Le autorità europee di regolazione e di cybersicurezza rischiano di restare spettatrici davanti allo sviluppo delle forme più avanzate di intelligenza artificiale. È quanto emerge dal caso Mythos, il nuovo modello di Anthropic, che secondo un’inchiesta pubblicata da Politico ha visto una sostanziale marginalizzazione dei Paesi dell’Unione europea nei processi di accesso e valutazione di una tecnologia considerata di frontiera e potenzialmente ad alto rischio.
Mythos è stato presentato dalla società statunitense come un modello capace di superare “quasi tutti gli esseri umani” nell’individuare e sfruttare vulnerabilità informatiche. Proprio per questa caratteristica, Anthropic ha deciso di limitarne la distribuzione a un numero ristretto di soggetti, con l’obiettivo dichiarato di consentire ai partner selezionati di adeguare i propri sistemi di sicurezza. Una scelta che, però, ha sollevato forti preoccupazioni a livello internazionale, sia per il rischio di un uso improprio dello strumento, sia per l’assenza di un controllo pubblico effettivo su capacità tecnologiche così sensibili.
Secondo la ricostruzione di Politico, Anthropic avrebbe privilegiato quasi esclusivamente partner statunitensi. Nella cerchia più ristretta figurano dodici grandi aziende tecnologiche con sede negli Stati Uniti, tra cui colossi come Apple, Microsoft e Amazon. A queste si aggiungerebbero circa quaranta altre organizzazioni, i cui nomi non sono stati resi pubblici. La società ha inoltre confermato di essere in un dialogo costante con funzionari del governo americano, rafforzando l’impressione di un circuito chiuso che ruota attorno all’ecosistema statunitense dell’innovazione e della sicurezza.
Il quadro europeo appare, per contrasto, frammentato e debole. Politico riferisce di aver contattato rappresentanti di otto agenzie nazionali per la cybersicurezza nell’Unione europea e che solo l’agenzia tedesca ha confermato di aver avviato contatti con Anthropic riguardo a Mythos, senza però aver ancora potuto testare direttamente il modello. Per altri governi e istituzioni, l’accesso sarebbe stato solo parziale e discontinuo, insufficiente per svolgere una valutazione autonoma e approfondita dei rischi.
Diversa è invece la situazione nel Regno Unito. Londra, che negli ultimi anni ha investito molto nel posizionarsi come hub per la governance globale dell’IA, sembra aver ottenuto un canale privilegiato. Il ministro britannico per l’intelligenza artificiale, Kanishka Narayan, ha confermato che l’AI Security Institute del Regno Unito ha già testato Mythos e ha agito sulla base dei risultati emersi, pubblicando anche una propria valutazione ufficiale. Un segnale che evidenzia ulteriormente il divario tra il Regno Unito e l’Europa continentale.
Per molti osservatori, il caso Mythos rappresenta l’ennesima dimostrazione dell’assenza di un meccanismo globale efficace per il controllo dei rischi legati all’intelligenza artificiale avanzata. Daniel Privitera, fondatore della no profit berlinese Kira, sostiene che Mythos offra un’anticipazione di quanto l’accesso alle capacità di frontiera dell’IA sarà cruciale nei prossimi anni. A suo giudizio, l’Europa non dispone ancora di un piano chiaro per garantirsi tale accesso e per evitare di dipendere interamente dalle decisioni delle aziende statunitensi.
Critiche ancora più nette arrivano dal mondo accademico. Yoshua Bengio, professore all’Università di Montreal e considerato uno dei padri dell’intelligenza artificiale moderna, ha definito “profondamente preoccupante” il fatto che siano le aziende tecnologiche, e non le autorità pubbliche, a decidere come gestire i rischi di strumenti di questa potenza. Bengio ritiene essenziale predisporre meccanismi che permettano a governi o soggetti terzi indipendenti di verificare direttamente queste tecnologie, con l’obiettivo di proteggere l’interesse pubblico.
Per l’Unione europea, la vicenda mette in discussione anche l’immagine coltivata negli ultimi anni di “super regolatore” del settore tecnologico. Job Holzhauer, portavoce dell’agenzia olandese per la cybersicurezza, ha sottolineato come l’impatto reale delle vulnerabilità individuate da Mythos sia difficile da valutare in assenza di dettagli tecnici concreti. Un limite che riduce la capacità delle istituzioni europee di intervenire in modo informato.
Claudia Plattner, presidente dell’agenzia federale tedesca per la sicurezza informatica, ha posto l’accento su una questione cruciale: capire se strumenti di una potenza così straordinaria finiranno, in futuro, sul mercato aperto. Secondo Plattner, la risposta a questa domanda ha implicazioni profonde per la sicurezza e la sovranità, non solo nazionale ma anche europea. Pur non avendo ancora accesso diretto al modello, il Bsi tedesco afferma di essere in dialogo attivo con Anthropic e di aver raccolto elementi significativi sul funzionamento di Mythos.
Sul fronte delle istituzioni europee, la situazione resta opaca. L’agenzia Enisa ha rifiutato di commentare eventuali contatti con Anthropic, mentre l’Ufficio per l’intelligenza artificiale della Commissione europea mantiene un dialogo con la società nell’ambito del codice di condotta legato all’attuazione dell’AI Act. Non è però chiaro se Mythos rientri direttamente in questi colloqui né se vi sia stato un accesso concreto al modello.
Secondo Laura Caroli, ricercatrice indipendente ed ex consigliera chiave nella stesura dell’AI Act del 2023, l’Unione è stata di fatto messa ai margini perché Mythos non è stato immesso sul mercato. Se lo fosse stato, Anthropic sarebbe soggetta agli obblighi vincolanti previsti dal diritto europeo. Caroli intravede comunque la possibilità di mantenere una qualche forma di supervisione attraverso la rete degli istituti per la sicurezza dell’IA, di cui fa parte lo stesso Ufficio dell’IA della Commissione.
Il portavoce della Commissione europea per il digitale, Thomas Regnier, ha dichiarato che Bruxelles sta valutando le possibili implicazioni del caso rispetto alla normativa europea e segue con attenzione le ricadute in termini di sicurezza. In base all’AI Act, ha ricordato, i fornitori di modelli avanzati devono affrontare i rischi informatici generati dalle loro tecnologie, mentre il Cyber Resilience Act introduce requisiti obbligatori di cybersicurezza per tutti i prodotti digitali immessi sul mercato dell’Unione. Resta però aperta la domanda fondamentale sollevata da Mythos: come può l’Europa esercitare una reale sovranità regolatoria su tecnologie che restano, di fatto, fuori dalla sua portata.
