Che strano: non ci hanno versato lo stipendio a fine mese. Così, di colpo, senza motivo. Sarà un ritardo bancario, pensiamo, mentre l’ansia comincia sottile a montare. Dobbiamo però uscire di casa per fare la spesa. Facciamo per pagare, ma la carta non dà segni di vita. L’ansia cresce ancora di più. Ci guardiamo attorno e scopriamo che tutti i pos e le carte sono bloccate, di tutti; ed è così ovunque, in Italia. A questo punto, è panico. La tv dice che la Russia ha bloccato le nostre banche con un attacco informatico, ma le lascerà libere se smettiamo di appoggiare l’Ucraina. Fantascienza? Fino a pochi giorni fa, sì: poteva solo essere la trama di una serie tv. Adesso lo scenario diventa credibile. Affiora attraverso l’allarme lanciato qualche giorno fa alle banche europee da un distinto cinquantenne che non sembra tanto incline alle esagerazioni: Frank Elderson, membro del comitato esecutivo della Banca centrale europea (Bce).«L’intelligenza artificiale consente di condurre in poche ore, o anche meno, attacchi informatici che prima richiedevano settimane», ha detto in un incontro alla Bce. «È una situazione urgente: non è uno scenario lontano».«Il lasso di tempo prima che queste capacità diventino più ampiamente accessibili è incerto, probabilmente breve, forse addirittura brevissimo».«Anche le infrastrutture critiche da cui dipendono le banche – inclusi i fornitori di servizi cloud, le reti di telecomunicazione, i sistemi di pagamento e le forniture di elettricità e acqua – potrebbero diventare bersagli», ha affermato. «Di conseguenza, scenari che un tempo erano considerati rischi estremi potrebbero diventare più probabili».Non sono soltanto parole. La Bce ha subito chiamato a raccolta gli istituti bancari europei per capire come alzare in fretta le difese.A inizi giugno, poi, Elderson ha annunciato una lettera che invierà a tutte le banche, «nella quale chiederemo loro di adottare misure proattive per garantire la continua solidità e sicurezza dei loro sistemi di fronte a queste sfide trasformative, e daremo seguito alla questione con le singole banche in modo mirato».«L’Europa è in ritardo su Usa e Cina per lo sviluppo dell’intelligenza artificiale. In una fase pre-bellica come quella in cui ci troviamo, è un rischio enorme. Un avversario vicino alla Cina può bucare come vuole le nostre difese, con l’Ia», aggiunge a L’Espresso Giovanni Miragliotta, direttore dell’Osservatorio Artificial Intelligence al Politecnico di Milano.L’allarme della Bce scatta ora perché gli effetti di questo ritardo appaiono evidenti dopo il lancio di Mythos, modello Ia dell’azienda americana Anthropic (valutata ora quasi mille miliardi di dollari). Mythos si è mostrato in grado di scovare vulnerabilità informatiche con una capacità prima impensabile, in aree critiche per la nostra sicurezza. Banche incluse: a maggio le principali americane, usando Mythos, hanno scoperto tantissime falle nei propri sistemi e si sono affrettate a ripararle. Sono come porte di accesso segrete per accedere a un castello. Se un malintenzionato le conosce (e il proprietario no), può entrare e fare come vuole.Anthropic ha scelto così di limitare l’accesso a Mythos. All’inizio, solo a grandi aziende e istituzioni americane. Pochi giorni fa ha annunciato che lo offrirà anche alla Commissione europea e ad aziende di quindici altri Paesi, tra cui l’Italia. Banca d’Italia, contattata da L’Espresso, non conferma né smentisce di averlo ottenuto. Tacciono anche le altre banche centrali Ue. Il tema è delicato, del resto.Da Abi (Associazione bancaria italiana) confermano però che le banche spendono sempre più in cybersecurity. Nel 2026, circa mezzo miliardo. Tra il 2020 e il 2025, quasi 2,5 miliardi di euro. Secondo i dati Abi Lab di marzo 2026, inoltre, l’intelligenza artificiale è la principale priorità di investimento per le banche italiane.