Ma l'UE può bloccare un modello AI pericoloso per la nostra sicurezza? - Agenda Digitale

Il caso di Anthropic Mythos e Fable bloccati dopo un ordine del Governo Usa pone una domanda più importante della cronaca da cui nasce: che cosa accade quando un modello di intelligenza artificiale avanzata non è più trattato come semplice prodotto digitale, ma come capacità strategica soggetta a limitazione pubblica per ragioni di sicurezza?La domanda diventa ancora più interessante se spostata sul terreno europeo: che cosa sarebbe successo se una vicenda analoga — sospensione improvvisa dell’accesso a modelli AI avanzati per ragioni di sicurezza nazionale o di controllo dell’esportazione — fosse avvenuta nell’Unione europea?Per rispondere occorre tenere distinti i fatti, il quadro americano e il possibile scenario europeo. Altrimenti il rischio è confondere piani diversi: AI Act, sicurezza nazionale, export control, DSA, GDPR, cybersecurity, concorrenza e diritti fondamentali.Indice degli argomenti

Caso Anthropic Mythos in Europa: i fatti e il nodo del rischioAI Act e modelli avanzati come Mythos in Europa: obblighi, non spegnimentoIl modello di AI per finalità generaliSicurezza nazionale e modelli AI avanzati in EuropaLe competenze nazionali davanti al mercato internoExport control, DSA e GDPR nella tutela dai pericoli analoghi a quelli di MythosIl ruolo limitato del DSAData retention e protezione dei datiCaso Anthropic in Europa: nazionalità, rimedi e mercatoRimedio effettivo e controllo giurisdizionaleConcorrenza, ecosistema e autonomia strategicaSovranità digitale europeaLa procedura come risposta al rischioLa vera domanda europea sul blocco dei modelli AILe sette condizioni di un ordine europeoIl rapporto tra AI avanzata e Stato di dirittoCaso Anthropic Mythos in Europa: i fatti e il nodo del rischioSecondo lo statement pubblicato da Anthropic, il governo statunitense ha emesso una direttiva di export control che impone la sospensione dell’accesso a Fable 5 e Mythos 5 da parte di qualunque foreign national, dentro o fuori gli Stati Uniti, compresi i dipendenti stranieri della stessa Anthropic.La società afferma che l’effetto pratico è stato quello di disabilitare bruscamente Fable 5 e Mythos 5 per tutti i clienti, per assicurare la conformità all’ordine ricevuto. Gli altri modelli Anthropic, secondo lo stesso comunicato, non sarebbero stati interessati dalla misura. La ricostruzione giornalistica conferma che la misura è stata collegata a ragioni di sicurezza nazionale e a un intervento statunitense sugli accessi stranieri ai modelli più avanzati.La decisione è maturata dopo segnalazioni arrivate da Amazon, investitore rilevante di Anthropic e partner infrastrutturale della società. Ricercatori del gruppo avrebbero testato Fable 5 con prompt mirati, riuscendo a ottenere indicazioni su vulnerabilità software che il modello non avrebbe dovuto fornire. Il governo ha quindi chiesto ad Anthropic di correggere il problema o ritirare il modello.Anthropic ha ridimensionato la portata del rischio, parlando di una tecnica circoscritta e riferita a vulnerabilità già note e di gravità limitata. La società ha anche ricordato di avere sottoposto i modelli a test di sicurezza interni, governativi e di terze parti prima del rilasciReuters ha riportato che la Commissione europea sta valutando le conseguenze pratiche della decisione americana e che, secondo un portavoce della Commissione, eventuali misure di contingenza non dovrebbero essere discriminatorie verso partner internazionali. Axios ha aggiunto un dato procedurale rilevante: Anthropic avrebbe avuto un tempo molto ristretto per intervenire, pari a circa novanta minuti secondo la ricostruzione pubblicata, in un contesto di pressione governativa legata al rischio di sicurezza nazionale. Questo dato va attribuito ad Axios, non ad Anthropic, perché non è contenuto nello statement aziendale. Un ulteriore elemento riguarda la natura dei modelli. La pagina Anthropic dedicata a Claude Mythos indica che l’uso di Mythos 5 richiede l’accettazione di una policy di conservazione dei dati per trenta giorni a fini di safety monitoring. Questo punto è cruciale perché mostra che la stessa gestione privata del rischio si fonda su logging, retention e monitoraggio delle interazioni. Il punto giuridico non è dunque se un modello avanzato possa creare rischi cyber. È ovvio che possa farlo, soprattutto se capace di assistere nella scoperta di vulnerabilità. Il punto è come si governa quel rischio: con un ordine interdittivo immediato, con una procedura di sorveglianza proporzionata, con obblighi ex ante, con controlli ex post, con un regime di licenza, o con una combinazione di questi strumenti.AI Act e modelli avanzati come Mythos in Europa: obblighi, non spegnimentoSe una