Il 1° maggio 2026 il Department of Defense ha annunciato otto partner per il deployment di capacità AI su reti classificate Impact Level 6 e 7: SpaceX, OpenAI, Google, Nvidia, Reflection AI, Microsoft, Amazon Web Services e Oracle. Anthropic non compare. Eppure, dieci mesi prima, il 14 luglio 2025 il Chief Digital and Artificial Intelligence Office aveva siglato quattro contratti con ceiling di 200 milioni di dollari ciascuno proprio con Anthropic, Google, OpenAI e xAI. Nel mezzo, una rottura contrattuale che oggi è il caso più chiaro di come si stia scrivendo la governance reale dell'IA militare statunitense: non in aula parlamentare, ma attraverso clausole di procurement, contenziosi federali e architetture cloud classificate.
La domanda che molti osservatori italiani si pongono è semplice: perché proprio Anthropic, considerata uno dei laboratori più rigorosi sul fronte safety, è stata estromessa mentre OpenAI, Google e xAI hanno trovato un accordo? La risposta non è ideologica. È contrattuale.
Cosa è successo realmente, nella sequenza dei fatti
Tra l'estate 2025 e la primavera 2026 la difesa statunitense ha compresso in dieci mesi quello che normalmente richiede anni: il passaggio da sperimentazione vendor-led a deployment classificato di livello operativo. Ricostruiamo la sequenza per capire dove si è rotto qualcosa.
A luglio 2025 il CDAO assegna i quattro award da 200 milioni a ciascuno dei laboratori frontier USA. Nello stesso mese Anthropic lancia Claude Gov per clienti di sicurezza nazionale, Google Public Sector annuncia il proprio contratto CDAO e xAI inaugura xAI for Government con un ulteriore contratto da 200 milioni. La logica è quella della commercial-first adoption: il Pentagono non sviluppa modelli proprietari, integra quelli civili.
A dicembre 2025 il DoD lancia GenAI.mil — la piattaforma centralizzata per servire modelli generativi al personale militare e civile della difesa — con Gemini for Government come primo servizio, certificato per Controlled Unclassified Information e Impact Level 5. A febbraio 2026 OpenAI annuncia un ChatGPT custom sulla stessa piattaforma per lavoro non classificato.
A gennaio 2026 il memorandum sull'AI strategy del Department of War formalizza l'obiettivo di una “AI-first fighting force”. Tradotto: l'IA non è un'aggiunta opzionale al workflow militare, è la sua architettura primaria.
E qui arriva la frattura. Tra febbraio e marzo 2026 il rapporto Anthropic-DoD si rompe pubblicamente. La società insiste su due red lines non negoziabili — sorveglianza domestica di massa e armi pienamente autonome — il Pentagono chiede invece accettazione della formula “any lawful use” senza eccezioni sostantive ex ante. L'amministrazione classifica Anthropic come “supply chain risk“, una designazione normalmente riservata ad avversari stranieri. Il caso finisce in tribunale.
Il 1° maggio 2026 il comunicato dei nuovi otto partner IL6/IL7 cristallizza l'esito: tutti dentro tranne Anthropic. Va segnalata, per onestà documentale, una discrepanza interessante: xAI compariva negli award CDAO di luglio 2025 ma non nel comunicato pubblico del 1° maggio, dove al suo posto figura Oracle. Le fonti ufficiali vanno controllate data per data, e il mercato rilevante cambia con velocità che rende fragile qualsiasi analisi statica.
Il vero punto di rottura: cosa significa “any lawful use”
La clausola che ha fatto saltare il banco è una sola. Il Pentagono chiede ai fornitori di accettare che i loro modelli possano essere usati per “qualsiasi scopo lecito”. Sembra ragionevole. È il problema.
“Lecito” rispetto a quale ordinamento? Quello federale interpretato da chi? Con quale procedura di escalation in caso di disaccordo? Il punto non è teorico.
Le agenzie di intelligence e sicurezza nazionale, come ha notato pubblicamente il Center for AI Safety, tendono a leggere in modo molto liberale le clausole sulla sorveglianza. La definizione di “domestico” si sposta. La distinzione tra raccolta passiva e targeting individuale si attenua. E il fornitore del modello, una volta firmato il contratto, ha pochi strumenti reali per opporsi a un'interpretazione che ritenga problematica.
Anthropic ha chiesto due eccezioni esplicite ex ante: niente sorveglianza di massa di cittadini statunitensi, niente sistemi d'arma pienamente autonomi privi di giudizio umano sull'uso della forza. La sua Usage Policy pubblica, in effetti, prevede la possibilità di adattare le restrizioni per clienti governativi solo in presenza di safeguards adeguate e basi legali sostanziali. Non era un rifiuto di collaborare con la difesa. Era una richiesta di scriverlo nel contratto, non di affidarsi alla buona fede.
