La BCE convoca le banche sui rischi informatici dell'IA derivanti da Mythos

      TL;DRLa BCE sta convocando le banche martedì per affrontare i rischi informatici derivanti da modelli di IA come Mythos di Anthropic, che ha trovato migliaia di vulnerabilità zero-day. Il membro del consiglio esecutivo Frank Elderson afferma che le banche devono applicare le patch più rapidamente perché l'IA può sfruttare le vulnerabilità entro pochi minuti dal rilascio di una correzione.

      La Banca Centrale Europea sta convocando le banche per un incontro martedì per affrontare i rischi informatici creati da una nuova generazione di modelli di IA che possono trovare e sfruttare le vulnerabilità software più velocemente di qualsiasi team umano. L'incontro segue mesi di crescente ansia nel settore finanziario europeo riguardo a Claude Mythos Preview di Anthropic, il modello di IA all'avanguardia che ha identificato migliaia di difetti zero-day nei principali sistemi operativi e browser.

      Il membro del consiglio esecutivo della BCE, Frank Elderson, ha dichiarato al Financial Times che le banche devono accelerare il lavoro che è in corso da anni. “Ci sono una serie di questioni sulla sicurezza informatica su cui abbiamo collaborato con le banche per anni, tutte ancora valide, ma dato il progresso nell'IA, devono essere affrontate più rapidamente,” ha detto.

      La banca centrale prevede di avvertire i prestatori sui rischi specifici posti da Mythos e sistemi di IA simili. Chiederà anche alle banche statunitensi che hanno accesso alla tecnologia, attraverso il programma di distribuzione controllata di Anthropic chiamato Project Glasswing, di condividere ciò che hanno appreso con i colleghi europei che rimangono esclusi.

      Questa lacuna di accesso è il problema centrale. Solo circa 40-50 organizzazioni hanno avuto accesso a Mythos finora, tra cui Amazon, Microsoft, Google, Nvidia, CrowdStrike, Palo Alto Networks e JPMorgan Chase. Nessuna banca europea è presente nella lista. Nei test controllati, il modello ha prodotto exploit funzionanti al primo tentativo più dell'83% delle volte, superando spesso gli specialisti della sicurezza informatica umani. Anthropic ha avvertito che gli avversari potrebbero replicare la capacità entro sei-dodici mesi.

      Il messaggio di Elderson alle banche è chiaro: applicare le patch più rapidamente. I modelli di IA possono ora ingegnerizzare a ritroso le correzioni software entro pochi minuti dal loro rilascio, il che significa che la finestra tra una vulnerabilità che viene corretta e una che viene sfruttata si è ridotta. Le banche e i loro appaltatori IT non possono più permettersi di lasciare anche le vulnerabilità minori per cicli di aggiornamento più lunghi. Le banche europee non possono usare la loro mancanza di accesso a Mythos come scusa per l'inazione, ha detto Elderson, perché gli attori malintenzionati potrebbero presto ottenere accesso a tecnologie equivalenti.

      L'intervento della BCE segue una corsa regolatoria più ampia in tutta Europa. I ministri delle finanze dell'area euro hanno richiesto l'accesso a Mythos, e il commissario europeo Valdis Dombrovskis ha confermato il 4 maggio che l'UE è in trattative con Anthropic per testare le aziende e le banche per le vulnerabilità che il modello scopre. Questi colloqui hanno fatto pochi progressi. Rapporti da funzionari spagnoli a metà maggio hanno indicato che le negoziazioni si erano effettivamente bloccate.

      L'impasse ha creato un'apertura per i rivali. La startup francese di IA Mistral AI è in discussione con le banche europee per implementare il proprio modello di sicurezza informatica, progettato per identificare vulnerabilità nello stesso modo in cui fa Mythos. Il CEO Arthur Mensch ha inquadrato l'iniziativa come una questione di sovranità tecnologica, sfruttando i clienti bancari esistenti tra cui HSBC e BNP Paribas. Il modello è ancora in fase di sviluppo e non ha una data di rilascio confermata.

      Anthropic ha scelto un percorso diverso rispetto a un rilascio pubblico. Invece di rendere Mythos generalmente disponibile, ha lanciato Project Glasswing, un consorzio industriale in cui le organizzazioni partner utilizzano il modello per trovare e correggere difetti nei propri sistemi. I partner di Glasswing possono ora condividere le loro scoperte al di fuori del programma, il che potrebbe aiutare a colmare il divario informativo che preoccupa i regolatori europei.

      Le scommesse non sono teoriche. Anthropic ha informato il Financial Stability Board su ciò che Mythos ha scoperto, su richiesta del governatore della Banca d'Inghilterra Andrew Bailey, che presiede il consiglio. La Federal Reserve e il Tesoro degli Stati Uniti hanno convocato separatamente i CEO delle banche per discutere dei rischi informatici. Dati reali da Palo Alto Networks mostrano che i modelli di IA avanzati stanno scoprendo vulnerabilità a sette volte il tasso abituale, e la società ha avvertito che l'industria ha solo tre-cinque mesi di margine difensivo rimanente.

      L'incontro della BCE di martedì spingerà le banche ad agire ai sensi del Digital Operational Resilience Act, la legge dell'UE sulla sicurezza informatica per i servizi finanziari. DORA richiede alle banche di gestire il rischio IT, testare la resilienza e segnalare gli incidenti. La domanda è se il quadro normativo possa tenere il passo con i modelli di IA che trovano vulnerabilità vecchie di decenni più velocemente delle istituzioni responsabili della loro correzione.

      Per le banche europee, la situazione è scomoda. Lo strumento più potente per trovare i difetti nei loro sistemi esiste, non possono usarlo, e il regolatore sta dicendo loro di risolvere i problemi che rivela comunque. La pressione politica per risolvere la questione dell'accesso sta aumentando, ma fino a quando non sarà risolta, i prestatori europei vengono invitati a difendersi da minacce che non possono vedere completamente.