Il Segretario al Tesoro Scott Bessent e il presidente della Federal Reserve Jerome Powell hanno convocato questa settimana i vertici delle principali banche americane per spingerli a testare Anthropic Mythos, il nuovo modello di AI frontiera che in poche settimane ha identificato migliaia di vulnerabilità zero-day nei sistemi software globali. Cinque tra le maggiori banche statunitensi — JPMorgan Chase, Goldman Sachs, Citigroup, Bank of America e Morgan Stanley — risultano ora coinvolte, secondo quanto riportato da Bloomberg e ripreso da TechCrunch il 12 aprile 2026.
La notizia è un cortocircuito politico raro anche per Washington. Mentre un ramo dell'amministrazione Trump spinge le banche verso Anthropic, un altro — il Dipartimento della Difesa — ha designato la stessa azienda come “rischio per la supply chain” ed è attualmente in causa con l'AI lab. La società di Dario e Daniela Amodei è contemporaneamente un partner strategico per la sicurezza del sistema finanziario e un avversario giuridico del Pentagono. È il primo caso documentato in cui un'amministrazione si rivolge a un fornitore AI che sta attivamente cercando di limitare gli usi militari dei propri modelli.
Cosa è Anthropic Mythos e come funziona Project Glasswing
Anthropic ha annunciato Mythos il 7 aprile 2026 come preview limitata all'interno di Project Glasswing, un'iniziativa di cybersecurity difensiva con dodici organizzazioni partner: Amazon, Apple, Broadcom, Cisco, CrowdStrike, Linux Foundation, Microsoft e Palo Alto Networks tra i nomi confermati. Altre quaranta organizzazioni hanno accesso alla preview al di fuori della partnership principale. Non esiste una modalità self-serve: l'accesso è strettamente su invito, come confermato dalla documentazione ufficiale dei modelli Anthropic.
Il modello non è stato addestrato specificamente per la cybersecurity. Mythos è un modello generalista di frontiera — secondo la documentazione Anthropic un tier più potente dell'attuale Claude Opus 4.6 — con forti capacità di ragionamento e coding agentico. L'applicazione alla sicurezza è emersa come proprietà derivata: durante il preview, il modello ha scansionato codebase proprietarie e open source trovando vulnerabilità zero-day — falle sconosciute al vendor e quindi non ancora corrette — a un ritmo che secondo Anthropic supera di ordini di grandezza qualsiasi approccio precedente.
“Migliaia di vulnerabilità zero-day, molte critiche, alcune vecchie di due decenni.” — Anthropic, annuncio Project Glasswing
Il dettaglio che conta per i Chief Information Security Officer bancari è l'anzianità delle falle: due decenni significa che molto codice oggi in produzione nei sistemi finanziari contiene vulnerabilità sfuggite a vent'anni di penetration testing umano. Il modello non inventa bug nuovi — scopre bug che c'erano da sempre e nessuno aveva visto. Per un approfondimento sui termini tecnici più ricorrenti, il nostro glossario AI offre le definizioni di base.
I limiti e le critiche: perché Anthropic Mythos non è ancora un prodotto
Il quadro ha crepe che le fonti primarie non nascondono.
La prima è l'accusa di hype. Diverse voci del settore, riportate da TechCrunch, hanno definito il lancio una combinazione di esagerazione tecnica e strategia di vendita enterprise: limitare l'accesso e insistere sulla “pericolosità” del modello genera domanda prima che qualsiasi soggetto terzo possa verificare le affermazioni. Anthropic stessa dichiara di limitare il rollout perché Mythos sarebbe “troppo bravo” a trovare vulnerabilità — un'argomentazione che ricorda pattern già visti nel marketing AI dell'ultimo biennio.
La seconda crepa riguarda la sicurezza operativa di Anthropic stessa. Nel marzo 2026, Fortune ha rivelato che una bozza del blog post su Mythos (nome in codice “Capybara”) era finita in un data lake pubblico senza protezione — un incidente che Anthropic ha attribuito a “errore umano”. Poche settimane dopo, un bug nella versione 2.1.88 di Claude Code ha esposto quasi 2.000 file di codice sorgente e oltre 500.000 righe di codice; il successivo tentativo di pulizia ha fatto rimuovere migliaia di repository GitHub non correlati.
