La Banca centrale europea ha convocato per martedì 26 maggio un vertice straordinario con i responsabili della sicurezza informatica dei principali istituti di credito dell'Eurozona. Al centro dell'incontro, Claude Mythos, il nuovo modello di intelligenza artificiale sviluppato da Anthropic, capace di superare i sistemi di difesa cyber attualmente impiegati dalle banche europee. La notizia, diffusa dall'ANSA, arriva in un momento in cui l'intero sistema finanziario continentale sta accelerando sulla digitalizzazione dei servizi, esponendo al tempo stesso superfici di attacco sempre più ampie. Per l'Italia, dove il settore bancario vale oltre il 260% del PIL e dove gli istituti hanno investito 2,8 miliardi di euro in cybersicurezza nel 2025, la minaccia assume contorni particolarmente delicati.

Non è la prima volta che le autorità di vigilanza europee lanciano un allarme, ma la convocazione d'urgenza da parte di Francoforte segnala un salto qualitativo nella percezione del rischio. Mythos rappresenta una categoria nuova di minaccia: non un malware tradizionale, ma un sistema di intelligenza artificiale generativa addestrato specificamente per identificare vulnerabilità nei protocolli di sicurezza bancari, adattarsi in tempo reale alle contromisure e sfruttare falle che gli strumenti di scansione convenzionali non rilevano. Secondo Frank Elderson, vicepresidente della BCE, il modello è in grado di decodificare patch di sicurezza e trasformarle in vulnerabilità sfruttabili in poche ore — operazioni che oggi richiedono giorni a team specializzati. Anthropic ha limitato la distribuzione del modello a un ristretto gruppo di grandi aziende tecnologiche e finanziarie nell'ambito del Progetto Glasswing, pensato per tappare le falle prima che modelli analoghi diventino diffusi.

Quando la difesa insegue l'attacco: il ritardo italiano

Il panorama italiano mostra una vulnerabilità specifica. Gli istituti di credito nazionali hanno sì aumentato gli investimenti in sicurezza informatica, ma gran parte delle risorse è stata destinata alla conformità normativa — DORA, NIS2, PSD3 — piuttosto che all'innovazione tecnologica pura. Il risultato è un'architettura difensiva spesso basata su soluzioni legacy, integrate con strati successivi di protezione che aumentano la complessità senza necessariamente rafforzare la resilienza complessiva. Banche come Intesa Sanpaolo e UniCredit hanno sviluppato centri di eccellenza interni, ma la maggior parte degli istituti di medie dimensioni dipende ancora da fornitori esterni, spesso gli stessi per molte realtà, creando punti di fragilità sistemica.

Il nodo non riguarda solo la capacità di risposta tecnica, ma anche quella organizzativa. La governance della sicurezza informatica nelle banche italiane resta frammentata: responsabilità distribuite tra direzione IT, risk management, compliance e sicurezza fisica, senza sempre un coordinamento efficace. Quando un attacco sfrutta intelligenza artificiale avanzata, la velocità di reazione diventa determinante, e strutture rigide faticano a tenere il passo. L'Associazione Bancaria Italiana ha avviato dal 2024 un tavolo permanente sulla cyber resilience, con simulazioni di stress test congiunti, ma la partecipazione resta volontaria e disomogenea.

La risposta europea tra regolamentazione e innovazione

La BCE non si limita a convocare. Contestualmente al vertice, Francoforte sta lavorando con l'Autorità bancaria europea per definire standard minimi comuni sulla capacità di rilevamento delle minacce basate su intelligenza artificiale. Si parla di requisiti quantitativi: tempi massimi di individuazione di anomalie comportamentali, soglie di falsi positivi accettabili, capacità di isolamento dei sistemi compromessi entro finestre temporali definite. L'obiettivo è evitare che la difesa rimanga ancorata a logiche reattive, quando gli attacchi si sono fatti predittivi.

Ma la regolamentazione da sola non basta. Alcuni istituti stanno sperimentando l'uso di intelligenza artificiale difensiva, modelli addestrati a prevedere le mosse di sistemi ostili e a generare contromisure automatiche. La francese BNP Paribas ha ampliato la partnership con Mistral AI per rafforzare le proprie difese cyber contro minacce di nuova generazione. Sono segnali di un cambio di paradigma, ma ancora isolati. La maggior parte delle banche europee attende indicazioni dall'alto, esponendosi nel frattempo a un divario tecnologico con gli attaccanti che si allarga settimana dopo settimana.

Il caso Mythos solleva anche interrogativi sulla trasparenza e sulla condivisione delle informazioni. Se un modello di intelligenza artificiale riesce a penetrare i sistemi di una banca, quali dati vengono esposti? E chi viene informato? Le normative europee impongono notifiche rapide alle autorità e, in certi casi, ai clienti, ma i tempi di reazione restano spesso inadeguati. Durante l'attacco ransomware che ha colpito nel 2025 una media banca tedesca, ci sono voluti quattro giorni prima che i clienti venissero avvisati della potenziale compromissione dei dati personali. Con Mythos, che opera con velocità superiori, quei quattro giorni potrebbero tradursi in perdite irreparabili.