Il consorzio Project Glasswing custodisce una capability cyber che identifica zero-day in autonomia. Oggi i ministri euro chiedono accesso paritetico. Le banche italiane regolate riformano la postura.
Lunedì 11 maggio 2026 l'Eurogruppo ha all'ordine del giorno un punto dedicato: l'accesso al modello Claude Mythos di Anthropic. Mythos identifica e sfrutta zero-day in autonomia su sistemi operativi e browser maggiori. Secondo la UK AI Safety Institute il modello scopre vulnerabilità sconosciute in codebase open-source, reverse-ingegnerizza exploit su software closed-source, e concatena vulnerabilità multiple in sequenze di attacco funzionanti.
Il modello è circoscritto al programma Project Glasswing: circa quaranta organizzazioni nel consorzio iniziale (Amazon, Apple, Google, Microsoft, Nvidia, JPMorgan Chase, Linux Foundation, AWS, e altre). L'amministrazione USA ha posto un limite all'estensione verso settanta organizzazioni aggiuntive, motivando con esigenze di sicurezza nazionale e capacità di compute disponibile.
Il chief banking supervisor tedesco Michael Theurer ha chiesto formalmente alla Commissione europea e ai governi UE di richiedere accesso al modello presso Anthropic o direttamente all'amministrazione USA. Bloomberg ha confermato il dossier sull'agenda Eurogruppo. La discussione di oggi avvia il negoziato a livello finanziario europeo.
Mythos cambia la classe di rischio. Una capability che identifica zero-day in autonomia passa da arma cyber tradizionale a leva sistemica: accelera marcatamente la velocità di scoperta delle vulnerabilità rispetto al reverse engineering umano. La CVE-2026-4747 — vulnerabilità di esecuzione remota in FreeBSD/NFS rimasta latente per diciassette anni — è stata identificata da Mythos in autonomia. Per i sistemi di pagamento, le piattaforme bancarie core, le infrastrutture critiche, la finestra di esposizione si comprime.
Il quadrante difensivo cambia di conseguenza. Chi ha accesso paritetico al modello può fare pre-emptive hunt sulle proprie codebase. Chi opera con difese tradizionali resta su una curva di adozione più lenta.
Quaranta organizzazioni con sede prevalentemente nordamericana hanno accesso firmato a Mythos. Le istituzioni europee — banche, agenzie di cybersecurity, ministeri delle finanze — operano oggi con visibilità asimmetrica sullo stesso vettore di rischio. ENISA e CSIRT-Italia monitorano CVE pubblici a posteriori; il consorzio Glasswing opera in pre-disclosure. Due velocità diverse di intelligence threat.
L'asimmetria si traduce in costi reali. Studi giuridici hanno già analizzato come l'AI Act esistente (Art. 5, Art. 51 GPAI systemic risk, Art. 14 oversight obbligatorio) abiliti l'EU AI Office a chiedere oversight su Mythos quando il modello entra nel mercato EU. La leva regolamentare è disponibile; la questione è politica.
Per anni il tema EU sovereign AI è rimasto su livello dichiarativo. Mythos lo riporta su livello operativo: l'accesso a una capability cyber definita strategica passa attraverso un contratto bilaterale con un fornitore extra-EU, modulato dall'autorizzazione di un governo terzo. È esattamente la configurazione che la strategia EU sovereign AI è chiamata a evitare in settori critici. Mistral, il combinato Cohere · Aleph Alpha (merger Q1-2026) e Schwarz Group si posizionano in questa direzione; il gap rispetto alla frontiera offensiva resta marcato.
L'ambito applicativo AI Privacy First di Synthos Logic è costruito su una scelta architetturale precisa: open-weight sovrani europei deployati sealed in ambiente cliente, con stack di runtime calibrato per finance, healthcare, PA. La configurazione risponde a tre vincoli simultanei: residenza del dato in giurisdizione EU, controllo della catena dei modelli, indipendenza operativa dalla supply chain extra-EU.
