Dal blog krisis.info
| Krisis.info |
| mag 18 di Giuseppe Sperti |
«Velocità di un’automobile + luce», realizzato da Giacomo Balla nel 1913. Moderna Museet, Stockholm. Foto Flickr. Licenza: CC BY-NC-SA 2.0.
Il progetto Glasswing promette di scoprire vulnerabilità informatiche su scala industriale. Il modello automatizza un processo finora affidato all’esperienza di pochi specialisti e lo rende continuo, sistematico, potenzialmente illimitato. La cybersecurity cambia pertanto natura: non più solo una sfida tecnica, diventa una leva strategica. In gioco non ci sono solo sistemi e dati, ma equilibri di potere tra Stati e capacità di pressione nel nuovo spazio digitale.
Seconda e ultima puntata della serie Glasswing: il progetto riservato che rivoluzionerà la geopolitica della cybersecurity
IN BREVE
Sicurezza geopolitica L’intelligenza artificiale applicata alla cybersecurity trasforma la ricerca delle falle informatiche in un fattore strategico che altera gli equilibri di potere globali.
Il gap tecnologico Il controllo iniziale della coalizione Glasswing garantisce un vantaggio temporaneo, ma la natura duale del software rende la proliferazione tra le superpotenze inevitabile.
Rischio inflazione Se diversi attori replicheranno modelli simili, il sistema di disclosure entrerà in crisi, generando un’inflazione di zero-day superiore alla capacità umana di applicare patch.
Frammentazione globale La nascita di ecosistemi tecnologici separati e non comunicanti spezzerà la cooperazione globale, lasciando l’Europa esposta, a causa della sua dipendenza da tecnologie altrui.
Corsa contro il tempo La vera resilienza non risiederà nella scoperta delle vulnerabilità, ma nella capacità e nella velocità di riparare i sistemi prima che una macchina perpetua possa sfruttarli.
Nella prima parte di questa serie di due puntate, abbiamo ripercorso la storia di WannaCry – il ransomware che nel maggio 2017 paralizzò ospedali, ferrovie e aziende in 150 Paesi. Abbiamo visto come un exploit sviluppato dalla Nsa finì nelle mani sbagliate. Abbiamo esplorato le fragilità strutturali che resero possibile quella catastrofe: vulnerabilità nascoste nel codice, patch che arrivano ma non vengono installate, sistemi dimenticati e mai aggiornati.
E abbiamo chiuso l’articolo con una domanda: che cosa succederebbe se qualcuno potesse industrializzare quel processo? Se esistesse uno strumento capace di trovare vulnerabilità critiche non una alla volta, frutto del lavoro paziente di ricercatori specializzati, ma a decine, a centinaia, in modo continuo e automatico?
Torniamo all’annuncio di Anthropic dell’aprile 2026, ma con occhi diversi. Che cosa sappiamo ora? Sappiamo cosa significa trovare una vulnerabilità critica. Sappiamo quanto sia prezioso il tempo tra scoperta e correzione. Sappiamo quanto sia fragile l’equilibrio su cui si regge la sicurezza di sistemi da cui dipendono ospedali, economie e governi.
Mythos è un modello di intelligenza artificiale progettato per fare su scala industriale ciò che, fino a oggi, richiedeva anni di esperienza umana concentrata: esplorare sistemi software complessi, comprenderne le interazioni, identificare le debolezze nascoste nelle pieghe del codice.
Un ricercatore di sicurezza esperto – uno di quelli che trovano vulnerabilità critiche, non semplici bug – può analizzare in profondità forse qualche decina di progetti significativi nel corso di un’intera carriera. Un team ben finanziato, con strumenti all’avanguardia, può estendere quella portata di un ordine di grandezza. Ma esistono milioni di progetti software in circolazione; miliardi di righe di codice; librerie che dipendono da altre librerie in catene che nessuno riesce più a tracciare completamente.
Mythos cambia l’equazione. Può scandagliare simultaneamente migliaia di codebase. Può mantenere in memoria le connessioni tra componenti diversi, notando quando una debolezza in una libreria oscura si propaga a software critico che la utilizza. Può lavorare senza pause, senza distrazioni, senza i limiti cognitivi che vincolano l’attenzione umana. E può farlo mentre il codice evolve, giorno dopo giorno, aggiornando continuamente la propria comprensione.
