sette passi concreti per la resilienza all’IA 🤖🛡️7️⃣

È bastata una sola email: come Washington ha bloccato da un giorno all’altro i più importanti strumenti di intelligenza artificiale in Europa

La guerra tecnologica di Trump: perché l’improvviso divieto dell’IA si sta trasformando in una trappola per le aziende tedesche

Il 12 giugno 2026, una distopia tecnologica si è trasformata in amara realtà: con una singola email, il governo statunitense ha costretto Anthropic, azienda leader nel settore dell’intelligenza artificiale, a disattivare i suoi modelli più recenti in tutto il mondo. Milioni di utenti, sviluppatori e aziende europee si sono ritrovati improvvisamente e senza preavviso fuori dai propri sistemi. Quella che Washington ha ufficialmente dichiarato una misura necessaria per la sicurezza informatica nazionale si rivela, a un’analisi più attenta, una spietata lotta di potere geopolitica in cui l’intelligenza artificiale viene apertamente utilizzata come arma. Questo utilizzo senza precedenti di un “interruttore di sicurezza” digitale espone impietosamente il punto più vulnerabile dell’economia europea: una profonda e strutturale dipendenza dalla tecnologia statunitense, contro la quale persino la tanto acclamata legge europea sull’intelligenza artificiale si dimostra totalmente impotente. L’incidente segna una svolta storica per l’industria tecnologica globale e pone l’Europa di fronte alla domanda più urgente di questo decennio: chi detiene realmente l’interruttore del nostro futuro digitale?

Interruttore di spegnimento digitale: quando Washington disattiva gli strumenti di intelligenza artificiale in Europa

L’impotenza autoimposta dell’Europa nel gioco globale del potere dell’IA

La sera del 12 giugno 2026, si è verificato un precedente senza precedenti nella storia di internet commerciale: su ordine diretto del governo statunitense, l’azienda di intelligenza artificiale Anthropic è stata costretta a disattivare a livello globale i suoi modelli Fable 5 e Mythos 5, rilasciati solo pochi giorni prima, inclusi tutti gli utenti europei. Quella che viene apparentemente dichiarata una drastica misura di sicurezza nazionale, a un esame più attento si rivela essere una lotta di potere geopolitica di vasta portata, in cui l’intelligenza artificiale viene apertamente utilizzata come arma strategica e strumento di coercizione. Il tanto discusso “interruttore di spegnimento” non è più una distopia teorica, ma una realtà documentata.

Il momento in cui un’email ha cambiato il mondo

Il 12 giugno 2026, un normale venerdì sera, alle 17:21 ora della costa orientale degli Stati Uniti, Anthropic ricevette una lettera dal Segretario al Commercio statunitense Howard Lutnick. Il contenuto era conciso nella formulazione ma di portata epocale: i modelli Fable 5 e Mythos 5 dell’azienda venivano bloccati con effetto immediato per tutti i cittadini stranieri, sia che si trovassero negli Stati Uniti che all’estero, e persino per i dipendenti di Anthropic. Poiché è praticamente impossibile distinguere tra le nazionalità in tempo reale all’interno di un’infrastruttura cloud condivisa, ad Anthropic non restava che un’unica soluzione: la completa disattivazione globale di entrambi i modelli per tutti gli utenti in tutto il mondo.

Questo evento non ha precedenti nella storia di Internet commerciale. Per la prima volta in assoluto, un’importante amministrazione democratica ha di fatto bloccato un modello di intelligenza artificiale rilasciato pubblicamente attraverso una direttiva sul controllo delle esportazioni. Fable 5 era sul mercato da soli tre giorni al momento del blocco ed era stato sbloccato per tutti i piani Pro, Max, Team ed Enterprise. La reazione negli ambienti degli esperti e nei media tecnologici di tutto il mondo è stata un misto di sgomento, analisi politica e pura incomprensione.

Tra sicurezza informatica e dimostrazione di potere politico: di cosa erano realmente capaci Fable 5 e Mythos 5

Claude Fable 5 è stata la prima versione pubblicamente disponibile di Anthropic di un cosiddetto modello di classe Mythos: una nuova categoria di sistemi di intelligenza artificiale che Anthropic aveva dotato di misure di sicurezza avanzate per l’uso generale. Il suo modello gemello, Mythos 5, era destinato a una cerchia ristretta di partner selezionati nell’ambito del Project Glasswing, un programma controllato per partner di sicurezza informatica provenienti da aziende e istituzioni governative come Amazon Web Services, Microsoft, Cisco, Palo Alto Networks e CrowdStrike.

