Negli ultimi mesi Anthropic è riuscita a scavalcare la valutazione di OpenAI. Che però ha sfruttato il passo falso dei rivali su Mythos (potentissimo modello per la cybersecurity) per portarsi avanti in Europa.
La partita a scacchi tra Anthropic e OpenAI si gioca anche in Europa. O meglio: OpenAI ha deciso di giocarla appena Anthropic ha fatto capire di non avere grande considerazione del continente per i suoi piani relativi a Mythos, il modello specializzato in cyber al quale hanno avuto accesso diversi soggetti, nessuno dei quali europeo.
Il modello “troppo avanzato per essere rilasciato” sviluppato da Anthropic è al centro delle preoccupazioni della Federal Reserve e delle autorità americane sin da quando ne è trapelata l’esistenza grazie a un articolo di Fortune.com. Per cominciare a capire cosa sappia fare (come trovare vulnerabilità informatiche nascoste da decadi) Anthropic ha creato una sorta di alleanza di partner con accesso al modello (Project Glasswing) dove di europei non c’è traccia.
A metà maggio in Europa ha lanciato l’allarme anche la Bce, come aveva fatto la Fed settimane prima in America, esortando gli istituti nostrani a prepararsi a un impatto che per ora nel nostro continente si può solo immaginare. Negli stessi giorni, OpenAI ha fatto la sua mossa, vedendo un’opportunità di mercato: la Commissione europea potrebbe essere tra i primi a poter avere accesso al modello cyber sviluppato dall’azienda guidata da Sam Altman in risposta a quello del rivale Dario Amodei.
OpenAI ha presentato Daybreak, una piattaforma di sicurezza informatica che usa l’agente Codex e la famiglia di modelli di ChatGpt (GPT-5.5, GPT-5.5 con Trusted Access o GPT-5.5-Cyber, in base al livello di accesso) per automatizzare il rilevamento delle vulnerabilità e lo sviluppo di software sicuro per le aziende e i governi. Tra i partner ci sono Cisco, CrowdStrike e Palo Alto Networks, mentre al momento dell’annuncio le discussioni con la Commissione europea erano ancora in corso.
A metà maggio OpenAI ha invitato ad accedere al suo sistema gli stessi soggetti che stavano combattendo per convincere Anthropic. Tra questi c’è l’Enisa, l’agenzia europea per la cybersicurezza, che abbiamo raggiunto per un commento. Un portavoce ci ha confermato che “Enisa è stata contattata da OpenAI per queste discussioni, così come da altri operatori di mercato che stanno sviluppando modelli Frontier AI”. A riportare la notizia è stata Politico, riferendo che a guidare le mosse di OpenAI in questo ambito è l’ex Cancelliere dello Scacchiere del Regno Unito George Osborne, che ha scritto alla Commissione e ha avviato il “processo di contatto con gli Stati membri”, ha aggiunto Osborne.
“L’idea è lavorare con loro per assicurarsi che siano adeguatamente difesi”, ha dichiarato alla testata. Bruxelles avrebbe accesso alla versione del modello più permissiva in ambito cyber, con ogni tipo di salvaguardia per impedire agli utenti di trasformarlo in uno strumento di hacking – una delle paure connesse a Mythos, che è già stato ottenuto senza autorizzazione da una serie di soggetti attraverso fornitori di Anthropic.
La mossa di OpenAI giunge proprio mentre i funzionari dell’Ue hanno iniziato a perdere la pazienza con Anthropic per aver limitato il rilascio del suo modello cyber Mythos a una dozzina di aziende tecnologiche e di cybersicurezza fidate con sede negli Stati Uniti e a 40 organizzazioni non identificate.
Secondo un portavoce Enisa “i modelli di AI di frontiera stanno sfidando i paradigmi di sicurezza tradizionali comprimendo il ciclo di vita e la catena di attacco della gestione delle vulnerabilità, dalla scoperta allo sfruttamento. Dobbiamo sistemare urgentemente le basi”, su cui lavorare, ha scritto un portavoce.
“Enisa sta attualmente consultando le autorità nazionali, la Commissione europea così come le organizzazioni che producono e accedono ai modelli per comprendere le pressioni operative di oggi, le svolte strategiche di domani e le incertezze esistenziali del dopodomani. Questo contributo collettivo contribuirà a definire la risposta unificata dell’Europa”.