vicenda analoga fosse avvenuta nell’Unione europea, la prima precisazione sarebbe negativa: non sarebbe corretto dire che l’AI Act, da solo, avrebbe automaticamente imposto o impedito il blocco del modello. L’AI Act non è una disciplina generale della sicurezza nazionale, né un regime di export control. È un regolamento che stabilisce regole armonizzate per l’immissione sul mercato, la messa in servizio e l’uso dei sistemi di AI e, per quanto qui interessa, obblighi specifici per i modelli di AI per finalità generali, inclusi quelli con rischio sistemico.Questo significa che il controfattuale europeo va costruito su più livelli.Il modello di AI per finalità generaliUn modello come Fable 5 o Mythos 5, se reso disponibile nel mercato europeo, sarebbe stato anzitutto letto attraverso la disciplina dei modelli di AI per finalità generali. Se dotato di capacità particolarmente elevate, avrebbe potuto rientrare nella categoria dei modelli di AI per finalità generali con rischio sistemico. L’AI Act prevede infatti una disciplina specifica per i general-purpose AI models e per quelli con systemic risk, collegando questa qualificazione a capacità ad alto impatto e a criteri tecnici e regolatori.La conseguenza non sarebbe stata immediatamente lo “spegnimento” del modello, ma l’attivazione di un apparato di obblighi: documentazione tecnica, cooperazione con le autorità, valutazioni del modello, identificazione e mitigazione dei rischi sistemici, adversarial testing, reporting degli incidenti gravi e garanzie di cybersecurity. Il punto europeo, almeno in astratto, non è l’interruttore, ma il ciclo di vita: prevenzione, monitoraggio, mitigazione, tracciabilità, auditabilità.Qui sta una differenza strutturale. Nel caso americano, per quanto possiamo ricostruire dalle fonti pubbliche, il baricentro è l’ordine governativo fondato su sicurezza nazionale ed export control. Nel modello europeo dell’AI Act, invece, il rischio sistemico dovrebbe essere governato attraverso obblighi progressivi e proceduralizzati. Non significa che l’Europa non possa arrivare a misure incisive. Significa che la fisiologia del sistema è diversa: prima viene la classificazione del rischio, poi la compliance rafforzata, poi l’interazione con le autorità, poi, se necessario, le misure correttive.Sicurezza nazionale e modelli AI avanzati in EuropaLa seconda precisazione è decisiva. Se la vicenda fosse stata qualificata come questione di sicurezza nazionale, l’AI Act non avrebbe assorbito l’intera materia. Il regolamento europeo, infatti, non incide sulle competenze degli Stati membri in materia di sicurezza nazionale e prevede esclusioni per sistemi usati esclusivamente per finalità militari, di difesa o di sicurezza nazionale.Le competenze nazionali davanti al mercato internoQuesto è il punto più delicato. In Europa non esiste una sola cabina di regia costituzionale del rischio AI. Esiste un ecosistema regolatorio composto da competenze dell’Unione, competenze nazionali, autorità indipendenti, Commissione, AI Office, autorità di market surveillance, autorità privacy, autorità cyber e, in alcuni casi, autorità di sicurezza nazionale.Perciò, se uno Stato membro avesse invocato la sicurezza nazionale per limitare l’accesso a un modello AI strategico, la domanda sarebbe stata: quella misura ricade davvero fuori dal diritto dell’Unione? Oppure incide sul mercato interno, sulla libera prestazione dei servizi, sulla non discriminazione, sulla protezione dei dati, sulla libertà d’impresa, sulla ricerca o sulla concorrenza?La risposta non potrebbe essere automatica. La sicurezza nazionale resta una competenza essenziale degli Stati, ma non è una formula che cancella ogni controllo. Quando una misura nazionale produce effetti su operatori economici, utenti, ricercatori, imprese e infrastrutture digitali nel mercato europeo, diventa inevitabile interrogarsi sulla sua base legale, sulla proporzionalità, sulla motivazione e sulla possibilità di rimedio.Export control, DSA e GDPR nella tutela dai pericoli analoghi a quelli di MythosIl terzo livello sarebbe quello dei controlli sulle esportazioni. Se il modello è considerato una capacità dual use, cioè utilizzabile sia per finalità civili sia per finalità militari o di sicurezza offensiva, la disciplina europea pertinente non sarebbe solo l’AI Act, ma anche il Regolamento 2021/821 sui prodotti a duplice uso. Tale regolamento istituisce un regime dell’Unione per il controllo delle esportazioni, dell’intermediazione, dell’assistenza tecnica, del transito e del trasferimento di prodotti dual use.Qui l’analogia con il caso americano diventerebbe più forte. L’AI avanzata, soprattutto quando applicata alla scoperta di vulnerabilità cyber, può essere letta come capacità dual use. Può servire a rafforzare la