L’intelligenza artificiale ha trasformato il panorama delle minacce informatiche con forti ripercussioni anche sulle banche europee. Quello che una volta richiedeva mesi di ricerca manuale, adesso può accadere in meno di 24 ore. Il tempo è diventato la variabile più critica della cybersicurezza: dal momento in cui una vulnerabilità viene scoperta a quando viene corretta passano in media 40 giorni, mentre gli attaccanti hanno bisogno di soli 15 minuti per trasformare una debolezza in un’arma operativa.
Secondo il nuovo report di Deloitte “Machine-Speed Cyber Risk”, il settore finanziario europeo si trova di fronte a una sfida senza precedenti. Circa il 60% delle vulnerabilità applicative origina da componenti e dipendenze open-source, spesso condivise tra decine di istituzioni finanziarie. In un contesto in cui l’intelligenza artificiale riduce drasticamente tempi e costi della ricerca di nuove vulnerabilità, una singola debolezza potrebbe propagare il proprio impatto ben oltre i confini di una singola organizzazione, esponendo contemporaneamente centinaia di banche che utilizzano gli stessi componenti software.
“Le istituzioni che avranno successo non saranno quelle che cercheranno di applicare patch più velocemente”, spiega Luigi Mastrangelo, Financial Services Industry Leader di Deloitte. “Saranno quelle che sapranno identificare i servizi critici, comprendere quali vulnerabilità saranno effettivamente sfruttabili e utilizzare l’Intelligenza Artificiale per accelerare detection e remediation all’interno di un framework di governance chiaro e controllato. In questa fase c’è un crescente divario tra la velocità con cui gli attaccanti individuano e sfruttano nuove vulnerabilità e la capacità delle organizzazioni di identificarle, valutarle e correggerle. Un divario che rischia di mettere sotto pressione modelli di difesa e processi di gestione delle vulnerabilità”.
Come cambia la difesa informatica anche per il mondo Financial Services
I principi della cybersecurity non sono cambiati: gestione delle vulnerabilità, controllo degli accessi, segmentazione delle reti, monitoraggio continuo delle attività sospette restano fondamentali. Quello che è cambiato è il ritmo. Il report Deloitte mostra come i tradizionali cicli di patching e remediation richiedano 45-90 giorni, mentre gli attacchi moderni possono svilupparsi in 48-72 ore. Per colmare questo divario le organizzazioni devono fare un salto qualitativo, passando da cicli di aggiornamento periodici a capacità continue di identificazione, prioritizzando e mitigando le vulnerabilità. Questo è possibile solo con un’automazione intelligente basata sull’Intelligenza Artificiale, che identifichi e prioritizzi le minacce in tempo reale, e una governance robusta per controllare come questa possa supportare le decisioni critiche di sicurezza.
“La stessa capacità che amplifica il rischio può anche rafforzare la difesa”, commenta Diego Giordano, Cyber Strategy Director. “Se le istituzioni finanziarie utilizzano oggi gli strumenti di Intelligenza Artificiale per identificare e correggere le proprie debolezze, possono acquisire un vantaggio temporale prima che queste capacità diventino ampiamente disponibili agli attaccanti. Il Digital Operational Resilience Act (DORA) dell’Unione Europea è concepito proprio per affrontare questa sfida, ma diventa ancora più rilevante in uno scenario dove le debolezze vengono scoperte e sfruttate in ore, non in settimane”.
Claude Fable 5: l’IA avanzata con controlli di sicurezza integrati
A giugno 2026, Anthropic ha lanciato Claude Fable 5, una versione commerciale e controllata della stessa famiglia di modelli frontier di Claude Mythos. A differenza di questi, Fable 5 integra meccanismi di sicurezza progettati per limitare l’esecuzione di richieste ad alto rischio nel dominio della cybersecurity, indirizzando i casi più sensibili verso processi di revisione e controllo dedicati.
L’introduzione di Fable 5 rappresentava un possibile punto di svolta per l’adozione più ampia delle capacità di AI di frontiera, consentendo a organizzazioni pubbliche e private di accedere a strumenti avanzati all’interno di un perimetro di sicurezza definito. In questa prospettiva si inseriva anche Project Glasswing, l’iniziativa che avrebbe dovuto estendere l’accesso a circa 150 nuove organizzazioni in oltre 15 Paesi, inclusa ENISA, l’Agenzia dell’Unione Europea per la Cybersecurity.
l divario e le opportunità
Fino a pochi giorni fa, iniziative come Project Glasswing e l’introduzione di modelli controllati come Fable 5 lasciavano intravedere la possibilità di ridurre progressivamente il divario di accesso alle capacità di AI di frontiera tra Stati Uniti ed Europa. Il panorama ha tuttavia subito una brusca inversione di rotta.
Il 12 giugno 2026 il governo degli Stati Uniti ha ordinato ad Anthropic di sospendere immediatamente l’accesso a Fable 5 e Mythos 5 per tutti i cittadini e le organizzazioni straniere, invocando ragioni di sicurezza nazionale attraverso lo strumento dei controlli all’esportazione. Non potendo filtrare la propria utenza per nazionalità, Anthropic ha disabilitato entrambi i modelli a livello globale. Il Project Glasswing si trova ora in una condizione di blocco indefinito e le istituzioni finanziarie europee non hanno accesso ai modelli di frontiera di Anthropic. Non è dato sapere se e quando tale accesso potrà essere ripristinato o autorizzato.
La conseguenza è che il differenziale di capacità tra Stati Uniti ed Europa rischia oggi di ampliarsi ulteriormente. Negli Stati Uniti alcuni dei principali istituti finanziari hanno già avuto accesso a modelli di AI di frontiera e hanno potuto iniziare a sperimentarne l’utilizzo per identificare e correggere vulnerabilità critiche nei propri sistemi. In Europa, invece, l’adozione di queste tecnologie resta oggi subordinata non solo a valutazioni normative e di governance, ma anche a decisioni geopolitiche esterne sulle quali le istituzioni finanziarie europee hanno margini di influenza estremamente limitati. La prospettiva di accelerare l’adozione di nuove capacità difensive nel contesto europeo resta quindi, almeno per il momento, priva di una scadenza certa.
“Allo stesso tempo però c’è un rovescio della medaglia“, conclude Mastrangelo. “La crescente disponibilità di strumenti sempre più potenti rappresenta una sfida ulteriore per il settore. Se da un lato aumenta il potenziale per i difensori, dall’altro accelera la diffusione di capacità che, nel tempo, diventeranno sempre più accessibili anche ad attori malevoli. Per questo motivo, la finestra temporale per rafforzare capacità, processi e modelli operativi potrebbe essere più limitata di quanto le organizzazioni immaginino. Gli eventi di queste ore mostrano inoltre che la corsa all’Intelligenza Artificiale di frontiera non è più soltanto una questione tecnologica: l’accesso a queste capacità sta assumendo una crescente rilevanza strategica e geopolitica. Per le istituzioni finanziarie europee la sfida non consiste quindi solo nell’adottare rapidamente queste tecnologie, ma anche nel comprendere come evolverà il contesto nel quale tali capacità potranno essere rese disponibili“.
