Per chi cerca una risposta rapida: l’Unione Europea sta cercando di ottenere accesso a Mythos, il modello AI più avanzato di Anthropic per la cybersecurity, ma le trattative procedono lentamente. Se vuoi capire il punto chiave, è questo: l’UE vuole usare lo stesso tipo di AI che oggi è disponibile solo per un gruppo ristretto di soggetti selezionati negli Stati Uniti.
Perché Mythos è così importante
Mythos è stato presentato come un modello progettato per individuare vulnerabilità molto difficili da trovare, comprese le cosiddette zero-day, cioè falle di sicurezza sconosciute ai fornitori e quindi non ancora corrette. Questo lo rende interessante per la difesa informatica, ma anche delicato dal punto di vista del rischio, perché la stessa capacità può essere usata per ricostruire tecniche d’attacco realistiche.
Secondo quanto descritto nel materiale di presentazione del modello, Mythos non si limita a segnalare problemi: può anche generare in autonomia prove di sfruttamento, aiutando a mostrare come un attaccante potrebbe approfittare di una falla. In altre parole, combina funzioni difensive e offensive nello stesso sistema, ed è proprio questa dualità ad aver spinto Anthropic a limitarne la distribuzione.
Accesso ristretto e distribuzione controllata
Il modello non è disponibile in modo generalizzato. L’accesso è stato riservato a circa 40 aziende statunitensi attentamente selezionate e ad alcuni enti governativi. Questa impostazione è coerente con una strategia di rilascio molto prudente: il modello viene trattato come uno strumento ad alto impatto, che richiede controlli stretti e un monitoraggio costante.
Per il mercato, questo significa che pochi attori stanno già beneficiando di un vantaggio operativo nella difesa contro minacce avanzate. Se un gruppo ristretto di aziende può testare, integrare e adattare prima degli altri un sistema di questo tipo, la distanza competitiva può crescere rapidamente, soprattutto nei settori più esposti agli attacchi.
La richiesta dell’Unione Europea
L’Europa vuole accedere a Mythos per rafforzare le proprie capacità di cybersecurity istituzionale. Il problema è che, secondo il ministro dell’economia spagnolo, i progressi nei negoziati con Anthropic sono stati finora limitati.
La Commissione europea aveva in programma di inviare funzionari a San Francisco alla fine di maggio 2026 per ottenere maggiori dettagli sul modello e discutere le condizioni per un eventuale accesso. Questo passaggio mostra quanto l’argomento sia diventato strategico: non si tratta solo di comprare software, ma di negoziare la disponibilità di una capacità tecnologica considerata sensibile.
Il confronto con OpenAI e il Regno Unito
Nel frattempo, OpenAI ha già fornito all’UE accesso al proprio modello orientato alla cybersecurity, GPT-5.5-Cyber. Questo dettaglio è importante perché segnala che la competizione non riguarda solo il prodotto, ma anche la velocità con cui i grandi fornitori di AI riescono a costruire relazioni istituzionali con governi e regolatori.
Anche il Regno Unito si muove in modo diverso rispetto al blocco europeo. L’AI Safety Institute britannico sta valutando Mythos separatamente, il che suggerisce che Londra potrebbe ottenere una corsia più rapida rispetto all’UE nel suo insieme. Dopo la Brexit, il Regno Unito può infatti negoziare in modo autonomo, senza passare attraverso il processo più complesso dell’Unione.
Impatto su aziende e investitori
Per imprese che operano in settori sensibili, come crypto exchange, custodian e protocolli DeFi, il tema è tutt’altro che teorico. Queste infrastrutture sono tra i bersagli più frequenti per criminali informatici, perché gestiscono asset ad alto valore e sistemi che devono restare disponibili e sicuri in modo continuo.
Se solo alcune aziende negli Stati Uniti possono usare una piattaforma AI avanzata per individuare vulnerabilità e simulare attacchi, mentre concorrenti europei restano senza accesso, si crea un vantaggio strutturale. In pratica, la capacità di anticipare gli attacchi e migliorare le difese può diventare una differenza competitiva reale, non solo un vantaggio tecnico.
