L’Unione europea può bloccare un modello AI pericoloso per la sicurezza?

Il caso di Anthropic e il blocco improvviso dei modelli Mythos e Fable in seguito all’ordine del governo Usa richiama una questione cruciale: quando un modello AI non è più considerato un prodotto digitale, ma una capacità strategica soggetta a limiti per motivi di sicurezza, chi decide quando e come bloccarlo? In Europa, il contesto giuridico è complesso, e non solo a causa dell’impianto dell’AI Act: qui, lo scenario prevede anche sicurezza nazionale, export control, GDPR, DSA, cybersecurity, libertà d’impresa e diritti fondamentali.

Il caso americano e il blocco di Fable e Mythos

Nel comunicato rilasciato da Anthropic, si afferma che il governo Usa ha emanato un’ordinanza export control, obbligando la società a sospendere l’accesso a Fable 5 e Mythos 5 da parte di qualsiasi cittadino straniero. Questo include anche i dipendenti stranieri di Anthropic. L’effetto pratico è stato la disabilitazione immediata del servizio, mentre altri modelli della stessa società restano accessibili.

Il rischio individuato non è legato a un attacco esterno, bensì a una possibile vulnerabilità interna: secondo quanto riportato, ricercatori di Amazon (società che ha investito in Anthropic) avrebbero sfruttato prompt mirati per ottenere informazioni riservate. Il governo Usa ha chiesto a Anthropic di risolvere il problema o ritirare i modelli in questione, spingendo il blocco improvviso.

Come Anthropic risponde e valuta il rischio

La società ha ridimensionato il rischio, spiegandolo come una tecnica circoscritta basata su vulnerabilità già conosciute e di gravezza limitata. Anthropic ha inoltre ribadito di aver sottoposto i modelli a test di sicurezza interni, governativi e di terze parti prima del lancio, per garantire il rispetto di standard elevati.

Rimane però un’altra questione fondamentale: come gestire i dati raccolti durante le interazioni con gli utenti? Nella pagina dedicata a Claude Mythos, Anthropic richiede l’accettazione di una policy di conservazione dei dati per trenta giorni a fini di safety monitoring. Questo dettaglio sottolinea come molte misure per gestire il rischio vengono attuate anche da parte messa, in aggiunta a quelle pubbliche o regolamentari.

Il quadro europeo: AI Act e le sue limitazioni

Se un evento di questa natura fosse accaduto in Europa, non si potrebbe dire che l’AI Act abbia avuto automaticamente effetto. L’AI Act è un regolamento, ma non una disciplina generale per la sicurezza nazionale o l’export control. Si limita ad impostare obblighi armonizzati per l’immissione sul mercato, l’uso e il monitoraggio dei sistemi AI.

In Europa, quindi, il contesto è diverso: il rischio AI non è affrontato con un interdizione diretta, ma con una gestione regolamentare graduale. L’AI Act richiede ad esempio l’elaborazione di una documentazione tecnica, la cooperazione con le autorità, il monitoraggio dei rischi sistemici, il testing avversativo (adversarial testing), la segnalazione di incidenti e garanzie di cybersecurity.

Sicurezza nazionale e le competenze degli Stati membri

Se un tema venisse definito come un rischio per la sicurezza nazionale, l’AI Act non sarebbe applicabile. Infatti, il regolamento europeo lascia spazio alle competenze nazionali e stabilisce espresse esclusioni per i sistemi militari, di difesa o di sicurezza pubblica.

Ma anche in questo caso, la necessità di un controllo regolamentare non è esclusa. Se uno Stato membro dovesse vietare l’accesso a un modello AI avanzato per motivi di security, si pone la domanda: questa misura va contro normative europee? Può incidere su regole della UE riguardo al mercato interno, alla non discriminazione, alla protezione dei dati o alla libertà d’impresa?

La risposta non è immediata. La sicurezza nazionale rientra tra le competenze degli Stati, ma non annulla i controlli. Se la misura ha ripercussioni sui cittadini, imprese, ricerca e infrastrutture digitali nell’UE, è inevitabile chiedersi: su che base legale si attua? È proporzionata? E come si giustifica?

Una pluralità di attori regolatori in Europa

L’Europa non ha un unico ente centrale responsabile dei rischi di AI. Il contesto normativo si basa su un ecosistema pluralista di autorità:

• Commissione UE
• Office of AI Affairs
• Autorità europee di market surveillance
• Organismi privacy come l’EDPB
• Autorità nazionali di cybersecurity
• In alcuni casi, autorità di security, come il Cybersecurity Council nazionale

Se uno Stato membro decide di agire in modo autonomo su base nazionale, non è escluso che il sistema regolatorio UE possa chiedere una motivazione, un bilancio tra rischio e diritti, e un controllo sull’eccesso di intervento.

Conclusioni: un modello diverso ma non meno efficace

La lezione del caso Usa e l’analisi giuridica del contesto europeo dimostrano che l’Unione non agisce con interdi spontanee o immediate, ma costruisce norme, procedure e meccanismi di prevenzione e gestione del rischio. Il vantaggio di questo approccio è la trasparenza, la prevedibilità e il rispetto dei diritti fondamentali.

Il rischio di un intervento governativo che va fuori controllo esiste ovunque, ma l’Unione europea ha il vantaggio di bilanciare la sicurezza con l’innovazione, il diritto e il mercato. Sebbene l’