;Resize,width=767;)
La Banca Centrale Europea (BCE) ha indetto per domani, martedì 26 maggio, una riunione straordinaria dedicata alla cybersicurezza. L'obiettivo è spingere gli istituti di credito a rafforzare i propri sistemi informatici di fronte a una minaccia concreta, rappresentata dai più avanzati modelli di intelligenza artificiale.
Al centro del dibattito c'è Claude Mythos, un sistema generativo sviluppato dalla società americana Anthropic che ha dimostrato capacità finora senza precedenti: individuare falle nei sistemi di protezione software degli istituti di credito su scala globale con una velocità e una precisione mai viste prima. La tecnologia in questione è in grado di analizzare le patch software (i frammenti di codice rilasciati dai produttori per correggere vulnerabilità) e risalire al problema originario in meno di mezz'ora. Un lasso di tempo troppo breve perché i tecnici riescano a mettere al sicuro le infrastrutture bancarie prima che qualcuno le attacchi.
L'accesso a Mythos è oggi riservato a poche entità, per lo più nordamericane, coinvolte nel programma di test denominato Project Glasswing. La BCE potrebbe sfruttare la riunione di domani per convincere le sussidiarie europee dei grandi gruppi finanziari d'oltreoceano a condividere le informazioni raccolte durante questi test con le controparti del Vecchio Continente. La logica è semplice: costruire una difesa comune prima che strumenti simili finiscano nelle mani sbagliate.
Sia chiaro, a far paura punto non è un difetto critico nell'impalcatura informatica delle nostre banche, ma è la velocità con cui stanno avvenendo cambiamenti nel settore AI applicato a quello bancario. Durante le simulazioni controllate, gli sviluppatori hanno rilevato che Mythos è riuscito a scovare migliaia di vulnerabilità critiche all'interno delle piattaforme digitali e dei browser che utilizziamo ogni giorno e questo in tempi brevissimi.
Fino a ieri, i team tecnici delle banche gestivano gli aggiornamenti con tempi metodici, se pure lenti. Oggi, la potenza di calcolo di modelli come Mythos permette a potenziali attaccanti di fare reverse engineering – cioè decodificare a ritroso una correzione appena pubblicata per risalire al bug originario – in pochi minuti. Il risultato? Le banche non ancora aggiornate diventano bersagli potenzialmente facili da colpire.
Frank Elderson, vicepresidente del consiglio di vigilanza della BCE, ai microfoni del Financial Times ha usato una metafora musicale per descrivere la situazione: se fino ad oggi il ritmo moderato – definito da Elderson «andante» – per le procedure adottate era sufficiente, l'evoluzione dell'AI ci impone di passare a un tempo orchestrale decisamente più «presto». Parole che suonano come un campanello d'allarme per i 111 principali istituti della zona euro vigilati dalla BCE, tra cui le filiali europee di colossi come JPMorgan Chase, che hanno già avuto accesso a Mythos nell'ambito del Project Glasswing e dispongono quindi di dati preziosi. Riguardo all’importanza di essere rapidi nell’implementazione delle correzioni sofware da parte delle banche, Elderson ha spiegato senza mezzi termini:
Sembra che, se uno dei grandi fornitori di software rilascia una patch, sia possibile fare reverse engineering della vulnerabilità che la patch dovrebbe correggere, non in settimane, ma forse in 30 minuti. […] Questo significa che, una volta pubblicata la patch, una banca deve avere processi in atto per assicurarsi di applicare queste patch molto più velocemente di quanto non avvenga attualmente secondo le prassi di mercato.
C'è un'asimmetria evidente nell'accesso a queste tecnologie. Anthropic ha finora condiviso analisi e resoconti generali solo con pochissimi organismi sovranazionali, tra cui la Commissione Europea e il Financial Stability Board, escludendo i grandi gruppi bancari puramente europei. Ma questa esclusione temporanea non può diventare un alibi per restare fermi.
I vertici della vigilanza lo ricordano con forza: non utilizzare direttamente uno strumento non azzera il rischio che altri – inclusi gruppi criminali – lo facciano a breve. La riunione di domani, evento storicamente insolito al di fuori del normale calendario istituzionale, è un segnale forte e chiaro. Proteggere l'architettura dei dati finanziari è diventata una priorità strategica per le banche europee.
;Resize,width=578;)
;Resize,width=767;)
;Resize,width=727;)
;Resize,width=727;)
;Resize,width=727;)
;Resize,width=727;)
