L’Unione Europea sta entrando in una fase nuova della regolazione dell’intelligenza artificiale applicata alla cybersecurity. Il tema non riguarda più soltanto l’uso improprio dei chatbot, la protezione dei dati o la trasparenza degli algoritmi, ma l’accesso controllato ai modelli AI più potenti per la ricerca di vulnerabilità, la difesa delle infrastrutture critiche e la gestione dei rischi cyber sistemici. In questo contesto, OpenAI ha offerto alla Commissione Europea accesso alle proprie funzionalità di cybersecurity e ha avviato un piano specifico per rendere disponibili strumenti difensivi basati su GPT-5.5-Cyber a soggetti europei selezionati, mentre Anthropic non ha ancora raggiunto con Bruxelles una fase equivalente di apertura sul proprio modello Mythos.
La distinzione tra le due strategie è rilevante perché fotografa uno dei dilemmi centrali dell’AI cyber avanzata. Da un lato, i modelli più capaci possono aiutare difensori, aziende, banche, operatori di telecomunicazioni, enti pubblici e gestori di infrastrutture critiche a trovare vulnerabilità prima degli attaccanti. Dall’altro lato, le stesse capacità possono essere usate per analizzare codice, identificare falle, generare exploit, automatizzare ricognizione tecnica e abbassare la soglia d’ingresso per operazioni offensive sofisticate. Il problema non è quindi decidere se questi modelli siano utili o pericolosi: sono entrambe le cose. La questione operativa diventa stabilire chi può accedervi, con quali controlli, per quali finalità e sotto quale supervisione istituzionale.
OpenAI sta cercando di posizionarsi sul lato dell’accesso controllato. Il programma Trusted Access for Cyber è stato costruito come framework basato su identità e fiducia, pensato per rendere più utili le capacità cyber dei modelli a difensori verificati, mantenendo restrizioni sulle richieste che potrebbero abilitare danni nel mondo reale. Con GPT-5.5-Cyber, OpenAI introduce una versione più permissiva per workflow specializzati, destinata a soggetti responsabili della protezione di infrastrutture critiche e distribuita in anteprima limitata.
Dal punto di vista tecnico, la differenza tra un modello generalista e un modello cyber-specializzato non è soltanto nella qualità della risposta. Il punto decisivo è la soglia di comportamento autorizzato. Un normale modello general-purpose tende a bloccare o limitare molte richieste dual-use perché non può distinguere sempre con precisione tra ricerca difensiva legittima e attività offensiva. Un modello cyber per utenti verificati deve invece essere più utile in contesti come secure code review, vulnerability triage, malware analysis, detection engineering, patch validation, penetration test autorizzati e red teaming controllato. OpenAI descrive GPT-5.5-Cyber come il livello più permissivo per workflow autorizzati, accompagnato da verifiche più forti e controlli a livello di account.
Questa impostazione cambia il rapporto tra laboratorio AI e istituzioni pubbliche. L’accesso a un modello cyber-capable non viene trattato come normale distribuzione commerciale di software, ma come concessione graduata di una capacità sensibile. Il modello non è semplicemente un prodotto; diventa una componente di sicurezza nazionale, resilienza industriale e politica tecnologica. Per questo la Commissione Europea è interessata non soltanto alle prestazioni dei modelli, ma anche alla tracciabilità della loro distribuzione, ai soggetti che li utilizzano, alla loro capacità di generare rischio sistemico e al modo in cui possono essere integrati nelle strategie europee di difesa digitale.
Il caso europeo è particolarmente delicato perché molte infrastrutture critiche del continente poggiano su sistemi legacy, catene software molto stratificate e fornitori distribuiti tra settori diversi. Banche, telecomunicazioni, energia, trasporti, sanità e servizi pubblici utilizzano ambienti complessi, spesso composti da software moderno, applicazioni storiche, componenti open source, sistemi industriali e piattaforme cloud ibride. Un modello AI capace di analizzare codice e individuare falle ad alta velocità può diventare un vantaggio difensivo enorme, ma anche una minaccia se finisce nelle mani sbagliate.
OpenAI ha esteso l’accesso ai propri modelli, compreso GPT-5.5-Cyber, a diverse aziende europee tra cui Deutsche Telekom, BBVA, Telefónica, Sophos e Scalable Capital, con l’obiettivo dichiarato di rafforzare la resilienza di settori vitali come servizi finanziari, telecomunicazioni, energia e servizi pubblici. Il punto non è soltanto offrire un modello più potente, ma costruire una rete di difensori verificati che possano usare capacità AI avanzate per cercare vulnerabilità, rispondere più rapidamente alle minacce e ridurre il tempo tra scoperta, validazione e correzione dei problemi.
