Tra il 5 e l'11 maggio 2026 sono successe quattro cose che, lette insieme, segnano un punto di svolta. Google ha confermato il primo zero-day generato da AI catturato in natura, un bypass 2FA destinato a un attacco di massa. CAISI ha firmato accordi pre-deployment con Google DeepMind, Microsoft e xAI: ora cinque frontier lab passano dal governo USA prima del rilascio pubblico. Il 7 maggio l'EU ha congelato la maggior parte delle deadline dell'AI Act con l'omnibus, ma ha vietato i nudifier dal 2 dicembre 2026. E OpenAI ha consegnato GPT-5.5-Cyber all'Unione Europea mentre Anthropic continua a tenere Mythos fuori dalla portata dei regolatori EU. La weaponizzazione dell'AI offensiva ha smesso di essere uno scenario teorico. La governance arranca dietro, ma si muove.
[IMG-1]
Lo zero-day AI è realtà : cosa ha trovato Google
L'11 maggio il Threat Intelligence Group di Google ha pubblicato il primo report con confidenza alta su un zero-day costruito tramite un modello AI. Il bug è un bypass di autenticazione a due fattori dentro una piattaforma open source di amministrazione web molto diffusa. Il piano dei criminali era usarlo in un "mass exploitation event": migliaia di obiettivi simultanei. Google sostiene di averlo bloccato sul nascere.
I segnali che hanno tradito l'origine AI sono tre, e meritano attenzione perché diventeranno la firma forense del prossimo anno:
— Commenti nel codice eccessivamente spiegati, dello stile "questa funzione fa X perché Y", tipico delle risposte tutorial dei chatbot.
— Un severity rating inventato, non corrispondente a CVSS o standard MITRE: il modello aveva allucinato la classificazione.
— Pattern di scripting Python che ricalcano la struttura standard generata dagli LLM (try/except annidati, type hints superflui, helper function rinominate in modo verboso).
Non è teoria. Google cita anche PromptSpy, malware Android che usa Gemini per leggere lo schermo del dispositivo, capire cosa sta facendo l'utente, e generare comandi di interazione in tempo reale. È un agent malevolo deployato sul telefono. E APT45, gruppo militare nordcoreano, viene osservato mentre usa AI per testare e validare migliaia di exploit contro vulnerabilità software conosciute.
John Hultquist, chief analyst di GTIG, lo ha messo così: "Chiunque tratti ancora la scoperta di vulnerabilità assistita da AI come un problema futuro è già indietro". Lettura strategica: il differenziale offensivo è ora a vantaggio di chi attacca, perché un LLM costa molto meno di un ricercatore di sicurezza umano e scala. La difesa AI-driven esiste ma è in ritardo di 12-18 mesi sul fronte rilevamento.
[IMG-2]
Promptspy e apt45: la weaponizzazione è statale
Il dato che la stampa generalista sta sottostimando: APT45 non è un gruppo qualunque, è braccio della Reconnaissance General Bureau nordcoreano. La loro pipeline è cambiata. Prima testavano un exploit alla volta. Ora ne testano migliaia in parallelo, con l'AI che fa da filtro su quale variante funziona contro quale patch level.
PromptSpy invece introduce un concetto nuovo: il malware agentico. Non più payload fisso che esegue routine predefinite, ma un'entità che osserva il contesto runtime e decide il passo successivo. Su Android significa: apre l'app, legge cosa c'è, decide se vale la pena rubare credenziali, se simulare un click, se esfiltrare. Tutto via prompt a Gemini con un context window che cresce nel tempo.
Punto strutturale: la sandbox tradizionale che cerca pattern di syscall fissi non vede PromptSpy. I detection rule scritti su firme di byte sono inutili contro malware che cambia comportamento ogni esecuzione. La risposta dovrà essere comportamentale, basata sull'osservazione del traffico verso API LLM esterne. Cosa che la stragrande maggioranza degli EDR enterprise oggi non fa.
[IMG-3]
CAISI raddoppia: 5 lab, 40+ valutazioni, ambienti classificati
Il 5 maggio il Center for AI Standards and Innovation (NIST, sotto Commerce) ha annunciato l'accordo formale con Google DeepMind, Microsoft e xAI per la valutazione pre-deployment dei loro frontier model. Si aggiungono a OpenAI e Anthropic che erano già nel programma. Totale: cinque lab, oltre 40 assessment completati.