OpenAI ha scelto la strada opposta — o meglio, una via mediana negoziale. Ha accettato la formula “all lawful purposes” ma l'ha incardinata in livelli di controllo molto specifici: stack di sicurezza gestito direttamente dal provider, deployment cloud-only, ingegneri e ricercatori OpenAI autorizzati e presenti nel loop operativo, divieto esplicito di sorveglianza domestica di U.S. persons, riferimento normativo al DoD Directive 3000.09 sul controllo umano nei sistemi d'arma autonomi. È una governance per architettura più che per principio. Non rinuncia ai limiti, li sposta nel tessuto tecnico-contrattuale.
Google ha fatto un percorso diverso ancora. Nel 2018-2021 i suoi AI Principles contenevano divieti categoriali espliciti su armi e sorveglianza in violazione di norme accettate; la versione 2025 parla invece di human oversight, due diligence, diritto internazionale e diritti umani. Lo shift da “proibizioni di categoria” a “risk governance” amplia la manovrabilità per usi difesa. xAI, infine, ha l'AUP più ampia tra i quattro: centrata su legalità e prevenzione del danno, senza red lines difesa-specifiche comparabili a quelle di Anthropic o OpenAI. Allineamento go-to-government massimo, granularità pubblica dei limiti minima.
Quattro modelli diversi di governance per quattro laboratori. E un committente — il DoD — che ha selezionato quello più compatibile con la propria discrezionalità operativa.
Perché il modello OpenAI funziona (e cosa nasconde)
Vale la pena soffermarsi sul template OpenAI, perché è quello che oggi sta diventando lo standard di mercato per la collaborazione classified-but-guardrailed. Funziona per cinque ragioni.
Primo: separa il livello dichiarativo dal livello operativo. La AUP pubblica resta forte sulle red lines generali; le eccezioni governative sono regolate in un annex contrattuale ad hoc. Questo permette al provider di mantenere reputazione esterna senza perdere il contratto.
Secondo: il deployment è cloud-only. Il modello non viene “consegnato” al cliente nel senso classico del software. Resta nell'infrastruttura del provider, che mantiene il controllo del runtime, dei log, delle policy di safety attivate al momento dell'inferenza.
Terzo: il personale autorizzato del provider è nel loop. Ingegneri OpenAI con clearance di sicurezza partecipano direttamente alle integrazioni e ai test sui casi d'uso classificati. Non è solo trasferimento di software: è co-deployment con due catene di accountability.
Quarto: il riferimento normativo è esterno e specifico. Il contratto richiama il DoDD 3000.09, che a sua volta richiede livelli appropriati di giudizio umano sull'uso della forza per sistemi autonomi e semi-autonomi. È una clausola di rinvio: chi controlla è il diritto militare statunitense, non l'azienda.
Quinto: c'è un divieto esplicito sulla sorveglianza domestica. La formulazione, per quanto ampia, fissa un punto giuridico azionabile.
Cosa nasconde questo modello? Una verità scomoda: tutte le salvaguardie sono “intent language”. Sono dichiarazioni di intenzione che il provider non ha realmente strumenti unilaterali per far rispettare in caso di interpretazione divergente da parte del committente. Una clausola che dice “OpenAI non intende che i suoi servizi siano usati per sorveglianza domestica” è diversa da una clausola che impedisce tecnicamente quell'uso. L'enforcement è politico e reputazionale, non architetturale.
Anthropic ha sostenuto, in sostanza, che questo design istituzionale del controllo non è abbastanza. Ha pagato il rifiuto con l'esclusione contrattuale.
Il fronte giudiziario: ingiunzione californiana, decisione D.C. Circuit, merito aperto
Il caso Anthropic non è chiuso, e va detto con precisione. Esistono due binari procedurali paralleli che hanno prodotto esiti apparentemente contraddittori.
In California, una giudice federale del Northern District ha concesso ad Anthropic un'ingiunzione preliminare contro le misure punitive dell'amministrazione, ritenendo probabile — agli standard procedurali del rimedio cautelare — che la designazione “supply chain risk” e il ban federale costituissero ritorsione illegittima e atto arbitrario. Un passaggio dell'ordine è particolarmente rilevante: il dossier amministrativo richiamava il “comportamento ostile nella stampa” dell'azienda, non prove sostanziali di sabotaggio o vulnerabilità tecniche. È, in altre parole, la condotta espressiva di Anthropic ad essere stata sanzionata, non il suo prodotto.
