Per le banche europee il problema non è più soltanto la quantità delle minacce, ma la velocità con cui diventano operative. L’intelligenza artificiale ha ridotto drasticamente il tempo necessario per individuare falle software, analizzarle e trasformarle in vettori di attacco. Deloitte, in un’analisi pubblicata a maggio 2026 sul settore bancario e in una prospettiva dedicata al rischio cyber “a velocità macchina”, descrive uno scenario in cui la scoperta delle vulnerabilità corre ormai più in fretta della capacità organizzativa di valutarle e correggerle. Il collo di bottiglia, scrive la società, si sta spostando dalla ricerca delle falle alla risposta operativa.
Il punto pesa soprattutto per il settore finanziario europeo. Le banche operano su infrastrutture complesse, stratificate negli anni, con una forte dipendenza da componenti open-source, piattaforme di terze parti, servizi cloud e sistemi core regolati. In questo contesto, una vulnerabilità non resta confinata all’interno di una singola organizzazione: può attraversare fornitori, librerie condivise e ambienti applicativi comuni, trasformandosi in un rischio sistemico.
È il tipo di fragilità che DORA, il regolamento europeo sulla resilienza operativa digitale applicabile dal 17 gennaio 2025, prova a indirizzare con obblighi su gestione del rischio Ict, incident reporting, test di resilienza e controllo dei fornitori critici.
Indice degli argomenti:
Il tempo è diventato l’asset più scarso
La fotografia più netta arriva dai tempi. Sulla base del report Deloitte “Machine-Speed Cyber Risk”, oggi un processo che fino a pochi anni fa richiedeva mesi di lavoro manuale può avvenire in meno di 24 ore; le organizzazioni impiegano in media circa 40 giorni per correggere una vulnerabilità, mentre un attaccante può trasformarla in un’arma operativa in circa 15 minuti. La distanza tra il ritmo dell’offesa e quello della difesa non è più una figura retorica: è un divario operativo.
Deloitte, nella sua analisi di maggio 2026 sul banking, non si concentra solo sui numeri ma sulle conseguenze. I modelli di frontiera, scrive, sono in grado di scoprire vulnerabilità zero-day a una velocità e su una scala che le infrastrutture di sicurezza tradizionali non sono state progettate per assorbire. Per molte banche il tema non è individuare un problema, ma decidere che cosa affrontare prima, con quali risorse e con quale livello di rischio residuo accettabile. In altre parole: l’abbondanza di segnali rischia di paralizzare i processi invece di renderli più efficaci.
Questo cambio di passo mette in crisi una cultura di sicurezza costruita sul presupposto che l’esposizione evolva “a velocità umana”. Deloitte lo scrive in modo esplicito: la convinzione che ci fosse tempo per prioritizzare, pianificare e reagire non regge più nell’era degli attacchi assistiti dall’AI. La scoperta delle falle procede in modo continuo, esaustivo e automatizzato; le decisioni aziendali, invece, restano legate a procedure, ownership distribuite, finestre di manutenzione e vincoli regolamentari.
Il nodo open-source e il rischio di propagazione
C’è un secondo elemento che rende il problema più serio per il sistema bancario: la concentrazione tecnologica. Circa il 60% delle vulnerabilità applicative deriva da componenti e dipendenze open-source. Non si tratta solo di un tema tecnico. Se la stessa libreria è utilizzata da decine di banche, da outsourcer comuni o da piattaforme condivise, una singola debolezza può generare un’esposizione simultanea su larga scala.
Deloitte, nel pezzo dedicato alle banche, insiste proprio sulla natura “a mosaico” dell’infrastruttura tecnologica finanziaria: componenti open-source, piattaforme terze, cloud e sistemi transazionali fortemente regolati. Questa frammentazione amplia la superficie di attacco e rende straordinariamente difficile una risposta coordinata e rapida. La vulnerabilità, in sostanza, non è solo un difetto di codice. È un problema di interdipendenza.