Dualità intrinseca
La stessa capacità che permette di trovare una vulnerabilità per correggerla è, per sua natura, la capacità di trovare una vulnerabilità per sfruttarla. Non esiste un modo tecnico per distinguere le due intenzioni. Il codice non sa se chi lo analizza vuole proteggerlo o attaccarlo.
Questa dualità intrinseca è il motivo per cui Glasswing è stato annunciato con tanta cautela. È il motivo per cui l’accesso è ristretto. È il motivo per cui le dichiarazioni ufficiali hanno insistito sui rischi invece che sulle opportunità.
Se Mythos può trovare vulnerabilità a un ritmo che l’ecosistema attuale non è in grado di assorbire, le conseguenze dipendono interamente da chi controlla quella capacità e da come decide di usarla. Nelle mani di chi vuole difendere, può accelerare la correzione delle falle più critiche, dando priorità a ciò che conta davvero. Nelle mani di chi vuole attaccare, può generare un flusso continuo di armi digitali, saturando le difese avversarie più velocemente di quanto riescano ad adattarsi. E nel mezzo – nella zona grigia dove operano Stati, agenzie di intelligence e attori che non distinguono nettamente tra difesa e attacco – apre possibilità strategiche che meritano di essere comprese.
Quando emerge una capacità come quella di Mythos, la domanda non può essere soltanto tecnica. Non basta chiedersi come si possa usare responsabilmente o quali procedure vadano adottate per gestirla. Bisogna chiedersi: cosa può fare un attore razionale – uno Stato, un blocco di potere, un’alleanza – che dispone di questa leva e che i suoi avversari non hanno? Si aprono almeno due forme di vantaggio strategico. Nessuna delle due richiede un attacco visibile o un atto di guerra dichiarata.
Vantaggi & svantaggi
Sapere prima di chiunque altro dove si trovano le fragilità nei sistemi di un avversario – o di interi settori critici del suo tessuto economico e istituzionale – significa disporre di una mappa che l’altro non ha. Non è necessario sfruttare immediatamente quelle vulnerabilità. Si può scegliere di conservarle come opzioni: strumenti da usare se e quando le circostanze lo richiederanno.
È il potere della conoscenza asimmetrica: io so dove sei vulnerabile, ma tu non sai che cosa io sappia. È una forma di vantaggio che non lascia tracce, non viola trattati, non appare nei notiziari – ma pesa. Anche senza compiere alcun attacco, la sola possibilità credibile di un flusso continuo di vulnerabilità «nuove» può spingere istituzioni e aziende avversarie in una postura difensiva permanente.
Immagina di essere il responsabile della sicurezza di un’infrastruttura critica di un Paese che non ha accesso a strumenti come Mythos. Sai che esistono, sai che altri li usano, ma non sai cosa abbiano già trovato nei sistemi da cui dipendi. Ogni giorno devi chiederti: quali falle conoscono che io non conosco? Cosa potrebbero fare domani che non ho modo di prevedere oggi?
Questa incertezza logora. Consuma risorse. Impone priorità distorte. Costringe a investimenti difensivi che potrebbero essere inutili o mal calibrati, perché basati su ipotesi invece che su informazioni. È una forma di pressione che non ha bisogno di concretizzarsi in un attacco per produrre effetti reali.
Se la capacità di modelli come Mythos è strategica – se può alterare equilibri di potere – allora la sua distribuzione non è più una scelta commerciale o tecnica. È una scelta geopolitica.
La restrizione dell’accesso operata dalla coalizione Glasswing non è un capriccio né una strategia di marketing dell’esclusività. È il tentativo consapevole di evitare che una capacità intrinsecamente duale – utilizzabile sia per difendere sia per attaccare – entri nel sistema internazionale come una commodity, disponibile a chiunque abbia le risorse per acquistarla.
È una logica che riecheggia decisioni prese in altri domini strategici: i regimi di non-proliferazione nucleare, i controlli sull’export di armi avanzate, le restrizioni sui materiali sensibili. Con una differenza cruciale: nel mondo digitale, le barriere sono più porose. Replicare una capacità software è più facile che costruire una centrifuga per l’arricchimento dell’uranio. Il tempo necessario per colmare un gap tecnologico può essere molto più breve.
Questo ci porta alla domanda centrale, quella che definisce lo scenario che si sta aprendo: in un mondo multipolare, attraversato da rivalità sistemiche e sfiducia reciproca, chi può davvero permettersi di restare fuori da una capacità che ridisegna il rapporto tra vulnerabilità, potere e stabilità?