sicurezza di software critici, ma anche a individuare superfici d’attacco. In Europa, però, anche il regime dual use dovrebbe operare dentro un quadro normativo espresso: autorizzazioni, competenze, criteri, responsabilità degli operatori, controlli e rimedi.Il punto costituzionale è che la natura dual use non basta, da sola, a giustificare qualsiasi misura. Serve stabilire chi decide, su quale base normativa, con quali elementi istruttori, per quanto tempo, con quale possibilità di riesame e con quali effetti sui soggetti colpiti.Il ruolo limitato del DSAIl DSA entrerebbe in gioco solo a certe condizioni. Non è la disciplina generale dei modelli di AI. Diventerebbe rilevante se il modello fosse integrato in una very large online platform o in un very large online search engine, oppure se il suo funzionamento contribuisse a rischi sistemici nell’ambiente dei servizi intermediari.Il Digital Services Act contiene un meccanismo di risposta alle crisi, previsto dall’articolo 36, che consente alla Commissione di chiedere a piattaforme o motori di ricerca di dimensioni molto grandi di valutare se e come il funzionamento dei loro servizi contribuisca a una minaccia grave e di adottare misure specifiche, efficaci e proporzionate.Ma sarebbe sbagliato dire che il DSA consentirebbe automaticamente di spegnere un modello AI. Il DSA parla il linguaggio della mitigazione dei rischi sistemici dei servizi intermediari, non quello del controllo generalizzato dei modelli fondazionali. Se il modello AI fosse usato dentro un motore di ricerca o una piattaforma, il DSA potrebbe rilevare. Se invece fosse un modello API usato da imprese, ricercatori o operatori cyber, il DSA avrebbe un ruolo molto più limitato o nessun ruolo diretto.Data retention e protezione dei datiIl caso Anthropic contiene un punto spesso trascurato: la sicurezza del modello può richiedere conservazione e analisi delle interazioni. Mythos 5, secondo la pagina Anthropic, richiede una data retention di trenta giorni per finalità di safety monitoring.In Europa questa scelta avrebbe aperto immediatamente il capitolo GDPR. Se le interazioni contengono dati personali, direttamente o indirettamente riferibili a persone fisiche, la retention non potrebbe essere giustificata solo come esigenza tecnica. Servirebbero base giuridica, finalità determinate, minimizzazione, limitazione della conservazione, sicurezza, controllo degli accessi, trasparenza e accountability.Qui il tema è cruciale: la governance dell’AI avanzata può generare una nuova forma di sorveglianza funzionale. Si conserva perché bisogna prevenire abusi. Si monitora perché bisogna evitare jailbreak. Si analizzano prompt e output perché bisogna identificare rischi cyber. Tutto questo può essere ragionevole, ma nel diritto europeo deve essere giuridicamente qualificato. La sicurezza non elimina la protezione dei dati; la riorganizza dentro un bilanciamento più esigente.Caso Anthropic in Europa: nazionalità, rimedi e mercatoLa misura americana, secondo Anthropic, colpisce l’accesso da parte di qualunque foreign national. Se un criterio analogo fosse usato in Europa, il problema costituzionale sarebbe immediato. L’articolo 21 della Carta dei diritti fondamentali vieta le discriminazioni e, nell’ambito di applicazione dei Trattati, vieta le discriminazioni fondate sulla nazionalità.Naturalmente, sicurezza nazionale e controllo delle esportazioni possono giustificare differenziazioni. Ma la domanda europea sarebbe: la nazionalità è davvero un criterio proporzionato di rischio? Oppure sarebbe più coerente distinguere sulla base della finalità d’uso, del settore, del livello di accesso, dell’affidabilità dell’operatore, della localizzazione, della tracciabilità, della sottoposizione ad audit, della presenza di misure tecniche di contenimento?Una misura fondata sulla sola nazionalità sarebbe costituzionalmente fragile, soprattutto se applicata in modo indifferenziato a ricercatori, imprese, dipendenti, clienti istituzionali e soggetti già sottoposti a controlli. L’Europa tenderebbe a chiedere una giustificazione più fine: non solo chi sei, ma che cosa fai, per quale scopo, con quali garanzie e sotto quale controllo.Rimedio effettivo e controllo giurisdizionaleIl tema del due process, tradotto nel lessico europeo, diventerebbe diritto a una buona amministrazione, motivazione della decisione, accesso a un rimedio effettivo e controllo giurisdizionale. L’articolo 47 della Carta tutela il diritto a un ricorso effettivo e a un giudice imparziale.Se un provider europeo o attivo nel mercato europeo ricevesse un ordine di sospensione di un modello, la questione non sarebbe soltanto se l’ordine sia legittimo, ma se sia contestabile, motivato, proporzionato, temporalmente limitato e riesaminabile. La garanzia