In termini operativi, questo significa portare l’AI dentro attività che finora richiedevano molto lavoro manuale. Un modello cyber-specializzato può leggere grandi codebase, individuare pattern di rischio, spiegare il possibile impatto di una vulnerabilità, generare ipotesi di sfruttamento per verificarne la gravità, proporre patch, scrivere test di regressione e produrre evidenze utili per audit o sistemi di ticketing. Se integrato correttamente in pipeline DevSecOps, può ridurre il carico degli analisti e accelerare attività che oggi sono spesso rallentate da backlog, falsi positivi e scarsità di personale specializzato.
Il punto critico è la verifica. Una piattaforma AI cyber non può limitarsi a “trovare bug”. Deve dimostrare che una segnalazione è reale, classificare la priorità in base all’impatto, ridurre i falsi positivi, evitare patch superficiali e lasciare traccia del ragionamento tecnico. OpenAI sta spingendo proprio su questo livello attraverso Daybreak e Codex Security, presentati come strumenti per prioritizzare i problemi più importanti, generare e testare patch nei repository, usare accessi limitati e restituire evidenze verificabili ai sistemi aziendali.
Questa architettura è importante perché il vero costo della cybersecurity aziendale non è soltanto la scoperta della vulnerabilità. È la gestione dell’intero ciclo di remediation. In molte organizzazioni, una falla individuata deve essere validata, assegnata al team corretto, corretta, testata, approvata, distribuita e monitorata dopo il rilascio. Ogni passaggio introduce ritardi. Se un agente AI può comprimere queste fasi, il vantaggio competitivo e difensivo diventa significativo. Tuttavia, se l’automazione viene applicata senza governance, il rischio è generare patch sbagliate, introdurre regressioni o creare un falso senso di sicurezza.
La posizione di Anthropic è diversa. Con Project Glasswing, la società ha presentato Claude Mythos Preview come modello estremamente capace in ambito cybersecurity, ma distribuito con accesso ristretto e orientato a organizzazioni che proteggono software critico. Anthropic ha indicato partner iniziali come AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Linux Foundation, Microsoft, NVIDIA e Palo Alto Networks, mantenendo Mythos in una forma di anteprima controllata per uso difensivo.
La prudenza di Anthropic nasce dal fatto che Mythos viene considerato particolarmente sensibile. Le sue capacità di coding, agentic task e ricerca di vulnerabilità hanno sollevato timori tra regolatori e settore finanziario, proprio perché modelli di questo tipo possono identificare falle in sistemi nuovi e legacy con una velocità superiore a quella dei processi tradizionali. Reuters ha riportato che Mythos ha alimentato preoccupazioni specifiche nel settore bancario e che l’accesso è stato finora gestito attraverso programmi controllati e soggetti selezionati.
Il contrasto tra OpenAI e Anthropic non va letto semplicemente come apertura contro chiusura. Le due strategie rispondono a due interpretazioni diverse dello stesso rischio. OpenAI sostiene che le capacità difensive avanzate debbano essere rese disponibili a più attori fidati, perché trattenere i modelli solo in mano a pochi soggetti rischia di lasciare imprese e istituzioni senza strumenti adeguati contro attaccanti sempre più automatizzati. Anthropic, invece, sembra privilegiare un rilascio molto più ristretto, motivato dalla possibilità che un modello troppo capace nella scoperta di vulnerabilità possa essere abusato o diffuso fuori controllo.
Per l’Unione Europea, il problema è complesso perché nessuna delle due posizioni è sufficiente da sola. Un modello cyber trattenuto da un laboratorio privato può diventare una capacità strategica opaca, accessibile solo a grandi aziende o partner selezionati. Un modello cyber distribuito troppo ampiamente può invece aumentare la superficie di abuso. La risposta europea dovrà probabilmente muoversi verso un terzo modello: accesso selettivo, auditabile, regolato, legato a obblighi di sicurezza, con supervisione istituzionale e criteri chiari per distinguere uso difensivo, ricerca autorizzata e attività ad alto rischio.
La Commissione Europea ha già avuto diversi incontri con Anthropic, ma non è ancora arrivata a una discussione concreta sull’accesso ai modelli paragonabile all’offerta ricevuta da OpenAI. Il portavoce Thomas Regnier ha evidenziato questa differenza, spiegando che con OpenAI esiste un’offerta proattiva di accesso, mentre con Anthropic il dialogo è ancora a una fase precedente.
