La Banca centrale europea ha fissato per oggi un meeting con gli istituti del continente per alzare l’allerta sui rischi cyber generati dai nuovi modelli AI. Il nodo è la velocità: una vulnerabilità corretta da una patch potrebbe essere ricostruita dagli attaccanti in mezz’ora.

La Banca centrale europea alza il livello di allerta su Claude Mythos, il nuovo modello di intelligenza artificiale di Anthropic considerato dagli esperti uno degli strumenti più avanzati al mondo nella scoperta e nello sfruttamento di vulnerabilità informatiche.

Secondo quanto riportato dal Financial Times, la BCE ha convocato le banche europee per un meeting fissato martedì 26 maggio, con l’obiettivo di discutere i rischi per i sistemi IT del settore finanziario e accelerare le contromisure.

Il punto non è solo la potenza del modello, ma il cambio di scala che introduce nella cybersicurezza. Se strumenti come Mythos riescono a individuare falle complesse in tempi molto più rapidi rispetto ai team umani, il problema per le banche non diventa più soltanto scoprire le vulnerabilità, ma correggerle prima che possano essere ricostruite e sfruttate da attaccanti.

La BCE convoca le banche per discutere di Mythos

La riunione, scrive il FT, servirà a raccogliere le valutazioni degli istituti, far condividere esperienze e mettere pressione sul settore perché rafforzi i propri processi di patching, vulnerability management e cyber resilience. Il tema è particolarmente delicato perché Anthropic ha concesso l’accesso a Claude Mythos solo a un numero limitato di organizzazioni, soprattutto statunitensi, nell’ambito del programma Project Glasswing.

L’Europa, al momento, rischia di trovarsi in una posizione di svantaggio informativo. Alcune grandi banche statunitensi e altre organizzazioni selezionate hanno potuto testare il modello e individuare vulnerabilità nei propri sistemi, mentre gli istituti europei non dispongono dello stesso accesso diretto. Proprio per questo, la BCE punta anche a favorire la condivisione di informazioni da parte delle banche americane con tecnologie più avanzate verso le controparti europee.

Elderson: “Il tempo stringe”

Frank Elderson, membro del board della BCE e vicepresidente del Consiglio di vigilanza bancaria, ha spiegato al Financial Times che la velocità delle minacce cyber legate all’AI impone un cambio di passo. “Devono essere affrontate più velocemente”, ha detto, precisando che l’obiettivo della riunione è ascoltare le valutazioni delle banche, favorire lo scambio di esperienze e sottolineare l’urgenza del problema.

Il passaggio più rilevante riguarda il ciclo delle patch. Elderson ha avvertito che, quando un grande fornitore software rilascia un aggiornamento di sicurezza, potrebbe ormai essere possibile fare reverse engineering della vulnerabilità corretta non più in settimane, ma “forse in 30 minuti”. Questo significa che una banca deve avere processi pronti per applicare le patch molto più rapidamente rispetto alle attuali prassi di mercato.

Il problema non è solo Mythos

La BCE non guarda solo a Claude Mythos come singolo modello. Il timore più ampio riguarda l’arrivo di una nuova generazione di strumenti AI capaci di aiutare attaccanti e difensori a trovare falle, sviluppare exploit, analizzare patch e automatizzare porzioni di attività offensive.

Anthropic ha presentato Mythos come un modello così potente da richiedere accesso limitato e controllato. Nel contesto di Project Glasswing, la società ha dichiarato di aver aiutato circa 50 partner a individuare oltre 10mila vulnerabilità ad alta o critica severità in software sistemicamente rilevanti. Il risultato mostra il potenziale difensivo della tecnologia, ma anche il rischio se capacità simili finissero nelle mani di attori criminali o statali ostili.

Per le banche, il rischio è evidente. Sistemi legacy, infrastrutture complesse, dipendenze da fornitori esterni, applicazioni interne e ambienti cloud creano superfici d’attacco estese. Se l’AI riduce drasticamente il tempo necessario per individuare e sfruttare falle, la capacità di risposta deve crescere allo stesso ritmo.

BCE: Europa in ritardo sull’accesso ai modelli come Mythos

Il nodo geopolitico è altrettanto importante. Le banche europee non hanno lo stesso accesso diretto a Mythos garantito ad alcune organizzazioni statunitensi nell’ambito dei test. Elderson ha definito “sfortunata” questa mancanza di accesso, ma ha chiarito che non può diventare una scusa per non agire. “Il fatto che non abbiate accesso a questo modello non è una scusa per l’inazione”, ha detto, avvertendo che attori malevoli potrebbero presto disporre di tecnologie analoghe.

La preoccupazione è che l’Europa si trovi a reagire senza poter testare direttamente gli strumenti che stanno ridefinendo il rischio cyber. Da qui la necessità di coordinamento tra autorità, banche, fornitori tecnologici e partner internazionali.

Vai al sito di Cybersecurity Italia.

L'articolo L’AI cyber fa tremare la BCE: meeting d’urgenza per discutere come arginare Mythos sembra essere il primo su CyberSecurity Italia.