La straordinaria capacità di Mythos, che rendeva il modello al contempo così prezioso e politicamente delicato, risiedeva nella sua competenza in materia di sicurezza informatica. Il modello aveva identificato autonomamente migliaia di vulnerabilità software critiche in tutti i principali browser e sistemi operativi, comprese falle di sicurezza precedentemente sconosciute nel kernel Linux, utilizzato anche nei sistemi del Dipartimento della Difesa statunitense. Pertanto, Mythos non era semplicemente un potente assistente, ma uno strumento di rilevanza sistemica sia per la sicurezza informatica offensiva che difensiva: una capacità di questa classe, se diffusa in modo incontrollato, rappresentava uno scenario difficile da accettare per le agenzie di sicurezza statunitensi.

Fable 5 è stato progettato per affrontare questa tensione attraverso ulteriori misure di sicurezza: il modello era concepito per evitare compiti di sicurezza informatica pur fornendo la potenza intellettuale dell’architettura Mythos per applicazioni generiche, con capacità superiori per l’analisi di codebase complessi, l’individuazione di bug software radicati e la gestione di attività altamente strutturate. È stata proprio questa capacità di analisi del codice che le autorità statunitensi hanno considerato un potenziale punto di ingresso per abusi.

Giustificazione ufficiale e sue incongruenze: un’evasione dal carcere come pretesto?

L’amministrazione Trump ha citato la scoperta di un jailbreak come motivo ufficiale: un’azienda non specificata aveva dimostrato al Dipartimento del Commercio che Fable 5 poteva essere aggirato utilizzando una tecnica specifica per eludere le restrizioni di sicurezza integrate. Anthropic ha risposto con notevole precisione: aveva valutato autonomamente la tecnica descritta e identificato un numero limitato di vulnerabilità minori già note, vulnerabilità che, secondo la valutazione dell’azienda, potevano essere riscontrate anche in altri modelli disponibili pubblicamente senza jailbreak.

Anthropic ha aggiunto di non aver identificato una vulnerabilità universale in migliaia di ore di test di sicurezza (red teaming) e ha sottolineato che una perfetta resistenza al jailbreak è attualmente irraggiungibile per qualsiasi modello di qualsiasi produttore. L’azienda ha esplicitato le profonde implicazioni della logica normativa: se lo standard applicato venisse esteso all’intero settore, il lancio di un nuovo modello di punta risulterebbe praticamente impossibile. Questa affermazione ha un peso particolare: Anthropic è considerata una delle aziende più conservative del settore tecnologico in materia di sicurezza dell’IA e non è solita minimizzare i rischi di conformità.

La tecnologia come strumento di potere: il contesto politico del conflitto

Chiunque consideri la spiegazione ufficiale isolatamente non comprende appieno la vicenda. Il conflitto tra Anthropic e l’amministrazione Trump risale a molto tempo prima ed è profondamente politico nella sua struttura. Nel gennaio 2026, l’amministratore delegato di Anthropic, Dario Amodei, ribadì in una lettera al Pentagono che i sistemi d’arma autonomi e la sorveglianza di massa rappresentavano delle linee rosse per l’azienda, limiti non negoziabili all’utilizzo dei suoi modelli. Il Dipartimento della Difesa, sotto la guida di Pete Hegseth, esigeva invece un impegno per il cosiddetto “qualsiasi uso lecito”, ovvero la disponibilità illimitata dell’intelligenza artificiale per tutte le applicazioni militari legalmente consentite.

Quando Anthropic si è rifiutata di assumersi questo impegno, la situazione è degenerata rapidamente. Alla fine di febbraio 2026, il Segretario alla Difesa Hegseth ha pubblicamente etichettato Anthropic come “rischio per la sicurezza nazionale nella catena di approvvigionamento”, una classificazione senza precedenti per le aziende statunitensi e solitamente riservata a imprese di paesi come la Cina. Il Presidente Trump ha chiesto a TruthSocial che tutte le agenzie federali cessassero immediatamente l’utilizzo dei prodotti Anthropic. In questo contesto, la direttiva sul controllo delle esportazioni del 12 giugno appare meno come una misura di sicurezza spontanea e più come un’ulteriore mossa in una lotta di potere politico: un’azienda che si rifiuta di mettere a disposizione del governo i propri strumenti senza restrizioni viene messa sotto pressione attraverso la leva della legge sul controllo delle esportazioni.

Il diritto al controllo delle esportazioni come leva geopolitica: uno strumento di nuova dimensione

Il quadro giuridico in cui si svolgono questi eventi è costituito dalla legislazione statunitense sul controllo delle esportazioni, in particolare dall’Export Control Reform Act del 2018 e dai conseguenti Export Administration Regulations (EAR). Questo strumento è stato originariamente sviluppato per limitare la distribuzione di beni fisici con duplice impiego militare, come chip, armi e tecnologia nucleare. La sua applicazione ai modelli software, e soprattutto ai servizi di intelligenza artificiale già disponibili al pubblico, rappresenta un territorio giuridico e politico inesplorato.

