bancarie.

Per le banche ciò si traduce nella necessità di rivedere i processi di gestione delle patch, i contratti con fornitori terzi, la segmentazione delle reti e i piani di risposta agli incidenti, oltre a investire in strumenti di rilevamento e in competenze specifiche per l’IA e il reverse engineering.

Implicazioni regolamentari

La riunione rappresenta anche un momento di verifica per la vigilanza: la Banca centrale europea e il Consiglio di vigilanza sulle banche potrebbero richiedere report più frequenti su incidenti e vulnerabilità, nuovi requisiti di resilienza operativa digitale e test specifici sui fornitori di soluzioni IA. Questi interventi mirano a ridurre il rischio sistemico derivante da dipendenze tecniche concentrate su pochi attori esterni.

In prospettiva, le autorità europee potrebbero armonizzare linee guida per la condivisione di indicatori di compromissione e definire standard minimi di sicurezza per l’adozione di modelli IA all’interno del settore finanziario.

Conseguenze per banche e mercati

Sul piano operativo le banche italiane dovranno valutare la propria esposizione tecnica e la resilienza dei fornitori. A livello di mercato, un aumento della spesa in cybersecurity e nella gestione del rischio tecnologico potrebbe influenzare i conti degli istituti nel breve termine, ma ridurre l’esposizione a perdite più consistenti nel medio-lungo periodo.

Per gli investitori, la maggiore attenzione regolamentare e le conseguenti richieste di investimenti in sicurezza possono generare opportunità per fornitori di soluzioni informatiche e società specializzate in cyberdefence, ma aumentano il rischio di volatilità per le azioni bancarie soggette a eventi di sicurezza significativi.

Infine, la necessità di scambiare informazioni con controparti tecnologicamente avanzate pone questioni di sovranità digitale e management del rischio terziario che saranno centrali nelle scelte strategiche delle banche europee.

Cosa possono fare le banche italiane

Le contromisure pratiche includono l’adozione di processi di patch management accelerati, esercitazioni periodiche su incidenti legati all’IA, la revisione dei contratti con fornitori esterni per includere clausole di sicurezza più stringenti e la partecipazione a reti di condivisione informazioni tra operatori finanziari nazionali ed europei.

Inoltre è opportuno investire nella formazione specialistica del personale IT e di security, oltre a considerare soluzioni assicurative per il rischio cyber che possono attenuare l’impatto finanziario di eventi dannosi.

Prospettive a medio termine

Nel medio termine, la pressione su governance e tecnologie dovrebbe portare a una mappa più chiara delle responsabilità tra banche e vendor di intelligenza artificiale. Ciò potrebbe a sua volta favorire l’emergere di standard industriali e certificazioni che riducano l’incertezza operativa e migliorino la fiducia degli investitori nel settore finanziario europeo.

Un ecosistema più robusto in termini di sicurezza digitale potrebbe diventare un fattore competitivo per gli istituti che sapranno integrare efficacemente controlli tecnici e policy di rischio, contribuendo alla stabilità complessiva del sistema.

In sintesi

• La pressione regolamentare porterà a spese maggiori in cybersecurity per le banche italiane nel breve termine, ma può ridurre il rischio di perdite sistemiche future.
• La domanda di soluzioni e servizi di cyberdefence potrebbe creare opportunità di investimento per aziende tecnologiche specializzate in sicurezza e nello sviluppo di strumenti per IA sicura.
• L’aumento dei requisiti di condivisione informativa e certificazione dei fornitori potrebbe migliorare la trasparenza di mercato, influenzando positivamente la valutazione del rischio degli istituti finanziari.
• Per gli investitori italiani diventa cruciale monitorare l’esposizione delle banche ai fornitori esterni di IA e valutare come i piani di investimento in resilienza influenzeranno la redditività a medio termine.