La domanda non ammette una risposta univoca. Ammette piuttosto tre scenari, tre traiettorie che vale la pena esplorare perché ciascuna illumina una logica diversa e un diverso equilibrio di rischi.
Tre scenari
Nel primo scenario, la coalizione Glasswing mantiene il controllo. L’accesso a Mythos resta confinato a un perimetro ristretto di alleati americani e partner tecnologici fidati. Nessun altro attore riesce a replicare la capacità in tempi brevi. Il vantaggio informativo diventa strutturale. Il sistema di disclosure coordinata si biforca: continua a esistere per le vulnerabilità ordinarie, quelle che non hanno rilevanza strategica. Ma le falle critiche – quelle nei sistemi di avversari o potenziali avversari – seguono canali riservati, invisibili al resto del mondo.
Gli esclusi – come Cina e Russia – investono massicciamente per sviluppare capacità equivalenti, ma il gap temporale pesa. Nel frattempo, la coalizione dispone di una leva permanente. È una forma di deterrenza asimmetrica, più sottile di un attacco ma non meno reale.
I rischi di questo scenario sono principalmente due. Il primo è l’instabilità dell’esclusione: chi è fuori potrebbe interpretare anche intrusioni esplorative come atti ostili, innescando escalation non volute. Il secondo è la fragilità interna del club: fughe di informazioni, dissidi commerciali tra i partner, pressioni per monetizzare la capacità potrebbero erodere la coesione più rapidamente di quanto si immagini.
Nel secondo scenario, altri attori sviluppano capacità comparabili nel giro di uno o due anni. La Cina lancia un equivalente di Mythos, integrato nel proprio ecosistema tecnologico – Baidu, Alibaba, Huawei. Gruppi di ricerca europei e israeliani raggiungono risultati parziali. Modelli open-weight, meno potenti ma funzionali, emergono dalla comunità accademica.
A quel punto, la capacità di scoprire vulnerabilità su scala industriale non è più un monopolio: è una commodity strategica, accessibile a diversi attori con risorse sufficienti. Le conseguenze sono sistemiche. Il flusso di vulnerabilità scoperte supera la capacità di assorbimento dell’ecosistema. I vendor non riescono ad applicare le patch in tempo. I coordinatori sono sommersi. Il sistema di disclosure coordinata, già fragile, entra in crisi strutturale.
Si assiste a quella che potremmo chiamare un’inflazione di zero-day. Ci sono troppe Cve (il sistema di catalogazione globale delle vulnerabilità, ndr) perché ciascuna conservi il valore che aveva quand’erano rare. Ma il danno aggregato aumenta, perché molte restano aperte più a lungo.
La deterrenza diventa instabile. Tutti sanno che gli altri possono scoprire falle nei propri sistemi, ma nessuno sa esattamente quali. Cresce la tentazione di sfruttare subito ciò che si scopre, prima che lo faccia qualcun altro: è la logica dell’«usa o perdi» che ha alimentato corse agli armamenti in altri domini. Gli incidenti cyber si moltiplicano. L’attribuzione diventa più difficile. La soglia di escalation si abbassa. È un mondo più pericoloso per tutti, inclusi coloro che avevano iniziato la corsa convinti di poter mantenere un vantaggio.
Nel terzo scenario, la capacità si diffonde, ma non in modo omogeneo. Si consolidano due o tre ecosistemi tecnologici separati, ciascuno con le proprie regole su scoperta, disclosure, patching e uso offensivo delle vulnerabilità. Il blocco occidentale mantiene una disclosure coordinata interna e restrizioni all’export. Il blocco sino-russo integra la capacità nella propria dottrina di sicurezza nazionale, senza coordinamento con l’esterno.
L’Unione Europea tenta una terza via normativa, con regole più stringenti e limiti all’uso offensivo, ma dipende da una tecnologia sviluppata altrove. Il sistema Cvd globale si frammenta. Una vulnerabilità nota in un blocco potrebbe restare ignota nell’altro, o essere deliberatamente nascosta. I software che attraversano i confini – progetti open source, standard condivisi, protocolli comuni – diventano terreno di scontro silenzioso.
Gli incidenti tra blocchi si fanno più difficili da gestire, perché non esistono canali di comunicazione tecnica consolidati né fiducia reciproca sufficiente a costruirli. I Paesi che non appartengono chiaramente a nessun blocco – e sono la maggioranza – si trovano costretti a scegliere uno schieramento tecnologico, con tutte le dipendenze strategiche che ne conseguono. E l’Europa rischia di trovarsi nel punto più esposto: abbastanza ambiziosa da volere regole proprie, non abbastanza autonoma da farle rispettare senza la tecnologia altrui.