Il Dipartimento del Commercio degli Stati Uniti aveva già iniziato ad estendere la normativa EAR (Equivalent Earnings Regulation) ai chip per l’intelligenza artificiale e ai pesi dei modelli di alcuni modelli a duplice uso chiusi nel gennaio 2025. Queste estensioni hanno avuto un impatto immediato sugli Stati membri dell’UE: Austria, Bulgaria, Croazia, Cipro, Repubblica Ceca, Estonia, Grecia, Ungheria, Lettonia, Lituania, Lussemburgo, Malta, Polonia, Portogallo, Romania, Slovacchia e Slovenia sono stati classificati nelle cosiddette categorie Tier 2, che hanno limitato il loro accesso alla capacità di calcolo ad alte prestazioni.

Il caso di Fable 5 va ancora oltre: qui, l’accesso all’hardware non è stato limitato, ma un servizio software già attivo è stato arrestato con effetto immediato. Questo livello di controllo segna una nuova fase nelle possibilità di applicazione delle norme. Laddove in passato la logica dell’embargo richiedeva confini fisici ed esistevano soluzioni tecniche alternative, oggi è sufficiente un’e-mail a un servizio cloud per innescare arresti di portata globale. Il paragone con un interruttore di emergenza non è più un’esagerazione retorica, ma una realtà documentata.

I dati rivelano un bilancio preoccupante: la dipendenza strutturale dell’Europa dalla tecnologia digitale

La chiusura di Fable 5 e Mythos 5 non è un incidente isolato che colpisce solo marginalmente l’Europa. È una dimostrazione empirica diretta di una debolezza strutturale di cui economisti, politologi e strateghi del settore tecnologico avvertono da anni. Oltre l’80% degli utenti europei di chatbot basati sull’intelligenza artificiale utilizza ChatGPT di OpenAI. Le aziende tecnologiche americane controllano circa l’80% del mercato europeo del cloud computing e detengono il 59% dei ricavi del software aziendale europeo. I tre principali fornitori di servizi cloud statunitensi – AWS, Microsoft Azure e Google Cloud – insieme rappresentano circa il 70% dei servizi cloud europei.

Nel 2017, i fornitori di servizi cloud europei detenevano ancora il 29% del mercato europeo. Oggi, questa cifra è scesa al 15%, nonostante un volume di mercato sestuplicato nello stesso periodo. Mentre i fornitori europei hanno triplicato i loro ricavi assoluti, gli hyperscaler statunitensi sono cresciuti più rapidamente e hanno progressivamente ampliato il divario. Al contrario, all’inizio del 2026, si contavano già circa 40 grandi modelli Foundation negli Stati Uniti e circa 15 in Cina, ma solo circa tre nell’UE. Il risultato è una duplice dipendenza: dal software statunitense e dall’hardware asiatico, con il 57% di tutte le apparecchiature IT e oltre la metà dell’hardware necessario per i data center importati da cinque paesi asiatici.

Queste cifre non rappresentano astratte vulnerabilità geopolitiche. Descrivono una tangibile dipendenza economica e di sicurezza: ogni decisione supportata dall’intelligenza artificiale in una media impresa tedesca, ogni analisi automatizzata in una società di consulenza gestionale europea, ogni flusso di lavoro intelligente nella logistica o nella sanità accede in ultima analisi a infrastrutture su cui Washington esercita la sovranità legale. Inoltre, il CLOUD Act statunitense obbliga i fornitori americani a concedere alle autorità statunitensi l’accesso ai dati, indipendentemente da dove questi siano fisicamente archiviati: non solo la disponibilità dei servizi è soggetta a influenze esterne, ma anche la riservatezza dei dati elaborati.

Il CLOUD Act e la fine dell’illusione della sovranità: la confessione di Microsoft al Senato

Per comprendere l’urgenza del dibattito sulla sovranità tecnologica, è utile esaminare il Cloud Act statunitense, entrato in vigore nel marzo 2018 durante la prima amministrazione Trump. La legge consente alle autorità statunitensi di richiedere alle aziende americane la consegna di dati elettronici, indipendentemente dal fatto che tali dati risiedano su server negli Stati Uniti o all’estero. Obbliga i fornitori di servizi cloud statunitensi come Amazon, Microsoft e Google a divulgare dati in risposta a ordini legalmente validi, anche se tali dati sono archiviati su server europei.

Questa portata extraterritoriale della legge statunitense crea un conflitto giuridico fondamentale con il GDPR. L’articolo 48 del GDPR stabilisce che i trasferimenti di dati verso paesi terzi possono, in linea di principio, avvenire solo tramite trattati internazionali di assistenza giudiziaria reciproca – un requisito che, secondo il Comitato europeo per la protezione dei dati, il CLOUD Act elude sistematicamente. Le aziende soggette sia al CLOUD Act che al GDPR si trovano quindi in un dilemma giuridico senza una soluzione pienamente soddisfacente.