Questo passaggio è politicamente rilevante anche perché arriva mentre OpenAI è già sotto osservazione normativa in Europa. La Commissione ha valutato l’inquadramento di ChatGPT Search come grande motore di ricerca online ai sensi del Digital Services Act, dopo la pubblicazione dei dati sugli utenti attivi mensili nell’Unione Europea. OpenAI ha indicato che ChatGPT Search ha raggiunto circa 159,1 milioni di destinatari attivi mensili medi nell’UE nel semestre concluso il 31 marzo 2026, un numero ben superiore alla soglia DSA dei 45 milioni.
In questo senso, l’apertura su GPT-5.5-Cyber ha anche una dimensione regolatoria. Offrire accesso alle istituzioni europee e ai difensori verificati può contribuire a costruire fiducia, mostrare cooperazione e posizionare OpenAI come partner della sicurezza europea, non soltanto come soggetto da regolare. La strategia è chiara: se i modelli frontier stanno diventando infrastrutture critiche, l’azienda che li sviluppa deve dimostrare di poter collaborare con governi, regolatori e settori essenziali.
Dal punto di vista della cybersecurity, la posta in gioco è molto concreta. I modelli AI avanzati stanno cambiando la discovery delle vulnerabilità. Fino a pochi anni fa, trovare falle complesse richiedeva team altamente specializzati, strumenti statici e dinamici, reverse engineering, fuzzing, revisione manuale e molta esperienza di dominio. Ora i modelli linguistici più avanzati possono leggere codice, interpretare logica applicativa, seguire flussi di autorizzazione, ragionare su configurazioni, generare ipotesi di attacco e automatizzare parti della verifica. Questo non elimina gli esperti umani, ma moltiplica la loro capacità operativa.
La parte più sensibile riguarda le vulnerabilità logiche. Scanner e strumenti tradizionali sono efficaci nel trovare pattern noti, dipendenze vulnerabili o errori sintattici ricorrenti. I modelli AI possono invece individuare contraddizioni più sottili tra intenzione del codice e comportamento effettivo: controlli di autorizzazione applicati in modo incoerente, eccezioni di sicurezza non documentate, percorsi alternativi che saltano una verifica, combinazioni di stati che creano escalation di privilegi. È proprio questa capacità semantica a rendere i modelli cyber così preziosi per la difesa e così delicati per la sicurezza pubblica.
Per le imprese europee, l’accesso a GPT-5.5-Cyber o a modelli simili non dovrebbe essere interpretato come semplice potenziamento del SOC. È un cambiamento del ciclo di vita del software. L’AI cyber può entrare nella progettazione, nella code review, nella verifica delle dipendenze, nel controllo delle configurazioni cloud, nella gestione degli incidenti, nella generazione di detection rule, nella validazione delle patch e nel reporting verso compliance e risk management. La cybersecurity smette di essere una funzione separata e diventa un processo continuo, integrato nello sviluppo e nelle operation.
Questo è particolarmente importante in Europa, dove molte organizzazioni sono già sottoposte a requisiti crescenti di resilienza digitale, gestione del rischio ICT, sicurezza della supply chain e continuità operativa. Nei settori regolati, non basta dimostrare di aver installato uno strumento di protezione. Bisogna poter documentare processi, controlli, responsabilità, tempi di intervento, impatti e decisioni. Un modello AI cyber utile in ambiente enterprise deve quindi produrre output tecnici, ma anche evidenze verificabili e auditabili.
Il nodo dell’auditabilità sarà decisivo. Se un modello suggerisce una patch, bisogna sapere da quale evidenza è partito, quale vulnerabilità ha individuato, perché ha classificato il rischio in un certo modo, quali test ha eseguito e quali limiti restano. Se un agente AI esegue analisi su repository sensibili, bisogna controllare quali file ha letto, quali comandi ha eseguito, quali credenziali ha usato e quali dati ha eventualmente trasmesso. L’accesso controllato non può limitarsi all’identità dell’utente: deve includere logging, permessi granulari, segregazione degli ambienti e revisione umana nei punti critici.
La scelta di OpenAI di distinguere tra GPT-5.5 standard, GPT-5.5 con Trusted Access for Cyber e GPT-5.5-Cyber va letta proprio in questa logica. Non esiste un unico livello di capacità adatto a tutti. Un developer generico può avere bisogno di assistenza sicura su codice e debugging. Un team di sicurezza verificato può avere bisogno di maggiore libertà per analizzare malware o triagiare vulnerabilità. Un gruppo autorizzato a fare red teaming controllato può richiedere capacità ancora più permissive, ma con controlli più stringenti.