Il dossier Mythos rende esplicita la dimensione cyber di questa scelta. Tre coordinate si chiariscono per i clienti italiani regolati.
Prima coordinata · cyber readiness banking. Le banche italiane vigilate da Banca d'Italia e BCE operano sotto DORA (Regolamento 2554/2022, applicabile dal 17 gennaio 2025) e NIS2 (recepita con D.Lgs. 138/2024). DORA impone test di resilienza operativa avanzati e Threat-Led Penetration Testing (TLPT) per le entità sistemiche. Mythos-class capability ridefinisce il baseline del TLPT: il pen-testing manuale resta utile, la scoperta autonoma di zero-day diventa lo standard difensivo da emulare. La domanda concreta per ogni CISO bancario italiano è: come si replicano internamente i controlli che oggi sono privilegio di un consorzio chiuso.
Seconda coordinata · stack open-weight sovrano. La risposta tecnica intermedia è già disponibile: modelli open-weight di frontiera europea (Mistral Large, Cohere Command R+, Aleph Alpha Pharia) deployati in sealed environment, con tooling di security research orientato alla scoperta locale di vulnerabilità. La capability resta a un gradino sotto la frontiera Mythos, e tuttavia abilita una postura cyber europea di linea base — verificabile, residenziale, contrattualmente vincolata. È la traiettoria che la AI Methodology di Synthos Logic codifica come livello 3 di autonomia con firma cliente.
Terza coordinata · modello organizzativo. Il vero scarto difensivo passa dal modello organizzativo. Il Business Partner senior di Synthos Logic assume oggi un ruolo doppio: integrator dello stack open-weight nell'ambiente cliente, e accountable della red-team interna che verifica continuamente la postura. Per le entità bancarie italiane sistemiche, la figura HITL (Human-in-the-Loop) che firma le release agentic e i red-team report è la leva di compliance documentale per DORA Art. 26 (TLPT) e NIS2 Art. 21 (gestione del rischio).
Il prossimo trimestre porta in superficie tre fronti specifici per le banche italiane regolate.
Sul fronte regulatory, la discussione Eurogruppo di oggi apre la richiesta formale di accesso paritetico alla Commissione. L'output realistico è un programma EU-level di accesso vigilato a Mythos per agenzie di cyber nazionale (ACN per l'Italia) e per banche di rilevanza sistemica, con calendario presumibilmente Q3-Q4 2026.
Sul fronte operations, le banche italiane impostano da subito due cantieri paralleli: ramp-up del TLPT con tooling AI-assisted (interno e via fornitori EU-resident), e accelerazione del deploy di stack open-weight per uso security research. La traccia documentale di entrambi i cantieri serve l'audit DORA del 2026-2027.
Sul fronte methodology, il paradigma Agent Factory di Synthos Logic trova qui un'estensione naturale alla red-team: la fleet di agenti AI orientata a security research, sotto supervisione del Business Partner senior, con outcomes firmabili (numero di vulnerabilità coperte, time-to-patch, riduzione finestra esposizione). È l'evoluzione coerente con la doctrine: economia prima dell'architettura (Principio A) — ogni agente cyber ha un outcome misurabile firmato in ore-uomo equivalenti recuperate.
Il dossier Mythos avvia un cantiere strutturale per la cybersecurity bancaria europea. La discussione Eurogruppo di oggi è il primo passo formale; il secondo passo è il programma EU-level di accesso vigilato; il terzo passo è la calibrazione operativa nelle banche sistemiche. Le banche italiane regolate si trovano davanti a una soglia di sviluppo della postura cyber che richiede scelte rapide: combinare TLPT AI-assisted, stack open-weight EU-resident, e modello organizzativo con HITL accountable. La traiettoria è coerente con la doctrine AI Privacy First di Synthos Logic, dove sovranità del dato, sovranità del modello e sovranità dell'operations entrano insieme nella stessa firma del Business Partner.
Autore
Pablo Liuzzi
Founder, Synthos Logic