Quello che in precedenza era stato discusso negli ambienti legali come un rischio teorico è diventato realtà nel giugno 2025: Anton Carniaux, responsabile legale di Microsoft Francia, è stato interrogato sotto giuramento davanti alla commissione investigativa del Senato francese sulla possibilità di garantire che i dati dei cittadini francesi non sarebbero mai stati consegnati su richiesta del governo americano senza l’esplicito consenso delle autorità francesi. La risposta è stata schiacciante: no, non poteva garantirlo. Microsoft era legalmente obbligata a rilasciare i dati richiesti in caso di un ordine del tribunale statunitense formalmente valido. Questa ammissione ha minato alla base la promessa di un “cloud sovrano” in stile europeo: misure tecniche come i data center europei e l’archiviazione locale dei dati non modificano l’obbligo legale di consegnare i dati quando si applica la legge statunitense.

La risposta di Bruxelles – troppo tardi, ma nella giusta direzione: il pacchetto sulla sovranità tecnologica

Il 3 giugno 2026 – appena nove giorni prima del blocco di Anthropic – la Commissione europea ha pubblicato il suo Pacchetto sulla sovranità tecnologica. Il pacchetto si compone di quattro elementi: il Chips Act 2.0, il Cloud and AI Development Act (CADA), una strategia open source e un piano energetico per i data center. L’elemento di maggiore portata politica ed economica è il Cloud and AI Development Act, che si prefigge tre obiettivi principali: promuovere la ricerca e l’innovazione nelle tecnologie cloud e di intelligenza artificiale; triplicare la capacità dei data center nell’UE entro cinque-sette anni; e introdurre un quadro unificato a livello europeo per la valutazione della sovranità in materia di cloud e intelligenza artificiale.

Al centro del CADA c’è un modello di sovranità a quattro livelli. Al primo livello, è sufficiente che i dati siano archiviati all’interno dell’UE, uno standard che gli hyperscaler statunitensi possono formalmente soddisfare attraverso i loro data center europei. Al secondo livello, deve essere pressoché impossibile per i paesi terzi accedere ai dati o bloccarne l’accesso, un requisito che i fornitori americani non possono soddisfare a causa del CLOUD Act. Il terzo livello richiede strutture di proprietà dell’UE ed esclude strutturalmente AWS, Microsoft Azure e Google Cloud nella loro forma attuale. Il quarto e più alto livello rimane riservato esclusivamente ai fornitori controllati dall’Europa con il pieno controllo della catena di fornitura.

Henna Virkkunen, vicepresidente della Commissione europea per la sovranità tecnologica, ha riassunto in modo conciso l’obiettivo: l’Europa vuole garantire che nessuno possieda un interruttore di sicurezza. Il fatto che questa dichiarazione sia stata rilasciata appena nove giorni prima dell’effettiva messa in funzione di tale interruttore le conferisce una cupa ironia. Il 22 gennaio 2026, il Parlamento europeo aveva già adottato una relazione con 471 voti favorevoli, 68 contrari e 71 astensioni, che invitava l’UE a superare strutturalmente la sua dipendenza dalla tecnologia statunitense: un raro consenso bipartisan che ha trasformato la questione in un tema di consenso politico.

Regolamentazione senza effetto protettivo: il punto cieco della legge europea sull’intelligenza artificiale

Nei dibattiti europei, la legge europea sull’intelligenza artificiale (IA) viene spesso presentata come uno strumento di tutela degli interessi europei nel settore. Si tratta in effetti di una novità assoluta a livello globale: la prima legge sull’IA completa al mondo, con effetto extraterritoriale per tutti i fornitori che immettono i propri sistemi sul mercato dell’UE. Essa obbliga le aziende statunitensi a condurre valutazioni di conformità, a soddisfare i requisiti di trasparenza e a ottenere la marcatura CE prima che i loro prodotti ad alto rischio basati sull’IA possano essere commercializzati in Europa.

Ma è proprio qui che risiede il punto cieco cruciale dell’approccio normativo: l’AI Act dell’UE regola il comportamento dei fornitori di IA nel mercato europeo, ma non offre all’Europa alcun mezzo per opporsi alla decisione di un fornitore di interrompere a livello globale il proprio modello su richiesta del governo statunitense. Anthropic non ha violato alcuna normativa europea interrompendo Fable 5 e Mythos 5. La direttiva seguita dall’azienda era una legge statunitense, che esula dall’ambito di applicazione dell’AI Act. La legge protegge l’Europa dall’IA dannosa, non dalla sua mancanza. Questa lacuna strutturale ha implicazioni immediate: la forza regolamentare dell’Europa è asimmetrica, forte nella sua capacità di imporre requisiti ai servizi esistenti, debole nella sua capacità di proteggersi dalla loro interruzione.