La Banca Centrale Europea ha convocato le principali banche per colloqui urgenti sulle minacce alla sicurezza informatica poste da modelli avanzati di intelligenza artificiale, in particolare Claude Mythos di Anthropic. La BCE ha avvertito che gli aggressori possono ora effettuare il reverse engineering delle correzioni di sicurezza in meno di 30 minuti, un ritmo che rischia di superare i tradizionali cicli di patch. La mossa arriva mentre le autorità di regolamentazione cercano di contenere le conseguenze delle vulnerabilità guidate dall'IA che stanno rimodellando il panorama delle minacce.
Il modello IA supera i benchmark difensivi
L'AI Security Institute del Regno Unito ha testato Claude Mythos Preview e ha scoperto che ha superato il 73% delle sfide Capture the Flag di livello esperto, un traguardo che nessun modello IA aveva raggiunto prima di aprile 2025. Gli esercizi Capture the Flag simulano attacchi informatici reali e richiedono un ragionamento tecnico profondo. I risultati dell'istituto suggeriscono che i sistemi IA di frontiera possono ora identificare e sfruttare le debolezze più velocemente di quanto i team di sicurezza umani possano mitigarle.
La risposta di Mozilla con le patch
Mozilla ha dovuto rilasciare 271 patch di sicurezza in Firefox 150 basate sulle vulnerabilità scoperte da Claude Mythos. Quel numero supera di gran lunga le patch generate dal modello precedente, Opus 4.6, e mostra quanto velocemente l'IA possa trovare difetti in software ampiamente utilizzati. L'episodio sottolinea la pressione sugli sviluppatori per correggere i bug prima che gli aggressori li trasformino in armi.
L'urgenza della BCE: da 'andante' a 'presto'
Il vicepresidente della BCE Frank Elderson ha dichiarato che le banche devono accelerare la distribuzione delle patch da un tempo 'andante' a un tempo 'presto' perché l'IA sta accelerando le minacce. La BCE supervisiona 111 principali banche dell'Eurozona, la maggior parte delle quali non ha accesso diretto a modelli IA di frontiera come Claude Mythos attraverso l'iniziativa bancaria Project Glasswing. Questo divario lascia molte istituzioni cieche rispetto agli stessi strumenti che i loro avversari potrebbero utilizzare.
L'avvertimento di Elderson punta a un problema semplice: se i difensori non possono testare contro l'IA più recente, non possono anticipare gli attacchi che essa abilita. La BCE non ha specificato scadenze per la conformità, ma il messaggio è chiaro: i cicli di patch lenti non sono più accettabili.
Accesso ineguale all'IA di frontiera
Project Glasswing è stato creato per dare alle banche accesso a modelli IA avanzati, ma la partecipazione è limitata. La maggior parte delle banche supervisionate dalla BCE è ancora esclusa. Questa asimmetria crea una dinamica pericolosa: gli aggressori possono sfruttare debolezze che i difensori non hanno nemmeno visto modellare. La BCE sta spingendo per un accesso più ampio, ma non è stata annunciata alcuna tempistica.
La domanda immediata è se le 111 banche sotto la supervisione della BCE riceveranno gli strumenti necessari per tenere il passo, o se il divario tra attacco e difesa continuerà ad allargarsi.