“Per Anthropic è il modello AI più potente mai sviluppato — per distacco.” — Memo interno Anthropic, riportato da TechCrunch
Chiedere a cinque delle maggiori banche del mondo di integrare questo modello nel proprio stack di sicurezza richiede standard operativi che i recenti incidenti non suggeriscono siano già consolidati. La Financial Conduct Authority britannica ha già avviato discussioni sui rischi sistemici posti da Mythos, secondo il Financial Times. Le autorità europee non hanno ancora preso posizione pubblica, ma non sono distanti.
La terza crepa è giuridica. La causa Anthropic contro l'amministrazione Trump — nata dal rifiuto dell'azienda di consentire il targeting autonomo o la sorveglianza di cittadini statunitensi tramite i propri modelli — non si è chiusa. Le banche che iniziano a dipendere da un fornitore in rotta di collisione legale con il proprio governo federale si espongono a un rischio di continuità che i fornitori ICT tradizionali non presentano.
Cosa cambia per le banche italiane e il perimetro DORA
Per il sistema finanziario europeo la notizia arriva in un momento normativo specifico. Il regolamento DORA (Digital Operational Resilience Act) è pienamente applicabile dal 17 gennaio 2025, e nel 2026 partono i primi Threat-Led Penetration Testing obbligatori basati sul framework TIBER-EU per le entità finanziarie designate come critiche dalle autorità nazionali. In Italia questo significa coordinamento diretto tra Banca d'Italia, Agenzia per la Cybersicurezza Nazionale (ACN) e le maggiori banche del Paese, nel quadro della Strategia Nazionale di Cybersicurezza 2022-2026.
Un modello come Mythos si inserirebbe esattamente nel secondo pilastro DORA — gestione del rischio ICT — e potrebbe supportare i TLPT accelerando la scoperta di vulnerabilità prima che i test red-team le sfruttino. Ma DORA impone anche un criterio che Project Glasswing non soddisfa nella sua forma attuale: tracciabilità e supervisione diretta dei fornitori ICT critici. Un fornitore AI americano in causa con il proprio governo, con un modello accessibile solo su invito e senza audit indipendenti pubblici, difficilmente supererebbe la due diligence che un istituto italiano deve documentare sotto DORA. Il tema è centrale per l'intero settore finanziario che sta valutando come integrare modelli AI di frontiera nei propri processi di sicurezza.
Il Rapporto Clusit 2026 ha confermato che il comparto finanziario italiano ha retto nel 2024-2025 proprio grazie a DORA, con un calo del 16% degli attacchi nel 2024 e una quota del 6,3% degli incidenti globali nel primo trimestre 2026. Integrare strumenti AI come Mythos è una tentazione strategica — secondo i dati Cetif, il 68% degli istituti aumenterà i budget di cybersecurity nel 2026 — ma farlo fuori dal perimetro DORA espone a rischi di compliance che superano il beneficio operativo.
Per i CISO italiani il segnale operativo è duplice. Da un lato, l'emergenza zero-day che Mythos sta rivelando nei sistemi bancari statunitensi riguarda codice diffuso globalmente: le vulnerabilità scovate negli stack di JPMorgan esistono quasi certamente anche negli stack di Intesa Sanpaolo, UniCredit o Banco BPM. Dall'altro, senza un accesso regolamentato e auditato al modello, le banche europee rischiano di trovarsi in una posizione peggiore dei concorrenti americani — conoscono le falle ma non possono usare lo strumento che le trova. Nei prossimi sei mesi la partita si giocherà sul piano regolatorio prima ancora che su quello tecnico.
Fonti
- Anthony Ha, Trump officials may be encouraging banks to test Anthropic's Mythos model, TechCrunch, 12 aprile 2026 Lucas Ropek, Anthropic debuts preview of powerful new AI model Mythos in new cybersecurity initiative, TechCrunch, 7 aprile 2026 Anthropic, Models overview (documentazione ufficiale), 2026 Anthropic, Project Glasswing, pagina ufficiale dell'iniziativa, 2026 Banca d'Italia, Normativa e linee guida sulla cybersicurezza Osservatorio Cybersecurity & Data Protection, Politecnico di Milano, Regolamento DORA: la guida completa, 2026 Cybersecurity360, DORA: guida alla conformità per banche e fornitori ICT, 2026 Cybersecurity Banche 2026: AI e Norme al Centro — dati report Cetif, marzo 2026