L’alleanza di intelligence nota come Five Eyes ha diffuso il 22 giugno un avvertimento congiunto: i modelli di intelligenza artificiale più avanzati sono in procinto di superare le attuali difese cibernetiche in una finestra temporale che non si misura più in anni, ma in mesi. La dichiarazione, firmata da Stati Uniti, Regno Unito, Canada, Australia e Nuova Zelanda, sottolinea che i sistemi di frontiera «abbasseranno le barriere per gli attori malevoli e aumenteranno velocità e complessità degli attacchi», esortando governi e imprese a integrare strumenti di IA nelle operazioni di sicurezza, aggiornare le infrastrutture obsolete e limitare l’accesso ai sistemi critici. L’iniziativa coincide con la decisione dell’amministrazione Trump di imporre un embargo sui modelli Mythos 5 e Fable 5 di Anthropic, dopo che Amazon – principale investitore della startup con circa 13 miliardi di dollari – aveva segnalato alla Casa Bianca la capacità di quei sistemi di individuare e concatenare vulnerabilità software in modo potenzialmente utilizzabile per un cyberattacco.

Secondo fonti vicine al Dipartimento del Commercio statunitense, la restrizione è stata motivata dal timore che i modelli finissero nelle mani dei servizi militari di Cina, Russia o altri paesi considerati a rischio. Anthropic ha obbedito disattivando l’accesso per tutti gli utenti, non potendo filtrare in tempo reale la nazionalità, ma ha definito la vulnerabilità segnalata come minore e riproducibile anche su altri modelli pubblici. Un gruppo di ricercatori e imprenditori della cybersecurity ha firmato una lettera aperta in cui chiede a Washington «un processo aperto, scientifico e trasparente» per le valutazioni di rischio, mentre il consigliere presidenziale David Sacks ha ribattuto che una falla capace di azionare un’arma cibernetica non può essere derubricata. Lo stesso Trump, in un’intervista successiva, ha dichiarato di non considerare più Anthropic una minaccia alla sicurezza nazionale, segnalando un approccio regolatorio che osservatori di Bruxelles descrivono come oscillante e privo di un quadro coerente.

Per l’Europa e l’Italia il nodo è duplice. Il National Cyber Security Centre britannico ha messo in guardia contro l’uso non supervisionato del codice generato dall’IA, che può introdurre falle difficili da rilevare, mentre l’Agenzia dell’Unione europea per la cybersicurezza (ENISA) segue con attenzione l’evolversi della minaccia nel contesto dell’AI Act appena entrato in vigore. Analisti europei osservano che la compressione dei tempi rende urgente un adeguamento delle direttive NIS2 e dei piani nazionali di resilienza cibernetica, anche perché modelli open source cinesi come GLM 5.2 stanno già colmando il divario con i sistemi occidentali di frontiera, rendendo probabilmente effimero qualsiasi embargo unilaterale. Nell’ottica di Pechino, la corsa all’IA è parte di una competizione strategica più ampia, e la diffusione di modelli aperti è funzionale a ridurre il vantaggio tecnologico degli Stati Uniti.

Il dossier resta aperto su più tavoli. I negoziati tra Anthropic e il governo americano proseguono, mentre la dichiarazione dei Five Eyes – un evento raro per un’alleanza che predilige canali riservati – sembra preparare il terreno a un coordinamento internazionale più stringente. In parallelo, un gruppo ristretto di startup, tra cui Lucid Computing, sta sviluppando strumenti di verifica ispirati ai meccanismi di controllo degli armamenti della Guerra Fredda, con l’obiettivo di consentire ispezioni senza compromettere i segreti industriali. La prossima riunione del Consiglio Affari Esteri dell’UE potrebbe inserire il tema nell’agenda del dialogo transatlantico sulla sicurezza delle tecnologie emergenti.