Enisa, che ha sede in Grecia, ha subito ultimamente una certa pressione: un gruppo di 30 parlamentari ha formalmente chiesto all’agenzia di ottenere l’accesso a Mythos e a inizio giugno ci potrebbe essere stata una svolta: l’azienda di Amodei sta valutando concretamente tale possibilità. Precedentemente, la Commissione aveva detto che i colloqui con Anthropic sono molto lontani da una soluzione come quella proposta da OpenAI. Al momento in cui scriviamo sta redigendo raccomandazioni sui modelli di frontier AI “per definire una direzione chiara” su cosa le organizzazioni dovrebbero puntare nel coordinamento europeo, nell’applicazione delle leggi nazionali, nelle operazioni di difesa e nei cicli di vita dei produttori.
Il caso Mythos e il passo indietro dell’Europa
La vicenda Mythos si inserisce in un clima di forte incertezza normativa. Secondo molti osservatori, la governance europea dell’intelligenza artificiale ha subito una brusca frenata a causa del cosiddetto Decreto Omnibus.
L’AI Act è il regolamento Ue volto, tra le altre cose, a classificare i sistemi di AI in base al rischio (da ‘minimo’ a ‘inaccettabile’). L’Ue ha emanato un Decreto Omnibus: un provvedimento tecnico ‘correttivo’ che serve ad armonizzare le nuove regole sull’AI con le leggi di settore già esistenti (come quelle sulla sicurezza dei prodotti o sui dispositivi medici) e, soprattutto, a rimodulare le tempistiche di attuazione.
Secondo Maria Rosaria Taddeo, professoressa ordinaria di Digital Ethics and Defence Technologies all’Università di Oxford, questo intervento non è una semplice messa a punto: è un rollback. “Lo trovo problematico e scarsamente giustificato. L’unica misura davvero sensata riguarda la doppia compliance con le normative settoriali; tutto il resto è grave”.
Sui sistemi ad alto rischio (Allegato III dell’AI Act) le norme per i sistemi di AI usati in ambiti delicatissimi come lavoro, istruzione, giustizia e migrazione slittano al 2 dicembre 2027. Per le tecnologie integrate in prodotti soggetti a certificazioni di sicurezza europee, la data di conformità slitta al 2 agosto 2028. Le ‘sandbox’ sono ambienti di prova protetti dove le aziende possono testare software innovativi sotto la supervisione delle autorità. Secondo Taddeo, il loro rinvio danneggia pesantemente le Pmi, che restano prive di una guida per sviluppare tecnologia conforme alle regole.
Mentre il divario con giganti come Usa e Cina continua ad aumentare, la regolamentazione debole o frammentata non aiuta le imprese, dice la professoressa. Puntare su qualità, etica e affidabilità (sulla scia di quanto accaduto con il Gdpr) creerebbe il cosiddetto ‘Bruxelles Effect’: uno standard di eccellenza che il resto del mondo sarebbe costretto a copiare, trasformando il rigore europeo in un vantaggio competitivo globale.
Come si sta preparando l’Europa?
Oltre all’accesso al nuovo strumento cyber di OpenAI e in attesa che Anthropic conceda Mythos anche agli europei, il continente si muove consultando aziende e università.
“Nel valutare l’impatto sulla gestione delle vulnerabilità e delle patch, ma anche sui fondamenti della sicurezza, Enisa sta consultando l’industria e il mondo accademico, inclusi produttori, la comunità open source e le Pmi, riguardo ad alcune delle sfide immediate e a medio termine della cybersecurity e le raccomandazioni relative alle capacità operative che possono affrontare minacce alla velocità delle macchine”.
Ecco le priorità individuate dall’agenzia.
La sicurezza solo cartacea è finita: la comunità della cybersecurity sa cosa deve essere fatto e deve assicurarsi che le organizzazioni passino dalla strategia/visione all’esecuzione.
Lo zero-trust richiede impegno e investimenti: può essere impegnativo negli ambienti legacy; la transizione deve essere però ‘smussata’. Ad esempio, la Cyber Reserve dell’Ue può offrire supporto agli Stati membri in caso di forte aumento degli incidenti.
Cybersecurity as Code: le minacce alla velocità delle macchine devono essere affrontate con difese altrettanto veloci (Vulnerability Management as Code, Incident Response as Code, Security by Design as Code).
L’articolo originale è stato pubblicato sul numero di Fortune Italia di giugno 2026 (numero 5, anno 9)
