Il 7 aprile 2026, il Segretario del Tesoro Scott Bessent e il presidente della Federal Reserve Jerome Powell hanno convocato i CEO di Bank of America, Citigroup, Wells Fargo, Goldman Sachs e Morgan Stanley a Washington. Non si trattava di una riunione di politica monetaria, ma di un avvertimento riguardo a un modello di intelligenza artificiale di Anthropic chiamato Claude Mythos Preview, lanciato lo stesso giorno a un gruppo selezionato di aziende.
La possibilità che genera allarme è concreta: Mythos riesce a scoprire vulnerabilità estreme in software, browser e sistemi di sicurezza con una precisione senza precedenti nel mercato. Anthropic lo ammette chiaramente: se questa strumento finisce nelle mani sbagliate, offre ai potenziali attaccanti un vantaggio per rubare dati o interrompere infrastrutture critiche. Per questo il lancio è limitato; per questo il governo ha chiamato i banchieri. E per questo questo caso merita di essere analizzato oltre il titolo di ciber sicurezza.
Cosa rivela Mythos sul portafoglio di innovazione bancaria
I cinque banche convocati gestiscono collettivamente oltre 20 trilioni di dollari in attivi e concentrano più del 40% della quota di mercato bancaria statunitense. JPMorgan Chase, il più grande assente — il suo CEO Jamie Dimon non ha potuto partecipare — elabora oltre 20 miliardi di transazioni giornaliere. Questi sono istituti la cui infrastruttura tecnologica è, per definizione, il bersaglio più redditizio per qualsiasi attaccante sofisticato.
Il settore ha già pagato caro la propria esposizione: le violazioni della sicurezza sono costate in media 5,9 milioni di dollari per incidente nel 2025, e le perdite aggregate del sistema bancario statunitense per attacchi cibernetici quell’anno ammontano a circa 12 miliardi di dollari. Di fronte a queste cifre, l'arrivo di un'IA che automatizza la rilevazione di vulnerabilità non è un'innovazione accademica. È una leva di potere che redistribuisce chi ha il vantaggio nella guerra offensiva-difensiva.
Il problema strutturale rivelato dalla riunione del 7 aprile è questo: le grandi banche investono massivamente in sicurezza cibernetica — JPMorgan destina 15 miliardi all’anno in tecnologia — ma operano secondo la logica del business maturo, dove l’obiettivo è proteggere il motore di introiti esistente attraverso processi standardizzati, audit ciclici e conformità normativa. Mythos non si adatta a questo modello. È uno strumento di esplorazione attiva delle vulnerabilità, non di manutenzione difensiva passiva. Assimilarla correttamente richiede un design organizzativo che la maggior parte di queste istituzioni non ha attualmente in funzione.
Anthropic ha creato un’azienda dentro la sua azienda, mentre le banche no
Ciò che risalta del caso non è l'avvertimento governativo, ma il contrasto tra come Anthropic ha eseguito il lancio e come il sistema finanziario è posizionato per rispondere.
Anthropic ha lanciato Mythos con un modello di accesso limitato a partner selezionati. Non lo ha rilasciato sul mercato, né integrato in una suite di prodotti esistenti. L'ha trattato per quello che è: una capacità ad alto potenziale e alto rischio che richiede una validazione controllata prima di essere scalata. Questo è esattamente il comportamento di un’organizzazione che gestisce l’innovazione come se fosse un’unità autonoma con le proprie regole operative, separata dal business centrale. Il supporto di Amazon e Google, per oltre 8 miliardi di dollari, le concede il capitale per mantenere questa disciplina senza la pressione di monetizzazione immediata.
Le banche, al contrario, operano secondo la logica opposta. Le loro unità di innovazione, laboratori interni e team di sicurezza cibernetica avanzata spesso devono rispondere agli stessi indicatori di qualsiasi linea di business matura: ritorno sugli investimenti trimestrali, riduzione dei costi misurabili, conformità agli audit. Quando una tecnologia come Mythos appare nei radar, il processo abituale è inviarla all'area compliance, attendere l’approvazione legale, valutare la compatibilità con i sistemi legacy e, se supera quel transito burocratico, integrarla diciotto mesi dopo in una versione diluita del suo potenziale originale.
La Federal Reserve già dispone di personale di sorveglianza integrato che valuta i sistemi interni di queste banche. Questa presenza non è nuova, ma il focus sì: ora stanno auditando capacità, sistemi e difese di fronte a minacce guidate dall'IA. Ciò che troveranno, nella maggior parte dei casi, è un divario tra la velocità con cui la minaccia evolve e la velocità con cui le istituzioni possono adattare le loro difese, quando queste sono intrappolate in strutture di governance progettate per un altro tipo di rischio.
Il costo di misurare l’esplorazione con metriche di sfruttamento
Il mercato globale dell’IA applicata alla sicurezza cibernetica ha raggiunto 24,8 miliardi di dollari nel 2024 e prevede una crescita annuale composta del 24,5% fino al 2030. Questi numeri descrivono un settore che sta passando da strumenti di rilevazione reattiva a sistemi di analisi offensivi proattivi. Mythos non è il punto di arrivo di quella curva; è il segnale che la curva è accelerata prima del previsto.
Per le banche, il costo di non riposizionare il proprio modello di gestione dei rischi tecnologici è duplice. Primo, il costo diretto: se attaccanti sofisticati accedono a capacità equivalenti a Mythos — attraverso versioni non limitate, derivati di codice aperto o attori statali con risorse simili — l'esposizione di istituzioni che elaborano decine di migliaia di miliardi in transazioni giornaliere si moltiplica in modo non lineare. Gli analisti stimano che attacchi amplificati dall’IA potrebbero duplicare le perdite attuali del settore.
Secondo, il costo opportunità: le banche che riescono a integrare strumenti come Mythos nelle loro operazioni difensive in modo funzionale — non come progetto pilota decorativo, ma come capacità operativa reale — otterranno un vantaggio asimmetrico per rilevare e chiudere vulnerabilità prima che vengano sfruttate. Questo riduce i premi assicurativi cibernetici, già aumentati del 25% nel 2025, e diminuisce la probabilità di eventi sistemici che attiverebbero obblighi sotto normative come Dodd-Frank.
L'ostacolo non è la volontà di investire. I budget esistono. L'ostacolo è che integrando uno strumento di esplorazione attiva all'interno di una struttura progettata per la stabilità operativa richiede la creazione di un'unità con reale autonomia, metriche proprie — apprendimento validato, velocità di rilevamento, riduzione della superficie d'attacco — e protezione contro i cicli di approvazione che rallentano qualsiasi iniziativa che non generi redditi visibili nel breve termine.
La finestra di differenziazione si chiude prima di quanto sembri
L'assenza di Jamie Dimon alla riunione del 7 aprile non implica una disattenzione strategica da parte di JPMorgan. Tuttavia, illustra una dinamica che il sistema finanziario non può permettersi di ignorare: quando la minaccia evolve alla velocità di un ciclo di lancio di IA, la preparazione non può dipendere dalla disponibilità del CEO quel martedì.
Anthropic ha costruito un meccanismo di lancio che separa il rischio dall’apprendimento. Le banche devono costruire un meccanismo equivalente che separi l'innovazione difensiva dai cicli di governance aziendale ordinaria. Non come eccezione temporanea, ma come design permanente. Coloro che riusciranno a farlo prima che Mythos — o il suo successore — arrivi sul mercato aperto avranno convertito il costo di compliance in un vantaggio competitivo misurabile. Chi non ci riuscirà continuerà a pagare premi più alti per proteggere sistemi le cui vulnerabilità scopriranno troppo tardi.
