NEWS

 

L’era dell’AI “offensiva”: il DPO tra Mythos, DORA e la cyber-resilienza bancaria

Tra gli addetti ai lavori ha sollevato un gran polverone la riunione d’emergenza convocata dalla BCE lo scorso 26 maggio 2026 su Claude Mythos Preview di Anthropic. La riunione ha coinvolto i principali gruppi bancari dell’Eurozona e non è stata dettata da un’emergenza puntuale o da un attacco informatico in corso, bensì da una carenza strutturale che deve essere conosciuta ed affrontata urgentemente.

(Nella foto: Mario Mosca, docente al Corso "Il ruolo operativo del DPO tra AI e GDPR" patrocinato da Federprivacy)

Claude Mythos Preview è un modello specializzato nell’analisi automatizzata del codice, in grado di scoprire catene di vulnerabilità complesse con una velocità senza precedenti. Nelle mani sbagliate può consentire di “bucare” sistemi informatici altrimenti ritenuti sicuri, ma solo perché ancora ignari delle proprie vulnerabilità.

Il modello non è ancora accessibile al pubblico, ma in brevi sessioni dal costo irrisorio ha già scoperto vulnerabilità critiche — in alcuni casi vecchie di decenni nonostante milioni di accessi — su realtà blasonate come i principali sistemi operativi (Windows, Linux, macOS) e browser (Chrome, Firefox, Safari, Edge).

Non è un caso se Anthropic, per mitigare i rischi di un rilascio incontrollato, ha lanciato l’8 aprile 2026 il Project Glasswing: un programma di accesso riservato a un gruppo selezionato di organizzazioni (principalmente statunitensi) tra cui JPMorgan Chase, Google, Microsoft, AWS e NVIDIA, chiamate a utilizzare Claude Mythos esclusivamente in modalità “difensiva”.

Pur senza voler essere catastrofisti, è evidente che siamo di fronte a un ulteriore cambio di paradigma: se l’attaccante ha il “dono” di scoprire i talloni di Achille delle banche prima che queste ne siano a conoscenza (vulnerabilità zero-day), l’esito di ogni attacco diventa scontato. La velocità di Mythos rende tardiva ogni azione di patching.

Inoltre, in un settore come quello del credito, caratterizzato da fortissima interconnessione e adozione trasversale di numerosi prodotti, l’incendio appiccato dallo sfruttamento di una vulnerabilità ancora sconosciuta alla collettività può divampare contemporaneamente presso molte entità differenti.

In definitiva, nel caso di Claude Mythos Preview non è sbagliato parlare di un vero e proprio rischio sistemico.

Ben si comprende quindi come, a valle della riunione della BCE, Frank Elderson abbia sottolineato che «la mancanza di accesso a Mythos non è una scusa per l’inazione» e che tre sono stati i principali messaggi chiave emersi dall’incontro:

- comprimere i tempi di patching, che in alcuni casi devono passare da settimane a ore, per non restare esposti in quella finestra temporale che Mythos rende drammaticamente più stretta;
- rafforzare la condivisione di informazioni tra gli istituti di credito e con le autorità di vigilanza, superando le tradizionali barriere competitive per creare un’intelligence collettiva in grado di anticipare le minacce AI-driven;
- inserire il rischio legato all’AI offensiva tra le priorità di vigilanza BCE per il ciclo 2026-2028, prevedendo verifiche dedicate, stress test specifici e richieste di reporting strutturato sulle tematiche “Mythos-like”.

In questo contesto risulta ancora più strategico il ruolo del Data Protection Officer (DPO), ampliato dall’applicazione del Digital Operational Resilience Act (DORA) dal 17 gennaio 2025.

È lecito ormai aspettarsi da questo professionista:

- La supervisione delle DPIA sugli specifici sistemi AI utilizzati per threat intelligence e analisi di vulnerabilità.
- La strettissima collaborazione con il titolare affinché il trattamento di log, codice sorgente e dati di threat intelligence rispetti i principi di minimizzazione, finalità e accountability.
- L’azione di coordinamento con Risk Management, ICT e Compliance per rendere effettiva l’integrazione tra GDPR, DORA e AI Act.
- La vigilanza sulla privacy by design e sulla tracciabilità delle elaborazioni automatizzate.
- Il presidio su audit trail completi, controlli granulari di accesso e solide clausole contrattuali con i fornitori.

L’allarme BCE su Mythos Preview e l’esistenza di iniziative come Glasswing non possono essere ignorati. Accelerano una trasformazione inevitabile: il DPO non è più solo il “garante interno della privacy”, ma assume sempre più un ruolo rilevante — anche se terzo ed indipendente — nella governance dell’AI e della cyber-resilienza.

Le banche italiane ed europee che investiranno nella formazione del DPO su AI governance, threat modeling e resilienza operativa trasformeranno un vincolo regolatorio in un vantaggio competitivo, tenendo ben a mente che il DPO, giocoforza sempre più posizionato al crocevia tra compliance, tecnologia e strategia, è destinato a diventare uno degli asset più critici della banca del futuro.

Note sull'Autore

Mario Mosca Mario Mosca

Coordinatore Gruppo di Lavoro Federprivacy per la Privacy nel settore Bancario e Finanziario

Articoli correlati

Prev Mercato criminale delle informazioni: piaga sociale o fallimento dello Stato?
Next L’uso dell’Intelligenza Artificiale nel processo di audit: opportunità e rischi per i professionisti della privacy

Galleria Video

Vademecum per prenotare online le vacanze senza brutte sorprese

Cerca Delegato

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Newsletter

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy

Federprivacy sui social

Argomenti in evidenza