Menu
Premium
Normativa finanziaria - Financial Regulation
20, May 2026

Mythos di Anthropic e opportunità per il sistma finanziario

Il 13 maggio 2026, Frank Elderson, Vice-Chair del Supervisory Board della BCE, ha dedicato una sezione intera di un'intervista istituzionale a Claude Mythos Preview. Le parole non erano quelle consuete della comunicazione prudenziale: "This is not just another incremental improvement. It is a game-changer in cybersecurity."

Poche settimane prima, il Segretario al Tesoro Bessent e il Presidente della Fed Powell avevano già convocato i CEO di Citigroup, Morgan Stanley, Bank of America, Wells Fargo e Goldman Sachs per assicurarsi che fossero consapevoli dei rischi cyber introdotti dal modello. Un atto di governance macroprudenziale senza precedenti in questa forma.

I dati tecnici certificati dall'AI Security Institute (AISI) britannico (13 aprile 2026) rendono concrete le preoccupazioni dei regolatori:

  • 27 anni — anzianità massima delle vulnerabilità scoperte da Mythos in sistemi ritenuti sicuri e superati da decenni di revisione umana e milioni di test automatizzati.
  • 73% — tasso di successo su challenge CTF di livello expert, categoria che nessun modello era in grado di completare prima di aprile 2025.
  • 20 ore di lavoro umano esperto compresse in poco tempo da Mythos nella simulazione di attacco aziendale "The Last Ones" (TLO), 32 step dalla ricognizione iniziale alla presa completa della rete.

Un segnale che viene dall'alto

Per le banche europee, che non hanno ancora accesso a Mythos — distribuito solo a partner selezionati negli Stati Uniti attraverso il programma Glasswing — la tentazione potrebbe essere quella di attendere. Elderson è esplicito nel rigettare questa posizione: la mancanza di accesso non è un alibi per l'inazione.

"The window before these capabilities become more broadly accessible is uncertain — it is likely short, maybe even very short."

— Frank Elderson, Vice-Chair Supervisory Board BCE, 13 maggio 2026

La struttura del rischio, ha sottolineato Elderson, non riguarda solo le banche: anche le infrastrutture critiche da cui gli istituti dipendono — fornitori cloud, reti di pagamento, operatori di telecomunicazioni — possono essere colpite con effetti a cascata sulla continuità operativa bancaria.

Tre fratture nel framework DORA

Il Regolamento DORA, pienamente applicabile dal gennaio 2025, è stato concepito nel contesto tecnologico del 2022. Mythos mette in evidenza tre aree di tensione strutturale che le banche devono già oggi governare, indipendentemente dagli aggiornamenti normativi formali.

Soglia di minaccia permanentemente alzata. I processi DORA di incident detection non erano progettati per gestire la velocità con cui un modello AI frontier scopre e concatena vulnerabilità. Attacchi che richiedevano team di esperti per diversi giorni possono ora essere condotti in ore. La baseline di rischio è cambiata in modo strutturale.

TLPT nell'era dell'AI. Il framework RTS per il Threat-Led Penetration Testing non contempla requisiti specifici per l'uso di AI nei test, né criteri di qualifica per AI-augmented testers. Un red team che non simula avversari AI-enabled produce una valutazione sistematicamente sottostimante del rischio effettivo. Le banche soggette a TLPT devono anticipare questo adeguamento, senza attendere l'aggiornamento regolatorio.

Governance e management body. L'Art. 6(8) DORA non menziona esplicitamente il rischio AI-driven, creando un'area grigia di accountability. DORA identifica i vertici bancari come responsabili ultimi del rischio ICT: devono ora incorporare nella propria agenda una valutazione esplicita del rischio AI avversariale — categoria che la vigilanza si aspetta di vedere affrontata nel ciclo SREP 2026.

Il lato dell'opportunità

Mythos è uno strumento dual-use. Mentre il versante offensivo cattura l'attenzione dei regolatori, quello difensivo apre scenari altrettanto rilevanti per gli intermediari che sapranno coglierli.

Le stime più recenti indicano che l'AI potrebbe aumentare la produttività del comparto ICT di circa venti volte. Per le banche questo si traduce in vulnerability assessment continuativo su codebase complesse, accelerazione della migrazione dai sistemi legacy e una maggiore trasparenza nel dialogo tra Board e funzioni tecnologiche — esattamente il Board-ICT alignment che DORA persegue all'art. 5.

Le azioni prioritarie per le banche strategicamente avvedute:

  • Aggiornare le threat intelligence per includere scenari di vulnerabilità scoperte da modelli AI avversariali.
  • Rivedere i cicli di patch management: vulnerabilità classificate come minori — tipicamente gestite con cicli lunghi — devono essere trattate come urgenti, poiché possono essere concatenate in attacchi complessi in pochi minuti.
  • Integrare il rischio AI avversariale nell'agenda formale del management body e nei report periodici di rischio ICT.
  • Aggiornare i piani di operational resilience per includere scenari di disruption indotta da AI, anche sulle infrastrutture critiche da cui le banche dipendono.
  • Monitorare l'evoluzione normativa di EBA, EIOPA e Banca d'Italia sulla regolamentazione dell'AI nel settore finanziario.

Le banche che trattano Mythos come un problema di conformità da gestire sono in ritardo. Quelle che lo leggono come segnale di trasformazione strutturale del mercato della sicurezza acquisiscono un vantaggio competitivo difficilmente recuperabile.

L'analisi completa — con la mappatura degli impatti per area DORA e il profilo strategico per orizzonte temporale — è disponibile nell'area Premium.