Tre cose che vale la pena capire bene:
Prima, i modelli vengono testati in ambienti classificati. Significa SCIF (Sensitive Compartmented Information Facility) con accesso vincolato, valutatori con clearance, report che non finiscono mai pubblici. La logica è: misurare capability che, se rivelate, darebbero un vantaggio a un attaccante (CBRN, cyber offensive, bioweapons).
Seconda, gli accordi sono stati rinegoziati per riflettere il "America's AI Action Plan" voluto dall'amministrazione Trump tramite il Segretario Howard Lutnick. CAISI è ora "il primary point of contact" del governo USA per l'industria. Tradotto: la safety policy AI federale passa da qui, non più (solo) dalla FTC o dall'EOP.
Terza, e questa è la lezione vera: i frontier lab hanno accettato. Tutti e cinque. Inclusi quelli che pubblicamente sono critici della regolamentazione (xAI, in particolare). Perché? Perché un assessment classificato non è una pubblicazione, non genera obblighi pubblici, e protegge dal rischio di un'azione di policy più dura più tardi. È una mossa di hedging regolatorio: meglio cedere telemetria oggi in un canale chiuso che subire un mandato di trasparenza domani.
[IMG-4]
EU AI Act omnibus: tutto rimandato, tranne i deepfake
Il 7 maggio i co-legislatori europei hanno chiuso l'accordo provvisorio sul Digital Omnibus per l'AI Act. Sei mesi di trilogo, dossier riaperto sotto pressione di un fronte industriale guidato da ASML, Airbus e Mistral che chiedeva semplificazione. Il risultato è una valanga di posticipi.
— Sistemi ad alto rischio Annex III (biometria, infrastrutture critiche, education, employment, law enforcement, controllo frontiere): conformità slittata al 2 dicembre 2027.
— Sistemi ad alto rischio Annex I (AI embedded in macchinari e dispositivi medici): 2 agosto 2028.
— Sandbox regolatorie nazionali: deadline al 2 agosto 2027.
— Marcatura contenuti AI-generated: 2 dicembre 2026 (era agosto).
L'eccezione politicamente rilevante è il divieto sui "nudifier", le app che generano contenuti sessualmente espliciti o intimi non consensuali, e ovviamente il CSAM sintetico. Entra in vigore il 2 dicembre 2026. È l'unica norma sostantiva ad accelerare, non rallentare.
Punto strutturale: l'industria europea ha vinto la battaglia sui tempi. Le grandi aziende che dovevano spendere centinaia di milioni per essere conformi all'agosto 2026 ora hanno 15-24 mesi in più. I produttori di AI medicale e dual-use ringraziano. Ma il messaggio politico è inequivocabile: l'AI Act, partito come la regolamentazione più ambiziosa al mondo, è stato ammorbidito a metà mandato. Il Parlamento e il Consiglio devono ancora votarlo formalmente tra giugno e luglio, ma il danno reputazionale per la "Brussels effect" è già fatto.
Curiosità tecnica per chi sviluppa: l'omnibus espande l'eccezione GDPR sull'uso di dati sensibili per bias detection. Prima era circoscritta a casi specifici, ora copre tutti i sistemi AI, sia provider che deployer, con safeguards. Significa che lavorare su fairness datasets diventa formalmente più semplice. Aspettarsi un'ondata di tooling open source su questo.
[IMG-5]
La frattura OpenAI/Anthropic sulla cessione regolatoria
L'11 maggio CNBC ha rivelato che OpenAI ha consegnato GPT-5.5-Cyber alla European Commission, includendo accesso per business, governments, autorità cyber e l'EU AI Office. Anthropic invece tiene Mythos fuori. Le trattative ci sono ma, parole del portavoce Thomas Regnier, "in uno stadio diverso".
OpenAI sta giocando la carta del good citizen. George Osborne, head of OpenAI for Countries, ha dichiarato pubblicamente: "I lab AI come noi non dovrebbero essere gli unici arbitri della cyber safety". È una posizione che ricalibra l'azienda: dopo anni di critiche per scarsa trasparenza, l'unit Cyber diventa la vetrina della collaborazione regolatoria.
Anthropic gioca la carta opposta. Mythos è stato lanciato a fine aprile e ha già scatenato un panico documentato sulla capability di trovare zero-day in software critico. Cederne l'accesso pre-deployment significherebbe: 1) far filtrare informazioni sui prompt template di Anthropic, 2) creare un precedente di "modello a disposizione del regolatore" che gli stati membri vorranno replicare, 3) erodere il valore competitivo del prodotto.