«Sarebbe un errore minimizzare. Pensare che “tanto la super arma è solo Mythos, che ora è in buone mani”», spiega Antonio Cisternino, ricercatore e presidente del sistema informatico dell’Università di Pisa.«A fine maggio Google ha rilevato che alcuni malintenzionati, forse cinesi o coreani, per la prima volta hanno usato un modello Ia per scoprire una falla rimasta nascosta fino a quel momento», aggiunge. Un po’ come fa Mythos. Gli esperti cyber concordano: è solo questione di tempo, forse pochi mesi, perché anche la Cina sviluppi un’Ia di potenza analoga. Potrebbe poi metterla a disposizione di un ampio numero di alleati (Russia, Iran e vari altri nemici dell’Occidente, gruppi terroristici compresi). Non è assurdo pensarlo: finora la Cina si è distinta per il lancio di modelli open source, aperti a tutti.Ecco perché la governance dell’Ia è assurta a questione di sicurezza nazionale. Tra i temi del recente incontro a Pechino tra i presidenti di Usa (Donald Trump) e Cina (Xi Jinping) c’è stata appunto la necessità di trovare un accordo per governare lo sviluppo di questa tecnologia ed evitarne gli effetti più apocalittici.Ma da quell’incontro non sembra emersa nessuna decisione. Trump, per altro, ha scelto finora un’impostazione ultraliberista sull’Ia: contrario alla regolazione, sta anche cercando di ostacolare le leggi che alcuni Stati Usa stanno facendo in merito.Il 2 giugno però, sulla scorta di questi ultimi allarmi, una svolta: Trump ha firmato un decreto che fissa una prima sorveglianza governativa sui modelli Ia più potenti (come Mythos). Chiede alle aziende di farli testare alla Casa Bianca trenta giorni prima del lancio al pubblico. Peccato che questa collaborazione resti ancora volontaria, anche se – specifica la Casa Bianca – potrebbe portare a una regolazione obbligatoria in futuro.Se i potenti della Terra vanno per la propria strada, noi in Ue che possiamo fare? «Serve a poco fare la voce grossa con Usa, Cina, per imporre nostre regole. Per molto tempo ancora saremo dipendenti dalle tecnologie Usa, perché non siamo capaci di svilupparne analoghe», dice Miragliotta.«L’Ia europea più potente è la francese Mistral ed è al centesimo posto in classifica; in Italia siamo ancora più indietro». «Così l’Ue è costretta ora a usare le tecnologie AI degli Usa anche per difendere le nostre istituzioni, banche, infrastrutture critiche», aggiunge.È un tema di sovranità e di diritti, anche, nota Oreste Pollicino, ordinario di diritto costituzionale alla Bocconi di Milano: «Se la capacità di proteggere le infrastrutture bancarie europee dipende da tecnologie extra-Ue, anche la tutela dei diritti diventa dipendente. Così, l’Europa rischia di essere responsabile dei diritti ma dipendente da altri per proteggerli».Non ci sono ricette rapide per uscire dall’angolo in cui ci siamo ficcati, come UE e soprattutto come Italia, «che spende lo 0,12 per cento del Pil in cyber sicurezza; un terzo rispetto ad altri grandi Paesi Ue», dice Gabriele Faggioli, presidente onorario del Clusit (la principale associazione cybersecurity italiana). «Solo pochissime grandi organizzazioni pubbliche o private hanno capacità di investimento adeguate a fronteggiare il rischio cyber ora potenziato dall’Ia». Ecco perché per proteggere tutte le organizzazioni, «bisogna facilitare la condivisione di informazioni tra loro; sviluppare economie di scala, anche usando la leva normativa», aggiunge. Come del resto suggerito anche dalla Bce alle banche. Non abbiamo controllo sulle tecnologie, non riusciamo a stare al passo; almeno dobbiamo imparare a collaborare meglio. Tra aziende e tra Paesi. Se non sapremo fare nemmeno questo, nessuno scenario catastrofico è da escludere.