Questo modello a livelli potrebbe diventare un riferimento per la regolazione futura. Invece di classificare un modello AI come semplicemente “sicuro” o “pericoloso”, si può classificare il tipo di accesso, il profilo dell’utente, il contesto operativo e il grado di monitoraggio. Una stessa capacità può essere legittima in un laboratorio di sicurezza autorizzato e inaccettabile in un contesto anonimo o non verificato. La governance dell’AI cyber dovrà quindi essere dinamica e basata sul contesto.
Il caso Mythos dimostra perché questa distinzione è necessaria. Anthropic ha presentato Project Glasswing come iniziativa per dare ai difensori un vantaggio duraturo nell’era della cybersecurity guidata dall’AI, ma ha mantenuto Mythos in accesso limitato e invitation-only per finalità difensive. La società ha esplicitamente collegato i benefici dei modelli nella scoperta e correzione delle falle ai rischi che le stesse capacità possano essere usate da attori malevoli.
Il problema non riguarda soltanto le grandi aziende AI. Una volta che queste capacità diventano tecnicamente possibili, la pressione competitiva spinge tutto il settore a muoversi. Se un laboratorio offre strumenti cyber avanzati a difensori selezionati, altri laboratori dovranno rispondere. Se i regolatori chiedono accesso, le aziende dovranno decidere quanto condividere. Se i clienti enterprise vedono un vantaggio operativo, chiederanno modelli più potenti e meno restrittivi. Il risultato sarà una nuova corsa alla cybersecurity AI-native.
In questa corsa, l’Europa deve evitare due errori opposti. Il primo è bloccare o ritardare l’accesso difensivo per paura dell’abuso, lasciando aziende e istituzioni meno attrezzate rispetto ad attaccanti che useranno comunque modelli pubblici, rubati, distillati o open weight. Il secondo è accettare aperture troppo ampie senza regole solide, trasformando modelli cyber potenti in strumenti difficili da controllare. Il punto di equilibrio è un’infrastruttura di accesso fiduciario che coinvolga istituzioni, fornitori AI, operatori critici, centri nazionali di cybersecurity e organismi di audit.
Il settore finanziario sarà probabilmente uno dei primi banchi di prova. Le banche hanno sistemi legacy complessi, forte esposizione al rischio operativo, obblighi regolatori elevati e infrastrutture digitali continuamente sotto attacco. Reuters ha riportato che Mythos ha già spinto regolatori bancari in diversi Paesi a considerare nuove misure, forum e ispezioni mirate per affrontare i rischi cyber generati dai modelli frontier.
La conseguenza più importante è che la cybersecurity aziendale diventerà sempre più simmetrica. Gli attaccanti useranno AI per cercare vulnerabilità, generare exploit, automatizzare phishing, scrivere malware, analizzare infrastrutture e adattare campagne. I difensori dovranno usare AI per fare discovery continua, patching più rapido, detection engineering, analisi dei log, simulazione degli attacchi e riduzione della superficie esposta. La differenza sarà data dalla qualità della governance, non solo dalla potenza del modello.
GPT-5.5-Cyber e Mythos rappresentano quindi due facce della stessa transizione. Non sono semplici chatbot specializzati, ma strumenti che spostano la cybersecurity verso una dimensione agentica, automatizzata e ad alta intensità di reasoning. Possono accelerare il lavoro dei difensori, ma impongono anche nuove regole di accesso, controllo e responsabilità. Per l’Europa, il confronto con OpenAI e Anthropic è solo l’inizio di un percorso più ampio: definire come rendere disponibili capacità cyber avanzate senza trasformarle in un acceleratore incontrollato di rischio.
Il tema centrale non sarà più se l’AI debba entrare nella cybersecurity, perché ci è già entrata. Il tema sarà chi può usare i modelli più potenti, con quali limiti, sotto quale supervisione e con quali obblighi di trasparenza. L’apertura di OpenAI verso l’UE e la cautela di Anthropic su Mythos mostrano che il mercato non ha ancora una risposta unica. Proprio per questo, la regolazione europea potrebbe diventare decisiva: non per frenare l’innovazione, ma per costruire un modello di accesso in cui i difensori possano usare AI avanzata prima degli attaccanti, senza perdere controllo su una tecnologia che sta rapidamente diventando una capacità strategica.