Per le banche europee questo significa che la gestione del rischio cyber deve assomigliare sempre meno a un’attività periodica e sempre più a una funzione di sorveglianza continua sulla supply chain software. La logica tradizionale del censimento annuale, dell’assessment a campione o della patch pianificata per trimestre fatica a reggere in un ambiente dove nuove esposizioni emergono ogni giorno e possono essere sfruttate in poche ore.
È anche per questo che DORA dedica una parte centrale del suo impianto alla gestione del rischio Ict di terze parti e al presidio contrattuale sui fornitori critici.
Patching lento, attacchi rapidi
I principi di base della cybersicurezza non cambiano: controllo degli accessi, segmentazione di rete, monitoraggio continuo, gestione delle vulnerabilità, piani di risposta agli incidenti. A cambiare è il ritmo richiesto per far funzionare tutto questo. Sempre sulla base dell’analisi Deloitte, i cicli di patching e remediation tradizionali possono richiedere da 45 a 90 giorni, mentre gli attacchi moderni sono in grado di svilupparsi in 48-72 ore.
Qui emerge la contraddizione più concreta per le istituzioni finanziarie. Le banche non sono startup che possono aggiornare in produzione senza vincoli: lavorano su sistemi critici, devono garantire continuità di servizio, integrità dei dati, audit trail, conformità regolatoria. Ogni modifica su infrastrutture core può richiedere test, approvazioni, coordinamento con fornitori e finestre operative ristrette. Quello che per un attaccante è un vantaggio di minuti, per un istituto può tradursi in settimane di lavoro.
Per Deloitte la risposta non è semplicemente “fare patch più in fretta”, ma cambiare il modo in cui si decide. La priorità va spostata sui servizi davvero critici, sulle vulnerabilità effettivamente sfruttabili e sulle azioni di mitigazione capaci di ridurre subito l’esposizione anche prima della correzione definitiva.
Luigi Mastrangelo, Financial Services Industry Leader di Deloitte, afferma che vinceranno le istituzioni capaci di identificare i servizi critici, capire quali falle siano davvero sfruttabili e usare l’AI per accelerare detection e remediation dentro un framework di governance chiaro.
DORA alza la soglia della resilienza
In Europa il riferimento regolatorio è ormai definito. DORA è entrato in vigore il 16 gennaio 2023 e si applica dal 17 gennaio 2025. L’obiettivo, ricorda ESMA, è rafforzare la sicurezza Ict delle entità finanziarie e assicurare che il settore resti resiliente anche in caso di gravi disruzioni operative digitali. Il regolamento armonizza le regole per un ampio spettro di soggetti finanziari e mette al centro cinque blocchi: gestione del rischio Ict, rischio di terze parti, test di resilienza operativa digitale, incidenti Ict e condivisione delle informazioni.
Il punto, però, è che DORA nasce in un contesto già esigente e ora deve fare i conti con un’accelerazione ulteriore portata dall’AI. Se la finestra tra disclosure ed exploitation si comprime, allora cambiano anche le aspettative sui processi interni: visibilità sugli asset, classificazione della criticità, escalation, poteri decisionali distribuiti, qualità dell’inventario software, disciplina nella gestione dei fornitori. La compliance, da sola, non basta. Serve una macchina decisionale che regga ritmi più serrati.
Per questo la resilienza operativa digitale smette di coincidere con il solo presidio tecnico. Diventa una questione di organizzazione: chi decide che una mitigazione temporanea è sufficiente; chi autorizza un blocco applicativo; chi tiene insieme sicurezza, It operations, risk management e business continuity. In un ambiente a velocità macchina, l’inerzia procedurale può diventare essa stessa una vulnerabilità.
L’AI non rafforza solo gli attaccanti
Il quadro non è unidirezionale. L’AI che accelera gli attacchi può anche migliorare la difesa. Deloitte lo scrive sia nella prospettiva generale sia nell’analisi per il banking: la stessa tecnologia può aiutare a identificare, prioritizzare e mitigare le vulnerabilità in tempo reale, purché inserita in processi governati e controllati.