In parallelo, la D.C. Circuit ha negato una sospensione d'urgenza della designazione “supply-chain risk” in un binario diverso. Reuters precisa che si tratta di una decisione interlocutoria, non di una pronuncia definitiva sul merito. Coesistono dunque un'ingiunzione che protegge Anthropic dal ban generalizzato e una decisione che lascia in piedi l'esclusione specifica dai contratti DoD.
La conseguenza pratica è una situazione ibrida che la testata farebbe bene a non semplificare: il merito giuridico è aperto, ma l'esclusione operativa di Anthropic dal Pentagono è oggi una realtà di fatto. Per chi monitora il settore, le prossime decisioni nel merito — attese nei prossimi mesi — potrebbero ridefinire i poteri del DoD nell'usare la designazione “supply chain risk” contro fornitori domestici, una questione che va molto oltre il caso specifico.
Perché il mercato non sta marginalizzando Anthropic
Qui c'è il dato che rovescia molte letture superficiali. La valutazione post-money confermata di Anthropic è passata da 61,5 miliardi di dollari nel marzo 2025 a 183 miliardi nel settembre 2025 fino a 380 miliardi nel febbraio 2026. Tre round consecutivi, crescita molto forte di valutazione e run-rate revenue, durante esattamente il periodo della rottura con il Pentagono.
L'inferenza più prudente è che il mercato stia separando la contendibilità commerciale generale dell'azienda dalla sua compatibilità immediata con specifici requisiti governativi USA. Il caso DoD-Anthropic viene prezzato come frizione regolatoria e contrattuale, non come evidenza di debolezza competitiva del prodotto. Anzi: la disponibilità di Claude su Amazon Bedrock in AWS GovCloud (US), con approvazioni IL4/IL5 documentate per alcuni modelli, e l'integrazione enterprise nel canale Microsoft Foundry mostrano che il perimetro government-adjacent di Anthropic resta solido. È il dominio difesa specifico — non l'intero settore pubblico — il punto di esclusione.
Per i decisori italiani che valutano fornitori di IA per progetti enterprise sensibili, questo è il dato da memorizzare: la designazione DoD non è un giudizio universale di affidabilità. È un esito di negoziazione contrattuale specifica. Trattare il provider come “marchiato” rispetto ad altri usi sarebbe una lettura errata della dinamica.
Il vuoto europeo: AI Act civile, NATO non vincolante, governance reale per procurement
Per il lettore italiano ed europeo, l'implicazione strategica più importante è comparativa. L'AI Act dell'Unione europea esclude in larga misura gli usi militari, di difesa e sicurezza nazionale dal proprio campo di applicazione. La NATO procede invece con principi di “responsible use” che hanno valore politico ma non forza di legge di mercato. Il risultato è un vuoto pratico: nel dominio difesa, la governance reale dell'IA in Europa oggi passa soprattutto per procurement, cloud compliance, testing indipendente e clausole contrattuali, non per regolazione generale.
Questo vuoto non è neutrale. Nel breve periodo significa che i committenti pubblici europei — ministeri della difesa, agenzie di intelligence, contractor — devono importare standard contrattuali e architetture di compliance da modelli sviluppati altrove. Nel medio periodo, in assenza di un baseline europeo specifico per l'IA difesa, il rischio è una doppia dipendenza: dalle clausole del DoD per i template e dagli hyperscaler statunitensi per l'infrastruttura classificata.
Una domanda per chi opera nel settore: cosa stanno facendo i ministeri della difesa europei per sviluppare clausole standard sull'IA frontier? E quali sono i criteri per l'uso di modelli stranieri in ambienti classificati nazionali? Le risposte pubblicamente disponibili sono ancora frammentate, e questa frammentazione è essa stessa un'informazione di policy.
Cosa dovrebbe contenere un template contrattuale minimo
Dalle fonti ufficiali analizzate emerge un punto raramente sottolineato: i mattoni per un template contrattuale minimo comune sull'IA frontier in difesa esistono già. Sono solo dispersi tra documenti diversi. DoDD 3000.09 fornisce il riferimento sul controllo umano nell'uso della forza. I carve-out OpenAI offrono il modello sui divieti su sorveglianza domestica e high-stakes autonomy. La prassi Anthropic indica come gestire il tailoring solo con safeguards adeguate. I principi NATO definiscono lawfulness, accountability, traceability, reliability e governability come pilastri del responsible use.