Dal punto di vista degli investitori, questo scenario apre due letture. La prima è che Anthropic potrebbe rafforzare il proprio posizionamento come azienda prudente e orientata alla responsabilità, limitando l’accesso a strumenti potenzialmente pericolosi. La seconda è che una distribuzione troppo selettiva possa rallentare l’adozione internazionale e lasciare spazio a concorrenti più aperti sul piano commerciale.
Il contesto regolatorio europeo
L’Europa, negli ultimi anni, ha assunto una posizione più aggressiva degli Stati Uniti nella regolamentazione dell’intelligenza artificiale. Con l’AI Act, l’Unione ha costruito un quadro normativo pensato per governare l’uso dei sistemi più potenti, con una fase di enforcement attesa per agosto 2026.
Questo crea una tensione interessante: da un lato Bruxelles vuole regolare l’AI in modo rigoroso, dall’altro ha bisogno di negoziare l’accesso alle capacità più avanzate sviluppate da aziende americane. Il risultato è un equilibrio delicato tra sovranità tecnologica, sicurezza informatica e dipendenza da fornitori extraeuropei.
Perché questa vicenda conta più del singolo modello
Il caso Mythos non riguarda soltanto Anthropic. Segnala una tendenza più ampia: le partnership istituzionali nel settore AI stanno diventando un terreno competitivo centrale. I governi non cercano più soltanto strumenti generici di produttività, ma modelli specializzati capaci di supportare funzioni critiche come intelligence, difesa e cybersecurity.
In questo scenario, l’accesso diventa quasi importante quanto la tecnologia stessa. Chi controlla il rilascio controlla anche il ritmo di adozione, i test, i casi d’uso autorizzati e il vantaggio informativo che ne deriva. Per le aziende europee, il nodo non è solo ottenere il prodotto, ma farlo abbastanza presto da non restare indietro rispetto ai concorrenti americani.
Technical Deep Dive
Mythos viene descritto come un modello capace di operare su sistemi operativi e browser principali, identificando vulnerabilità complesse e poi producendo exploit funzionanti in modo autonomo. Dal punto di vista tecnico, questa combinazione implica un flusso di lavoro che va oltre la semplice classificazione di bug: include ricognizione, valutazione dell’impatto, generazione della catena di sfruttamento e dimostrazione pratica della compromissione.
Un sistema del genere può essere utile in ambiti difensivi come red teaming, vulnerability research e validazione di patch, perché consente di simulare attori ostili ad alta velocità e su larga scala. Tuttavia, proprio perché riduce il costo operativo della scoperta e della verifica degli exploit, aumenta anche il rischio di abuso se l’accesso non è controllato da criteri rigorosi di selezione, logging, policy enforcement e revisione umana.
L’approccio di Anthropic con Project Glasswing sembra costruito per mitigare questi rischi attraverso una distribuzione limitata. In pratica, il modello viene trattato come una capacità dual-use ad alta sensibilità: abbastanza potente da migliorare la sicurezza, ma sufficientemente pericolosa da richiedere un filtro di ammissione e una governance dedicata.
Per gli ambienti enterprise e governativi, l’elemento più rilevante non è solo la capacità di trovare zero-day, ma la possibilità di integrare il modello in pipeline di sicurezza esistenti: scanning automatizzato, prioritarizzazione delle vulnerabilità, generazione di proof-of-concept controllati e supporto alla remediation. Il valore operativo aumenta quando il modello può lavorare insieme a team umani, non quando viene usato come sostituto totale della supervisione esperta.
Nel caso dell’UE, la trattativa riguarda anche aspetti di sovranità dei dati, auditing, accesso regionale e controllo dell’uso. Per questo motivo l’eventuale accordo non sarebbe soltanto commerciale: dovrebbe probabilmente includere vincoli tecnici e organizzativi su chi può utilizzare il modello, per quali finalità e con quali salvaguardie.
Fonte: https://cryptobriefing.com/anthropic-mythos-ai-eu-cybersecurity/