Anche il National Cyber Security Centre britannico aveva anticipato questo doppio movimento già nel gennaio 2024. Nel suo assessment sul “near-term impact of AI on the cyber threat”, il centro affermava che l’AI avrebbe quasi certamente aumentato il volume e l’impatto degli attacchi cyber nei due anni successivi, abbassando la soglia d’ingresso per criminali meno sofisticati e rendendo più efficaci ricognizione, phishing e analisi dei dati esfiltrati. Nello stesso documento, però, il National Cyber Security Centre osservava che l’effetto sul rischio può essere compensato, almeno in parte, dall’uso dell’AI nella resilienza cyber, nella detection e nella sicurezza by design.
Per una banca europea il vantaggio competitivo, quindi, non sta nell’adottare l’AI in modo indiscriminato, ma nel farlo prima che quelle stesse capacità diventino commodity anche per gli attaccanti. Questo implica investimenti su triage automatico, correlazione degli alert, analisi delle dipendenze software, simulazione degli impatti e supporto alle decisioni in remediation. L’automazione utile non è quella che sostituisce il giudizio umano, ma quella che gli restituisce tempo.
Il fattore geopolitico entra nella sicurezza bancaria
Negli ultimi giorni, oltre al rischio tecnico, si è aggiunto un elemento geopolitico. Il 9 giugno 2026 Anthropic ha annunciato Claude Fable 5, presentato come modello “Mythos-class” reso sicuro per l’uso generale, e Claude Mythos 5, con accesso ristretto tramite Project Glasswing per partner selezionati nel campo della cybersicurezza e delle infrastrutture. La stessa azienda spiegava che Mythos 5 avrebbe inizialmente raggiunto una piccola rete di difensori cyber, con un’espansione graduale del programma di trusted access.
Tre giorni dopo, il 12 giugno 2026, Anthropic ha pubblicato una nota ufficiale in cui afferma di aver ricevuto dal governo statunitense una direttiva di export control che impone la sospensione dell’accesso a Fable 5 e Mythos 5 per qualsiasi cittadino straniero, dentro o fuori gli Stati Uniti. L’effetto pratico, scrive la società, è stata la disattivazione dei due modelli per tutti i clienti, in attesa di un eventuale ripristino. La stessa pagina di lancio di Fable 5 è stata aggiornata con la nota “access unavailable”.
Per le istituzioni finanziarie europee il significato è che l’accesso agli strumenti di AI più avanzati, anche quando pensati per la difesa, non dipende solo da budget, competenze o compliance interna. Dipende anche da decisioni di politica industriale e sicurezza nazionale prese altrove. La cybersicurezza bancaria, in questo quadro, non è più soltanto un tema di governance tecnologica. Tocca direttamente la sovranità digitale.
Perché la finestra si sta restringendo
Deloitte osserva che le restrizioni possono rallentare temporaneamente la diffusione di alcune capacità, ma non cambiano la traiettoria generale. Modelli addestrati con tecniche simili tenderanno a raggiungere livelli comparabili, magari con salvaguardie inferiori o con accessi meno regolati. È una tesi coerente anche con la valutazione del NCSC, che a maggio 2025 ha avvertito del rischio di un “digital divide” tra organizzazioni capaci di stare al passo con le minacce abilitate dall’AI e organizzazioni che restano indietro.
Per le banche europee la conseguenza è doppia. Da una parte devono aumentare la maturità interna: inventari software affidabili, analisi continua delle dipendenze, poteri decisionali chiari, playbook di risposta aggiornati, test frequenti. Dall’altra devono fare i conti con un mercato dell’AI avanzata in cui disponibilità, limiti d’uso e accesso internazionale possono cambiare in pochi giorni.
La questione, alla fine, non riguarda solo quanti attacchi arriveranno. Riguarda chi sarà in grado di accorgersene prima, di distinguere il rumore dal rischio reale e di intervenire senza aspettare il prossimo ciclo di patch. È su questo terreno che si misurerà la tenuta delle banche europee: non nella promessa di sistemi invulnerabili, ma nella capacità di difendersi quando la vulnerabilità viaggia più veloce delle procedure.
Partecipa alla community