L’AI entra nei sistemi industriali e rende la sicurezza Ot una questione strategica. Il caso Anthropic con Mythos mostra come la scoperta di vulnerabilità diventi più rapida ed economica, ma anche più rischiosa. La partita, tra big come OpenAI, riguarda sovranità e infrastrutture critiche. Resta decisivo il fattore umano: senza controllo e competenze, l’AI amplifica le vulnerabilità. L’analisi di Fabio Cornevilli, direttore ricerca e sviluppo – area servizi di DigitalPlatforms
C’è un passaggio storico che il dibattito pubblico non ha ancora pienamente metabolizzato. L’intelligenza artificiale non sta soltanto cambiando il modo in cui scriviamo testi, analizziamo documenti o programmiamo software.
Sta entrando, con crescente rapidità, nel cuore dei sistemi che regolano il mondo fisico tra impianti industriali, reti energetiche, infrastrutture logistiche, trasporti, manifattura avanzata.
In una parola, l’Operational Technology. E quando l’AI incontra la sicurezza Ot, il risultato è sistemico.
Il caso più interessante delle ultime settimane arriva da Anthropic. Il suo nuovo strumento, Mythos, è stato presentato come un’evoluzione dei modelli linguistici applicata alla scoperta e all’analisi di vulnerabilità informatiche.
Una piattaforma capace di ragionare su codice, architetture, configurazioni e superfici d’attacco con un livello di profondità che fino a ieri richiedeva team altamente specializzati.
Secondo quanto emerso nei test preliminari, Mythos avrebbe individuato problemi e falle non rilevati da professionisti esperti del settore.
Alcune di queste vulnerabilità sarebbero classificabili come zero-day, ossia difetti sconosciuti fino a quel momento, e dunque privi di contromisure già disponibili. Non sorprende, allora, che Anthropic abbia scelto cautela attraverso l’attivazione di un comitato interno di valutazione prima di procedere al rilascio pubblico.
È una scelta significativa perché mostra come gli stessi sviluppatori siano consapevoli del carattere ambivalente di questi strumenti. Se un modello è in grado di scoprire rapidamente vulnerabilità profonde, può essere impiegato per difendere, ma anche per colpire.
Ed è qui che si apre la vera questione strategica. Fino a ieri, un’attività avanzata di vulnerability research richiedeva mesi di lavoro e budget significativi. In molti casi, operazioni da 200 mila euro o più erano accessibili solo a grandi aziende, società specializzate o apparati statali.
Oggi la promessa, e insieme il rischio, è comprimere quella soglia a poche decine di migliaia di euro, talvolta attorno ai 20 mila. Ridurre costi e tempi significa democratizzare la capacità tecnica. Ma non sempre democratizzare equivale a mettere il potere nelle mani giuste.
La competizione tra attori occidentali, a partire da OpenAI e Anthropic, si gioca anche su questo terreno. Chi costruirà il modello più affidabile per auditing, secure coding, threat intelligence, analisi di exploit e remediation. Una competizione che riguarda la sovranità tecnologica, la resilienza industriale e la capacità di proteggere infrastrutture critiche.
Per l’Europa, e per l’Italia in particolare, il tema è cruciale. La manifattura avanzata, l’automazione di processo, la filiera energetica e i sistemi di comando e controllo industriale costituiscono la spina dorsale economica del Paese.
Parliamo di ambienti dove un attacco cyber non produce soltanto furto di dati, ma può fermare linee produttive, compromettere catene logistiche, danneggiare apparati fisici o incidere sulla sicurezza delle persone.
Tuttavia sarebbe un errore pensare che la macchina possa sostituire l’uomo. I primi riscontri maturati negli ultimi uno-due anni raccontano altro.
L’affiancamento è ormai fondamentale, la delega totale è imprudente. Chi non integra questi strumenti nei processi produttivi e di sicurezza rischia di restare indietro, mentre chi si affida ciecamente rischia di esporsi.
Il punto riguarda anche il lavoro. L’impatto sul coding è già evidente. Sviluppatori, system integrator, analisti Soc, ingegneri Ot e consulenti di sicurezza vedono crescere la produttività quando usano modelli avanzati per scrivere codice, revisionarlo, individuare errori o automatizzare verifiche.
In molti contesti “si vede” ormai chi utilizza bene questi strumenti e chi no. Ma la vera competenza non è digitare un prompt, ma validare il risultato, comprenderne i limiti, inserirlo in un contesto operativo reale.
Perché i modelli possono essere accondiscendenti, talvolta suggerire procedure errate, produrre codice fragile o sottovalutare implicazioni sistemiche. In un impianto industriale, un errore può interrompere una produzione o creare un rischio fisico.
Per questo il fattore umano resta decisivo. Servono professionisti capaci di governare l’AI, non di subirla. Servono team ibridi che uniscano cybersecurity, ingegneria industriale, operations e compliance. Servono regole di impiego, auditabilità delle decisioni automatiche e chiara attribuzione delle responsabilità.
La lezione è semplice e insieme esigente. L’AI non elimina il fattore umano, lo rende più importante. Perché quando la tecnologia accelera, il giudizio diventa la risorsa più scarsa.
