Il governo del Regno Unito, attraverso una lettera aperta firmata da Liz Kendall il 15 aprile 2026, ha acceso un faro sui rischi legati ai nuovi modelli di intelligenza artificiale. Le valutazioni condotte dall’AISI (AI Security Institute) presso il DSIT hanno indicato che il modello Mythos di Anthropic mostra capacità offensive nettamente superiori rispetto a quanto visto finora, sollevando la necessità di un cambio di passo nelle strategie aziendali.
Questo richiamo non riguarda solo grandi infrastrutture o enti governativi: la raccomandazione è che ogni impresa, indipendentemente dalla dimensione, integri la sicurezza informatica al centro della governance operativa. Il messaggio è chiaro: gli attacchi stanno cambiando volto grazie all’automazione delle competenze tecniche e la risposta deve adattarsi con rapidità e concretezza.
Cosa significa la nuova generazione di modelli per le aziende
La definizione di frontier model indica sistemi AI con capacità di ricerca e sfruttamento di falle software a velocità e scala prima impensabili. L’AISI ha osservato che le capacità dei modelli frontier stanno raddoppiando in soli quattro mesi, un’accelerazione che porta a scenari in cui strumenti automatici possono trovare e sfruttare difetti in tempi molto brevi. Questo fenomeno implica che le imprese non possano più considerare la cyber security come un compito esclusivamente tecnico: deve diventare materia di consiglio d’amministrazione, gestione del rischio e formazione continua.
Implicazioni per la governance e la pratica aziendale
In pratica, il richiamo del governo sollecita i board a discutere regolarmente i rischi informatici, a non delegare completamente alle sole divisioni IT e ad aderire, se possibile, al Cyber Governance Code of Practice.
Le imprese vengono invitate a implementare e certificare procedure di base tramite schemi come Cyber Essentials, a testare e mettere in esercizio piani di risposta agli incidenti e a valutare l’opportunità di polizze di cyber insurance. Per le piccole realtà è disponibile il NCSC Cyber Action Toolkit, che offre strumenti pratici per rafforzare la postura difensiva.
Cosa ha rilevato l’AISI nei test su Mythos
L’AISI ha condotto prove controllate in cui il modello Mythos è stato indirizzato e, in alcuni scenari, con accesso di rete. In queste condizioni il modello è stato capace di eseguire attacchi multi-stadio su reti vulnerabili e di scoprire e sfruttare falle in modo autonomo. In una simulazione strutturata in 32 passi — dalla ricognizione al takeover della rete — Mythos ha completato l’intera catena operativa in 3 tentativi su 10 e ha portato a termine in media 22 dei 32 passi, dimostrando una capacità di automazione significativa rispetto alle tempistiche umane.
Limiti e contesti dei risultati
Tuttavia, l’AISI ha sottolineato importanti avvertenze: le cyber range usate nei test erano semplificate rispetto agli ambienti reali. Mancavano difensori attivi, strumenti di rilevazione e meccanismi che applicherebbero sanzioni o allarmi alle azioni esplorative del modello. Di conseguenza non è possibile affermare con certezza che Mythos riuscirebbe a compromettere sistemi ben protetti. Per colmare questo gap, l’istituto intende replicare prove in ambienti più robusti con endpoint detection e risposta in tempo reale, per affinare la comprensione delle capacità effettive del modello in scenari realistici.
Azioni concrete da intraprendere subito
Fino a quando la situazione evolverà, l’AISI e il NCSC raccomandano un ritorno alle basi della sicurezza: applicazione regolare delle patch, implementazione di controlli di accesso forti, configurazioni sicure e logging esteso per migliorare visibilità e investigazione.
L’uso dell’AI in difesa viene considerato una leva strategica: automazione di scansioni, triage di alert e azioni di contenimento possono ridurre la finestra di esposizione e velocizzare la risposta agli incidenti.
Strumenti e politiche di supporto
Il governo sta potenziando il quadro istituzionale: l’AISI, attiva da due anni e mezzo, insieme a iniziative legislative come il prossimo Cyber Security and Resilience Bill e il National Cyber Action Plan, mira a fornire guide pratiche e obblighi che elevino il livello di resilienza nazionale. Le aziende sono esortate a sfruttare servizi come l’NCSC Early Warning e le risorse dei regolatori di settore per integrare valutazioni del rischio AI nelle pratiche di compliance e continuità operativa.
In sintesi, le autorità britanniche chiedono alle imprese di non attendere che la tecnologia cambi il campo di battaglia per poi inseguire: chi integra subito la sicurezza nell’ossatura gestionale, adotta pratiche di base solide e considera l’AI anche come leva difensiva, avrà maggiori possibilità di trarre vantaggio dall’innovazione senza subirne i rischi.
