Il piano UE per avere accesso ai modelli AI pericolosi per la cybersecurity

L’intelligenza artificiale sta cambiando profondamente il panorama della cybersicurezza e l’Unione Europea prova a correre ai ripari con un nuovo piano strategico dedicato ai rischi derivanti dai modelli AI più avanzati. L’iniziativa, presentata dalla Commissione Europea, punta a rafforzare la capacità di difesa del continente contro una nuova generazione di attacchi informatici sempre più automatizzati, rapidi e sofisticati.
Allo stesso tempo, il documento evidenzia la quasi totale dipendenza tecnologica dell’Europa dalle aziende statunitensi che sviluppano i modelli di frontiera: una criticità che Bruxelles non può più ignorare.
Secondo la vicepresidente esecutiva della Commissione Europea, Henna Virkkunen, i modelli AI di ultima generazione sono ormai capaci di sviluppare exploit informatici nel giro di pochi minuti o poche ore, riducendo drasticamente tempi e costi necessari per individuare falle nei sistemi informatici. Come è facile capire, si tratta di una trasformazione destinata a modificare radicalmente il rapporto tra attaccanti e difensori.
Le preoccupazioni sono aumentate ulteriormente dopo i risultati ottenuti da Mythos, il modello più avanzato sviluppato da Anthropic. Secondo le autorità statunitensi, il sistema è riuscito a identificare in poche ore vulnerabilità sfruttabili all’interno di infrastrutture informatiche estremamente sensibili appartenenti al governo degli Stati Uniti. Un risultato che ha inizialmente spinto Washington a imporre restrizioni sull’esportazione di queste tecnologie, successivamente revocate dal Dipartimento del Commercio americano.
Anche le istituzioni europee hanno ottenuto un accesso limitato a Mythos attraverso il programma Project Glasswing promosso da Anthropic. Un risultato arrivato dopo una lunga attività diplomatica da parte di Bruxelles, che ha negoziato direttamente con l’azienda per consentire agli esperti europei di studiare le potenzialità e i rischi associati ai modelli AI più avanzati.
Proprio questa esperienza rappresenta uno degli elementi centrali del nuovo piano della Commissione. L’obiettivo è definire un quadro operativo che renda più trasparente e strutturato il processo attraverso il quale enti pubblici, autorità di cybersicurezza e imprese possano ottenere un accesso controllato ai modelli di frontiera destinati alla ricerca e alla difesa informatica.
La proposta, tuttavia, mette in evidenza una debolezza strategica dell’ecosistema europeo. L’Unione non controlla infatti lo sviluppo delle principali tecnologie AI avanzate, trovandosi quindi costretta a negoziare con aziende americane per poter utilizzare strumenti considerati essenziali per la sicurezza del continente.
Durante il dibattito al Parlamento Europeo, l’eurodeputata finlandese Aura Salla ha sottolineato come il problema non riguardi esclusivamente i modelli linguistici, ma l’intera infrastruttura tecnologica sulla quale essi vengono sviluppati ed eseguiti. L’Europa dispone di centri di ricerca di alto livello e di competenze scientifiche riconosciute a livello internazionale, ma manca ancora un numero sufficiente di aziende capaci di competere nel segmento dei cosiddetti frontier model, dominato quasi esclusivamente da operatori statunitensi.
La Commissione intende affidare un ruolo centrale al proprio AI Office, organismo istituito nell’ambito dell’AI Act che collaborerà con laboratori indipendenti specializzati nella valutazione dei modelli più avanzati. L’obiettivo è identificare tempestivamente eventuali rischi per la sicurezza prima che tali sistemi vengano distribuiti sul mercato europeo.
Resta però aperta una questione particolarmente delicata. Le principali aziende del settore, tra cui OpenAI e Anthropic, hanno finora preferito sottoporre i propri modelli a verifiche condotte dallo UK AI Security Institute, organismo britannico privo di poteri regolatori. Questo approccio garantisce alle imprese maggiore flessibilità rispetto ai controlli previsti dall’AI Act europeo, alimentando il confronto tra industria e istituzioni sul momento in cui tali valutazioni debbano diventare obbligatorie.
Oltre agli aspetti normativi, il piano contiene una serie di indicazioni operative rivolte alle imprese. Bruxelles invita le organizzazioni ad accelerare la distribuzione delle patch di sicurezza, migliorare il monitoraggio delle vulnerabilità e rafforzare la protezione delle infrastrutture critiche contro attacchi supportati dall’intelligenza artificiale.
Secondo Bart Groothuis, eurodeputato olandese ed esperto di cybersicurezza, il settore informatico sta entrando in una nuova fase nella quale gli aggressori potranno sfruttare modelli AI per operare con una velocità mai vista prima. Ciò significa che aziende e pubbliche amministrazioni dovranno ripensare completamente le proprie strategie difensive, adottando strumenti automatizzati capaci di rispondere agli attacchi con la stessa rapidità con cui vengono generati.
Il nuovo piano europeo rappresenta quindi un primo tentativo di adattare le politiche di cybersicurezza all’era dell’intelligenza artificiale. Più che introdurre strumenti completamente inediti, la Commissione cerca di coordinare normative già esistenti, attività di valutazione dei modelli e collaborazione con il settore privato.
Rimane però evidente che, finché l’Europa non riuscirà a sviluppare un proprio ecosistema competitivo di modelli AI avanzati e delle infrastrutture necessarie per addestrarli, continuerà a dipendere dalle decisioni tecnologiche e commerciali prese oltreoceano, proprio nel settore destinato a definire la sicurezza digitale dei prossimi anni.
(Immagine in apertura: Shutterstock)