Lezione per chi costruisce: nello scontro OpenAI vs Anthropic stiamo vedendo due strategie regolatorie incompatibili. OpenAI cede capacità di test in cambio di legittimazione politica (e contratti enterprise nei governi). Anthropic difende l'autonomia tecnica in cambio di posizionamento di safety brand. La Commissione Europea ha già detto che dall'agosto 2026, quando entrano in vigore gli enforcement powers dell'AI Office, Mythos verrà reclamato comunque. Quindi il dilemma di Anthropic è temporale: ritardare la cessione 3 mesi per estrarre più valore commerciale, oppure cedere subito per evitare la procedura forzata.
Da osservare nelle prossime settimane: se anche Google DeepMind, Meta o xAI fanno mosse simili a quella di OpenAI sul fronte EU, Anthropic si ritrova isolata. E un'azienda da 950 miliardi di valuation che dice no alla Commissione è una storia politica, non più tecnica.
[IMG-6]
Lettura strategica: cosa cambia per chi costruisce
Per chi sviluppa prodotti AI o sicurezza informatica, queste quattro settimane riconfigurano la mappa.
— Il threat model security si è spostato. Il vostro red team deve includere LLM che genera exploit, non solo umani che li trovano. Se il vostro sviluppatore senior impiega 2 settimane per produrre un PoC su un bug noto, un LLM oggi può farlo in 30 minuti su dieci varianti diverse. Le finestre di patching che davate per scontate (90 giorni responsible disclosure) sono troppo lunghe.
— Il dependency check va automatizzato sull'output AI. Se il vostro codice è in parte generato da Claude o Codex, dovete avere SAST che riconosce pattern AI-generated, perché possono contenere sia bug "umani" sia hallucinations sintatticamente valide ma logicamente sbagliate. Tool come Snyk e Sonar stanno aggiungendo questa capability.
— La conformità EU AI Act si allontana, ma non sparisce. Sviluppatori che pensavano di dover certificare prima di agosto 2026 hanno guadagnato tempo. Ma chi lavora su deepfake/nudifier o su modelli generativi di contenuto intimo ha 6 mesi e mezzo, non di più. La "art. 5 prohibitions" si è allargata, non ristretta.
— Per chi vende AI alla pubblica amministrazione USA: CAISI è il filtro. Senza un assessment classificato passato, le commesse defense e intelligence diventano impossibili. È un barrier-to-entry nuovo che favorisce i cinque lab già dentro e penalizza chiunque debba costruirsi la pipeline di clearance da zero.
— Per chi sviluppa agent (browser agents, coding agents, customer support agents): PromptSpy ha appena dimostrato che la stessa primitiva, con prompt malevolo, è arma. Significa che hardening dell'agent (rate limit sulle azioni, allow-list sui domini contattati, audit log sulle chiamate API) non è un nice-to-have, è il minimo. Le piattaforme che ospitano agent dovranno introdurre signature verification per prompt e capability boundaries enforced lato runtime.
[IMG-7]
Take-away operativi
— Ribilanciate red team interno. 30% del tempo va su simulazioni di attacchi AI-augmented, non solo manuali.
— Implementate detection per traffico anomalo verso endpoint LLM noti (api.openai.com, api.anthropic.com, generativelanguage.googleapis.com). Volume + frequenza + payload size sono i tre indicatori.
— Se vendete software con autenticazione (incluso 2FA), pianificate audit di terze parti entro 6 mesi. Il bypass scoperto da Google riguarda esattamente questa categoria.
— Per chi opera in UE: rivedete la roadmap conformità AI Act spostando le risorse dai sistemi ad alto rischio (più tempo) ai sistemi generativi di contenuti (deadline anticipate, prohibitions estese).
— Per chi opera in USA federal: aprite il dialogo con CAISI ora, non quando avrete bisogno della commessa. Le agreement renegotiate richiedono mesi.
— Costruite agenti AI con il principio del minimo privilegio. Ogni capability concessa è una superficie d'attacco se il prompt viene compromesso.
— Aggiornate i contratti con i fornitori AI inserendo clausole su pre-deployment evaluation, sia CAISI sia EU AI Office. Diventeranno standard di mercato entro fine 2026.