La Banca centrale europea ha convocato per martedì prossimo un vertice straordinario con i responsabili della sicurezza informatica dei principali istituti di credito dell'Eurozona. Al centro dell'incontro, un modello di intelligenza artificiale battezzato Mythos, capace di superare i sistemi di difesa cyber attualmente impiegati dalle banche europee. La notizia, diffusa dall'ANSA, arriva in un momento in cui l'intero sistema finanziario continentale sta accelerando sulla digitalizzazione dei servizi, esponendo al tempo stesso superfici di attacco sempre più ampie. Per l'Italia, dove il settore bancario vale oltre il 260% del PIL e dove gli istituti hanno investito 2,8 miliardi di euro in cybersicurezza nel 2025, la minaccia assume contorni particolarmente delicati.
Non è la prima volta che le autorità di vigilanza europee lanciano un allarme, ma la convocazione d'urgenza da parte di Francoforte segnala un salto qualitativo nella percezione del rischio. Mythos rappresenta infatti una categoria nuova di minaccia: non un malware tradizionale, ma un sistema di intelligenza artificiale generativa addestrato specificamente per identificare vulnerabilità nei protocolli di sicurezza bancari, adattarsi in tempo reale alle contromisure e sfruttare falle che gli strumenti di scansione convenzionali non rilevano. Secondo fonti tecniche raccolte da operatori del settore, il modello sarebbe in grado di simulare comportamenti umani legittimi, rendendo estremamente difficile il rilevamento da parte dei sistemi di monitoraggio basati su regole o pattern storici.
Quando la difesa insegue l'attacco: il ritardo italiano
Il panorama italiano mostra una vulnerabilità specifica. Gli istituti di credito nazionali hanno sì aumentato gli investimenti in sicurezza informatica, ma gran parte delle risorse è stata destinata alla conformità normativa – DORA, NIS2, PSD3 – piuttosto che all'innovazione tecnologica pura. Il risultato è un'architettura difensiva spesso basata su soluzioni legacy, integrate con strati successivi di protezione che aumentano la complessità senza necessariamente rafforzare la resilienza complessiva. Banche come Intesa Sanpaolo e UniCredit hanno sviluppato centri di eccellenza interni, ma la maggior parte degli istituti di medie dimensioni dipende ancora da fornitori esterni, spesso gli stessi per molte realtà, creando così punti di fragilità sistemica.
Il nodo non riguarda solo la capacità di risposta tecnica, ma anche quella organizzativa. La governance della sicurezza informatica nelle banche italiane resta frammentata: responsabilità distribuite tra direzione IT, risk management, compliance e sicurezza fisica, senza sempre un coordinamento efficace. Quando un attacco sfrutta intelligenza artificiale avanzata, la velocità di reazione diventa determinante, e strutture rigide faticano a tenere il passo. L'Associazione Bancaria Italiana ha avviato dal 2024 un tavolo permanente sulla cyber resilience, con simulazioni di stress test congiunti, ma la partecipazione resta volontaria e disomogenea.
La risposta europea tra regolamentazione e innovazione
La BCE non si limita a convocare. Contestualmente al vertice di martedì, Francoforte sta lavorando con l'Autorità bancaria europea per definire standard minimi comuni sulla capacità di rilevamento delle minacce basate su intelligenza artificiale. Si parla di requisiti quantitativi: tempi massimi di individuazione di anomalie comportamentali, soglie di falsi positivi accettabili, capacità di isolamento dei sistemi compromessi entro finestre temporali definite. L'obiettivo è evitare che la difesa rimanga ancorata a logiche reattive, quando gli attacchi si sono fatti predittivi.
Ma la regolamentazione da sola non basta. Alcuni istituti stanno sperimentando l'uso di intelligenza artificiale difensiva, modelli addestrati a prevedere le mosse di sistemi ostili e a generare contromisure automatiche. La francese BNP Paribas ha annunciato a marzo un investimento di 400 milioni di euro in un laboratorio dedicato all'AI per la cybersicurezza, mentre in Italia il gruppo Bper ha stretto una partnership con il Politecnico di Milano per sviluppare algoritmi di rilevamento anomalie basati su machine learning. Sono segnali di un cambio di paradigma, ma ancora isolati. La maggior parte delle banche europee attende indicazioni dall'alto, esponendosi nel frattempo a un divario tecnologico con gli attaccanti che si allarga settimana dopo settimana.
Il caso Mythos solleva anche interrogativi sulla trasparenza e sulla condivisione delle informazioni. Se un modello di intelligenza artificiale riesce a penetrare i sistemi di una banca, quali dati vengono esposti? E chi viene informato? Le normative europee impongono notifiche rapide alle autorità e, in certi casi, ai clienti, ma i tempi di reazione restano spesso inadeguati. Durante l'attacco ransomware che ha colpito nel 2025 una media banca tedesca, ci sono voluti quattro giorni prima che i clienti venissero avvisati della potenziale compromissione dei dati personali. Con Mythos, che opera con velocità superiori, quei quattro giorni potrebbero tradursi in perdite irreparabili.
