-1,48
La Bce lancia l’allarme sul possibile impatto per le banche europee di Mythos, il sistema di Anthropic pensato come difesa per gli attacchi cyber che può invece trasformarsi in una minaccia rilevante per la sicurezza degli istituti di credito. Il settore potrebbe essere vicino a una svolta legata alla tecnologia.
«In un contesto con attacchi informatici sempre più frequenti e sofisticati, una situazione finanziaria solida non è sufficiente. Le banche devono essere anche resilienti dal punto di vista operativo», ha detto Frank Elderson, vicepresidente della Vigilanza unica.
Riguardo all’anteprima di Claude Mythos, «non si tratta di un semplice miglioramento incrementale. È un game-changer nel campo della sicurezza informatica», ha detto Elderson evidenziando tre aspetti in cui Mythos è «significativamente più avanzato» rispetto agli strumenti esistenti.
Innanzitutto, «è in grado di scoprire e sfruttare autonomamente le vulnerabilità a una velocità e su una scala di gran lunga superiori a quelle viste finora».
In secondo luogo, «ha la capacità di combinare rapidamente vulnerabilità apparentemente minori in attacchi seri che in precedenza potevano essere realizzati solo da team di esperti che lavoravano per diversi giorni».
In terzo luogo, «può decodificare le patch trasformandole in vulnerabilità sfruttabili a una velocità senza precedenti, conducendo attacchi che prima richiedevano settimane in poche ore, o addirittura più velocemente».
Strumenti come Mythos «rappresentano una risorsa preziosa per il miglioramento dell'IT» secondo Elderson. Tuttavia, «esiste anche il rischio concreto che possano essere sfruttati da soggetti con intenti malevoli».
Il vicepresidente della Vigilanza ha sottolineato che si tratta di una questione «urgente». Le capacità di Mythos potrebbero diffondersi in tempi «incerti, probabilmente brevi, forse anche brevissimi».
Inoltre «dobbiamo essere in grado di gestire modelli futuri sempre più potenti, che potrebbero essere rilasciati in rapida successione».
Un problema ulteriore riguarda l’Europa: le banche del Vecchio Continente oggi non hanno accesso a Mythos. Il sistema è stato reso disponibile solo a un numero limitato di gruppi negli Stati Uniti. «La mancanza di accesso non è una scusa per l'inazione». Al contrario, «rende ancora più cruciale che le banche si attivino e agiscano ora».
Secondo la Bce le azioni per gestire le implicazioni del’AI dovranno essere specifiche per ogni banca, basate sul rischio e in linea con il Dora ((Digital Operational Resilience Act).
«Le banche devono raddoppiare gli sforzi per identificare le vulnerabilità, anche quelle minori, utilizzando gli strumenti di intelligenza artificiale esistenti», ha aggiunto Elderson in un intervento pubblicato dalla Bce mercoledì 13. «Le vulnerabilità un tempo considerate minori – e quindi in genere corrette solo a intervalli più lunghi – devono essere trattate come urgenti e risolte immediatamente».
Il banchiere centrale ha infine osservato che «non sono solo le banche a essere vulnerabili a queste nuove minacce informatiche. Anche altre infrastrutture critiche su cui le banche fanno affidamento potrebbero essere attaccate, con ripercussioni a catena sulla loro capacità di operare». Secondo la Bce, le banche devono quindi aggiornare i piani di resilienza operativa per far fronte alla maggiore probabilità di gravi disagi.
La pericolosità di Mythos è stata riconosciuta anche da Anthropic che ha deciso per il momento di non distribuire il sistema. La società è stata anche esclusa in alcune gare del Pentagono per aver chiesto salvaguardie sull’uso dell’AI per la difesa.
Il Tesoro Usa ha organizzato nei giorni scorsi scorsi un vertice (tenuto segreto prima delle indiscrezioni di stampa) con la Fed e le maggiori banche per discutere dei possibili effetti di Mythos.
Anche il Fmi ha evidenziato i rischi del sistema. La presidente Bce Christine Lagarde ha accennato nei giorni scorsi allo studio di possibili contromisure per difendere le banche europee. La Commissione Ue ha avuto contatti con Anthropic sul possibile impatto di Mythos. Intanto tre istituti giapponesi hanno avuto accesso al sistema che è ancora ignoto ai gruppi europei.
«In qualità di autorità di vigilanza, collaboriamo attivamente con altre autorità e con il settore finanziario per garantire una visione d'insieme completa della situazione della sicurezza informatica nell'intero sistema bancario. Ciò ci consentirà di condividere buone prassi e conoscenze e di promuovere la protezione informatica tra le banche laddove possibile», ha detto Elderson. (riproduzione riservata)