Sei punti dovrebbero essere clausole standard obbligatorie in qualunque contratto pubblico per l'uso di modelli frontier in difesa: ambito d'uso consentito definito ex ante; divieto esplicito di sorveglianza domestica di massa; requisito di giudizio umano sull'uso della forza; cloud architecture e localizzazione del controllo; auditability e incident reporting verificabili; portabilità ed exit rights per evitare lock-in.
Vale la pena soffermarsi su un aspetto poco visibile ma decisivo: la differenza tra clausole sostantive e clausole procedurali. Le prime fissano divieti d'uso, le seconde definiscono chi decide in caso di controversia interpretativa. Un contratto che vieta la sorveglianza domestica ma non definisce un meccanismo di escalation indipendente in caso di disaccordo sull'interpretazione di “domestico” trasferisce di fatto il potere di definizione al committente. La lezione del caso Anthropic è anche questa: senza meccanismi procedurali di terzo grado — un comitato di oversight indipendente, un riferimento arbitrale neutro, un'autorità tecnica con potere di sospensione — il fornitore resta strutturalmente in posizione subalterna nelle controversie d'uso.
Non è una soluzione perfetta e non risolve le controversie etiche di fondo. Riduce però la probabilità che il confine tra sicurezza nazionale e repressione del dissenso contrattuale venga tracciato ex post dai tribunali, come sta accadendo ora negli Stati Uniti. E offre alle imprese europee — che si troveranno presto a negoziare con le proprie amministrazioni difesa — un canovaccio operativo concreto su cui costruire la propria postura.
Cosa monitorare nei prossimi sei-dodici mesi
Per ricercatori, ingegneri e manager italiani che seguono il dossier, i punti di osservazione operativa sono cinque.
Le decisioni nel merito del contenzioso Anthropic, attese nei prossimi mesi, definiranno se la designazione “supply chain risk” potrà essere usata routinariamente dal DoD contro fornitori domestici basandosi su loro condotta espressiva. È una questione di diritto pubblico amministrativo che avrà impatti molto oltre il caso specifico.
Il roll-out concreto degli accordi IL6/IL7 del 1° maggio 2026 — i cui valori economici, service-level terms e mission set non sono stati specificati nel comunicato ufficiale — chiarirà quali capability vengono effettivamente deployate, su quali workflow militari, con quali metriche di successo. Le prossime release pubbliche del DoD su GenAI.mil sono il canale informativo da seguire.
L'evoluzione delle Usage Policy dei laboratori frontier, in particolare di Google e xAI, andrà osservata per capire se lo shift da proibizioni categoriali a risk governance si consoliderà come standard di mercato o produrrà nuove fratture pubbliche con il personale interno.
I bandi europei per l'IA in difesa pubblicati da European Defence Agency, NATO ACT e singoli ministeri nazionali mostreranno se e come il continente stia importando, adattando o rigettando il template contrattuale statunitense. Per l'Italia, in particolare, le clausole sui contratti del Ministero della Difesa per l'integrazione di modelli generativi sono il banco di prova.
L'integrazione di Anthropic nei canali AWS GovCloud, Microsoft Foundry e altri cloud government-adjacent indicherà se la frizione DoD specifica si espanderà ad altri perimetri pubblici o resterà circoscritta. Finora i dati di mercato suggeriscono la seconda ipotesi.
La lezione che resta
Il caso Anthropic-Pentagono non è una favola sul “buono che paga il prezzo dei propri principi” né un manuale sulla “necessità di compromesso con il potere”. È molto più utile di così. È un caso documentato che ci mostra come la governance dell'IA in domini ad alta posta in gioco non si scrive nei manifesti pubblici, ma nei contratti, nelle architetture cloud e nelle clausole di rinvio normativo.
Il punto decisivo che emerge dalle fonti non è la “sicurezza del modello” in astratto. È il design istituzionale del controllo: chi mantiene i guardrail, dove risiede il modello, chi osserva il deployment, come si gestiscono eccezioni, audit ed enforcement. La differenza tra Anthropic e OpenAI illumina esattamente questo snodo. Una scommette su red lines sostantive pubbliche e anticipate; l'altra su salvaguardie distribuite tra architettura, personale autorizzato e contratto. Entrambi sono approcci legittimi. Solo uno, oggi, è compatibile con il procurement militare statunitense.
Per chi in Italia sta progettando l'integrazione di modelli frontier in workflow sensibili — pubblici o privati — la lezione è netta: la sicurezza dell'IA, nei domini critici, è una questione contrattuale prima che tecnica. Le clausole che si scrivono oggi diventeranno, nei prossimi anni, i precedenti su cui si misurerà l'autonomia decisionale di chi opera con queste tecnologie. Vale la pena scriverle bene.