procedurale è qui sostanziale: serve a impedire che il rischio tecnologico diventi una zona franca del potere esecutivo.Concorrenza, ecosistema e autonomia strategicaC’è poi un tema di ecosistema. Se un modello avanzato viene improvvisamente sospeso, non vengono colpiti soltanto il provider e i clienti diretti. Possono essere colpiti sviluppatori, imprese che hanno integrato quel modello nei propri servizi, operatori di cybersecurity, università, pubbliche amministrazioni, startup e soggetti che dipendono da quella capacità per attività di ricerca o sicurezza.In Europa questo avrebbe una rilevanza anche concorrenziale e industriale. Un’interdizione improvvisa può alterare il mercato, favorire concorrenti, danneggiare downstream users, creare lock-in verso altri provider o rafforzare dipendenze extraeuropee. Non ogni effetto di mercato è illegittimo, ma in un ordinamento che ha fatto della sovranità digitale un obiettivo politico e regolatorio, la continuità di accesso alle capacità AI avanzate diventa un tema di autonomia strategica.Sovranità digitale europea Il paradosso è che l’Europa avrebbe più strumenti procedurali, ma forse meno rapidità decisionale. Il caso Anthropic mostra la forza del modello americano quando la sicurezza nazionale viene attivata come comando verticale: pochi passaggi, effetto immediato, centralità dell’esecutivo. Il modello europeo, al contrario, è più lento, più articolato, più frammentato, più garantista.La procedura come risposta al rischioMa questa lentezza non è necessariamente un difetto. In materia di AI strategica, la velocità assoluta può diventare arbitrio; la procedura, invece, può diventare una tecnologia costituzionale di governo del rischio. Il problema europeo non è avere troppe garanzie. È farle funzionare in modo coordinato quando il rischio è rapido, transnazionale e tecnicamente opaco.È qui che l’AI Act dovrà essere letto non come regolamento autosufficiente, ma come parte di una costellazione normativa più ampia: AI Act, GDPR, DSA, NIS2, Cyber Resilience Act, dual use export control, diritto della concorrenza, Carta dei diritti fondamentali e discipline nazionali di sicurezza. Nessuno di questi strumenti, da solo, risolve il caso. Insieme, però, possono costruire una risposta più coerente di un semplice spegnimento.La vera domanda europea sul blocco dei modelli AILa vera domanda, allora, non è se l’Europa avrebbe potuto bloccare un modello come Mythos o Fable. In casi estremi, strumenti interdittivi possono esistere. La domanda è un’altra: l’Europa avrebbe potuto farlo senza trasformare la sicurezza in una decisione opaca, indifferenziata e non contestabile?La risposta dovrebbe essere: no. O meglio: non dovrebbe.Le sette condizioni di un ordine europeoUn ordine europeo di sospensione dovrebbe misurarsi con almeno sette condizioni.Primo: una base legale chiara.Secondo: una motivazione sufficiente, anche se compatibile con esigenze di segretezza.Terzo: una valutazione tecnica documentata del rischio.Quarto: una misura proporzionata e, ove possibile, meno restrittiva del blocco totale.Quinto: una durata definita o almeno riesaminabile.Sesto: garanzie per i dati trattati nel monitoraggio del modello.Settimo: un rimedio effettivo per il provider e per gli altri soggetti incisi.Questo non significa disarmare lo Stato davanti a rischi reali. Significa costituzionalizzare la risposta al rischio.Il rapporto tra AI avanzata e Stato di dirittoSe il caso Anthropic fosse accaduto in Europa, non avremmo dovuto guardare soltanto all’AI Act. Avremmo dovuto osservare l’intero ecosistema europeo della regolazione digitale: AI Act per i modelli di AI per finalità generali e i rischi sistemici; export control per la dimensione dual use; GDPR per la retention e il monitoraggio; DSA solo se il modello fosse integrato in piattaforme o motori di ricerca di dimensioni molto grandi; Carta dei diritti per non discriminazione, proporzionalità e rimedio effettivo; diritto nazionale per la sicurezza.Il punto è che l’AI avanzata non è più soltanto oggetto di compliance. È infrastruttura di potere. Può produrre conoscenza, sicurezza, vulnerabilità, dipendenza e vantaggio geopolitico. Per questo non basta chiedersi chi la sviluppa o chi la usa. Bisogna chiedersi chi può limitarla, con quale procedura, con quali garanzie e con quale controllo.La lezione europea è questa: la sovranità digitale non può ridursi alla possibilità di spegnere tecnologie altrui, né alla speranza di non dipendere da esse. Deve diventare capacità istituzionale di governare infrastrutture cognitive critiche senza sacrificare le categorie fondamentali dello Stato di diritto. In altre parole, non una sovranità dell’interruttore, ma una sovranità della procedura, della proporzionalità e della responsabilità.