Project Glasswing si espande: l'AI ridisegna la cybersecurity delle infrastrutture critiche. Cosa devono fare ora banche e intermediari?

Project Glasswing è nato ad aprile 2026 come partnership ristretta: una cinquantina di organizzazioni selezionate ha ricevuto accesso a Claude Mythos Preview, il modello di frontiera di Anthropic con capacità avanzate di analisi del codice, per scansionare i propri codebase alla ricerca di vulnerabilità.

I risultati, comunicati nelle scorse settimane, sono stati impressionanti: oltre 10.000 falle di sicurezza di severità alta o critica individuate in poche settimane.

L'espansione annunciata porta il programma a una nuova scala. I circa 150 nuovi partner:

• coprono settori finora sottorappresentati: energia, acqua, sanità, comunicazioni e hardware;
• includono numerosi vendor, ossia società e non profit che mantengono codebase utilizzati da migliaia di altre organizzazioni, governi compresi;
• condividono un tratto comune: un attacco riuscito ai loro sistemi potrebbe avere effetti catastrofici, con un impatto stimato — per la maggior parte di essi — su oltre 100 milioni di persone.

Naturalmente, ogni nuova organizzazione aderente dovrà soddisfare requisiti di sicurezza stringenti prima di ottenere l'accesso al modello.

Il vero messaggio: la corsa contro i modelli "Mythos-class"

L'elemento strategicamente più rilevante dell'annuncio non è l'ampliamento in sé, ma la previsione che lo motiva: Anthropic stima che entro 6-12 mesi diversi altri sviluppatori di AI disporranno di modelli di classe Mythos, e che alcuni di essi potrebbero rilasciarli senza salvaguardie contro l'abuso delle capacità cyber-offensive.

Le implicazioni sono dirette:

1. le asimmetrie attaccante-difensore sta per cambiare regime. Quando capacità di scoperta automatizzata delle vulnerabilità diventano una commodity, gli attacchi possono moltiplicarsi in frequenza e imprevedibilità. Il vantaggio andrà a chi avrà già industrializzato i processi difensivi.
2. il collo di bottiglia si sposta dal finding al fixing. Anthropic lo dice esplicitamente: il problema non è più trovare le vulnerabilità, ma verificarle, divulgarle responsabilmente e correggerle in tempi compatibili con la minaccia.

I partner di Glasswing già usano il modello per: i) scrivere patch; ii) esercitare controlli pre-rilascio; iii) penetration testing simulati; iv) la riscrittura di codebase legacy in linguaggi memory-safe.

3. La filiera del software diventa il perimetro di rischio. L'inclusione massiccia di vendor nel programma conferma ciò che DORA ha codificato: la resilienza di una banca dipende dalla resilienza dei suoi fornitori ICT, e la supply chain del software è il punto di ingresso privilegiato degli attacchi sistemici.

A completare il quadro, Anthropic ha reso disponibile Claude Security, un prodotto commerciale che utilizza i modelli frontier pubblici per scansionare codebase e suggerire correzioni, e ha avviato il rilascio - su richiesta di team di sicurezza qualificati - degli strumenti sviluppati per i partner di Glasswing. È inoltre previsto il rafforzamento del Cyber Verification Program, che estenderà capacità di classe Mythos a un numero crescente di organizzazioni per specifici compiti difensivi.

Profili prudenziali: dove Glasswing incrocia DORA e le priorità SSM

Per banche, SGR e intermediari finanziari italiani, l'annuncio va letto attraverso tre lenti regolamentari.

1. DORA: gestione del rischio ICT e test di resilienza

Il Regolamento (UE) 2022/2554 impone un framework di gestione del rischio ICT proporzionato e threat-informed. Se la baseline della minaccia si sposta verso attacchi assistiti da AI, anche i presidi devono adeguarsi:

• Vulnerability management: i tempi di remediation oggi considerati accettabili (settimane o mesi per patch critiche) diventeranno indifendibili davanti ad attaccanti capaci di scansione automatizzata continua. I KRI sul patching velocity vanno ricalibrati.
• TLPT e penetration testing: l'uso di modelli AI per simulare attacchi — già praticato dai partner Glasswing — prefigura l'evoluzione dei threat-led penetration test ex art. 26-27 DORA. Le funzioni di controllo dovrebbero interrogarsi su come integrare capacità AI anche nei programmi di test.
• Rischio terze parti (artt. 28-30): la centralità dei vendor in Glasswing conferma che la due diligence sui fornitori ICT critici deve estendersi alle pratiche di secure development e alla capacità del fornitore di adottare strumenti AI difensivi. Ad esempio, domande concrete da inserire nei questionari di onboarding e nelle revisioni contrattuali dovrebbero essere le seguenti: il fornitore utilizza strumenti di scansione AI-powered sul proprio codice? Con quali SLA di remediation?

2. Vigilanza SSM: cyber resilience come priorità strutturale

La resilienza operativa e cyber resta tra le priorità di vigilanza del Meccanismo di Vigilanza Unico. Gli esiti dei cyber stress test e l'attenzione crescente del SREP al rischio ICT rendono prevedibile che i JST inizino a chiedere alle banche come stanno incorporando l'evoluzione delle capacità AI, offensive e difensive, nei propri scenari di rischio, nell'ICAAP e nel Risk Appetite Framework. Chi arriverà a quel dialogo con una posizione documentata avrà un vantaggio anche reputazionale verso il supervisore.

3. AI Act: l'altra faccia della medaglia

L'adozione di strumenti AI per la cybersecurity interna va a sua volta governata. Con gli obblighi del Regolamento AI pienamente applicabili da agosto 2026 per i sistemi ad alto rischio, le banche che adottano soluzioni di AI security devono mappare correttamente i casi d'uso, presidiare la qualità dei dati e garantire la sorveglianza umana, evitando che lo strumento difensivo diventi esso stesso una fonte di rischio di non conformità.

Implicazioni di governance: cinque domande per CdA e Collegio Sindacale

L'esperienza maturata nei board e negli organi di controllo suggerisce di tradurre l'annuncio in domande verificabili:

1. Awareness: il C.d.A. ha ricevuto un'informativa completa circa l'evoluzione delle minacce cyber abilitate dall'AI e sull'orizzonte di tempo nel quale esse si manifesteranno?
2. Gap assessment: la funzione ICT/CISO ha valutato strumenti di scansione AI-powered del codice (interni e dei fornitori critici)? Se si, con quale roadmap?
3. Patching capability: i tempi medi di remediation delle vulnerabilità critiche sono misurati, riportati agli organi di governo e coerenti con il nuovo scenario di minaccia?
4. Terze parti: il registro delle informazioni DORA e i contratti con i fornitori ICT critici riflettono requisiti di secure development e di adozione di capacità difensive aggiornate?
5. Scenario planning: gli scenari di rischio severo-ma-plausibile (ICAAP, piani di continuità, severe-but-plausible DORA) includono attacchi assistiti da AI su scala?

Conclusioni: il "vantaggio permanente del difensore" non è automatico

L'obiettivo dichiarato di Project Glasswing è ambizioso: rendere tutto il software più sicuro e consolidare un vantaggio strutturale per chi difende. Ma quel vantaggio non si materializza da sé. Richiede che le organizzazioni — comprese le banche e gli intermediari di medie dimensioni, non solo i grandi gruppi — adattino ora processi, contratti, metriche e governance del tutto nuove e non presenti nel Regolamento Dora.

Per il sistema finanziario italiano, dove DORA è già diritto vigente e la vigilanza europea ha posto la resilienza digitale al centro del SREP, la convergenza tra capacità AI e cybersecurity non è un tema tecnologico delegabile all'IT: è un tema di governance e di responsabilità degli organi sociali che va oltre ai requisiti normativi attualmente in vigore.

Studio Balestreri assiste banche, SGR e intermediari finanziari nella governance del rischio ICT e cyber, nell'implementazione DORA, nei rapporti con la vigilanza SSM/BCE e nella valutazione di soluzioni AI per la sicurezza, inclusi assessment di vulnerabilità e attività di red teaming. Per un confronto: [contatti].

Fonte primaria: Anthropic, Expanding Project Glasswing, 2 giugno 2026 — https://www.anthropic.com/news/expanding-project-glasswing