Velocità, la vera partita
Quale di questi scenari è più probabile? Dipende da variabili che nessuno controlla davvero. Ma la traiettoria più plausibile nel breve termine – i prossimi due o tre anni – è una transizione dal primo scenario verso il secondo, con tratti del terzo che affiorano in parallelo.
Il vantaggio iniziale della coalizione Glasswing è reale, ma destinato a durare poco. La storia delle tecnologie duali mostra che i gap tra grandi potenze si colmano rapidamente quando la posta in gioco è alta. La proliferazione parziale è già in corso: modelli di linguaggio, tecniche di analisi del codice e architetture neurali non sono segreti militari, e la ricerca avanza in più Paesi e istituzioni.
La frammentazione normativa, inoltre, è quasi inevitabile. Quando una capacità potente si diffonde, i governi cercano di incanalarla, ma lo fanno seguendo tradizioni giuridiche, interessi e timori diversi. La convergenza globale – già fragile su temi meno sensibili – diventa quasi impossibile quando è in gioco la sicurezza nazionale.
Eppure, in tutti e tre gli scenari emerge lo stesso discrimine: non conta chi scopre più vulnerabilità, ma chi riesce a correggerle più in fretta. La discovery è una leva offensiva, uno strumento di intelligence e pressione. Il patching rapido è una leva difensiva, un indicatore di resilienza.
Gli attori che investono solo nella scoperta, trascurando la correzione, resteranno esposti proprio mentre la capacità si diffonde. È la lezione che WannaCry aveva già mostrato – e che oggi ritorna amplificata. Nel cyberspazio, la sicurezza non dipende dal sapere più dell’avversario, ma dal riuscire a riparare casa propria più velocemente di quanto l’altro trovi nuove crepe da sfruttare
Torniamo all’annuncio di aprile, a quella comunicazione sobria che non somigliava a nulla di ciò che la Silicon Valley ci ha abituati a vedere. Oggi possiamo leggerla diversamente. Quella cautela non era timidezza né falsa modestia. Era il riconoscimento – implicito ma eloquente – che certe capacità non possono essere trattate come prodotti qualunque.
La loro diffusione incontrollata potrebbe generare effetti sistemici difficili da contenere. La domanda cruciale, per una volta, non è come monetizzarla, ma come impedire che destabilizzi l’equilibrio su cui si regge la sicurezza di tutti.
La coalizione che ha dato vita a Glasswing sa qualcosa che non può dire apertamente. Sa che questa capacità non resterà confinata a lungo. Sa che altri stanno cercando di replicarla – e che alcuni ci riusciranno. Sa che il tempo per costruire difese adeguate, rafforzare il patching, ripensare le architetture e prepararsi a un mondo in cui le vulnerabilità emergono più in fretta di quanto possano essere assorbite, è limitato.
La vera partita non si giocherà sulla scoperta delle crepe, ma sulla velocità con cui sapremo ripararle – prima che qualcun altro decida di attraversarle. Come quel venerdì di maggio di nove anni fa, la domanda non è se le crepe esistano: esistono sempre. La domanda è se saremo pronti quando verranno trovate. E questa volta, chi le cerca non è un ipotetico gruppo di hacker nordcoreani con un exploit rubato. È una macchina che non si ferma mai.
Licenza Creative Commons CC BY-NC-ND Ver. 4.0 Internazionale
Completa i suoi studi di Ingegneria elettronica presso il Politecnico di Torino e il Kungliga Tekniska Högskolan di Stoccolma. Inizia a lavorare nel settore delle infrastrutture digitali. Nei primi anni Duemila partecipa a importanti progetti di sviluppo per uno dei più grossi operatori europei. Nel 2007 si trasferisce in Medio Oriente, contribuendo al lancio della filiale saudita di un’importante impresa di telecomunicazioni italiana. Dal 2008 riveste il ruolo di Senior Sales Engineer, fornendo consulenza tecnico-commerciale ad aziende americane ed europee. Nel 2012 ha frequentato la Business school del Politecnico di Milano, dove ha conseguito un Executive MBA. Oggi si occupa di cybersecurity nel settore privato, pubblico e della Difesa.
PAROLE LIBERE 