L'11 maggio 2026 la Commissione europea ha annunciato che OpenAI fornirà alle autorità dell'Unione l'accesso a GPT-5.5-Cyber, la variante del suo modello di punta pensata per chi fa difesa cibernetica. È un impegno concreto preso nel quadro dell'EU Cyber Action Plan: il modello sarà messo a disposizione di imprese, governi, autorità nazionali sulla cybersicurezza e dell'EU AI Office per valutazioni e impieghi operativi. Lo stesso giorno la Commissione ha confermato che con Anthropic il dialogo è in corso da settimane ma è in una fase nettamente più indietro: per il rivale di OpenAI, il modello equivalente Mythos resta riservato a un piccolo gruppo di organizzazioni selezionate.
Cosa è GPT-5.5-Cyber e perché serve all'Europa
GPT-5.5-Cyber è una versione di GPT-5.5 con guardrail riconfigurati per attività di sicurezza autorizzate: identificazione di vulnerabilità, analisi di malware, reverse engineering e validazione di patch. È stata presentata da OpenAI il 7 maggio nell'ambito del programma Trusted Access for Cyber (TAC), che richiede una verifica formale del richiedente prima di sbloccare le capacità più sensibili. Per la UE, l'apertura significa potere far testare il modello dall'EU AI Office e dai CSIRT nazionali, e potenzialmente integrarlo nei workflow dei centri operativi di sicurezza pubblici, dall'ENISA fino alle agenzie come l'AgID italiana o l'ANSSI francese.
Il timing non è casuale. Una settimana prima, Google ha reso pubblico il caso di un gruppo criminale che ha usato l'IA per costruire uno zero-day pronto a un'azione di sfruttamento di massa, intercettato dal team Big Sleep di DeepMind. È la prima volta che viene attribuito con alta confidenza un exploit di vulnerabilità sconosciuta alla mano di un modello linguistico: per Bruxelles è la prova che servono modelli di parte difensiva con prestazioni allineate.
Anthropic frena su Mythos: troppi rischi di uso improprio
Il quadro per Anthropic è diverso. La portavoce della Commissione, Lea Zuber, ha confermato a CNBC che ci sono stati "quattro o cinque" incontri con il laboratorio guidato da Dario Amodei, ma le discussioni "non sono ancora allo stesso stadio della soluzione che abbiamo sul tavolo con OpenAI". Mythos, il modello di Anthropic dedicato alla cybersicurezza, oggi è accessibile soltanto a circa 40 organizzazioni nel mondo, all'interno del programma Project Glasswing: laboratori di ricerca, alcuni governi alleati, fornitori di servizi di sicurezza qualificati.
La differenza riflette filosofie diverse sulle capacità duali. OpenAI ha scelto un percorso di accesso più ampio basato su verifiche di identità e auditing; Anthropic preferisce ridurre la superficie d'uso fino a quando non sarà certa che il modello non possa essere riconvertito a fini offensivi. In test della UK AI Security Institute, GPT-5.5 ha completato una simulazione di attacco aziendale a 32 passi in 2 tentativi su 10, Mythos in 3 su 10: capacità paragonabili, ma Mythos resta più cauto sui contenuti.
Cosa cambia per i difensori in Italia e in Europa
Per chi gestisce un SOC pubblico o privato in Europa, l'arrivo di GPT-5.5-Cyber significa avere a disposizione un modello ottimizzato per leggere log, ricostruire la catena di attacco, generare regole YARA o Sigma e proporre patch, senza la limitazione classica dei modelli consumer che rifiutano ogni richiesta marcata come "hacking". Le aziende italiane potranno candidarsi al programma TAC direttamente o accedere tramite i partner cloud (Azure OpenAI Service in particolare). Sul fronte normativo, lo strumento entra in un terreno delicato: il Codice di condotta per i modelli GPAI approvato dalla UE prevede che i fornitori comunichino capacità sensibili, e la Commissione lo userà come banco di prova per le procedure di valutazione previste dall'AI Act.
Da utenti finali, la differenza si percepirà nel medio periodo: i prodotti di sicurezza europei costruiti su GPT-5.5-Cyber arriveranno prima e con prezzi più competitivi rispetto a quelli che continueranno a usare Claude Opus 4.7 standard, finché Mythos resterà chiuso.
I prossimi passi della trattativa
La Commissione ha confermato che il dialogo con Anthropic prosegue, ma senza scadenze pubbliche. Una possibile via di compromesso, sussurrata da fonti vicine al dossier, è un programma Mythos-EU limitato a una manciata di organizzazioni pubbliche (ENISA, ANSSI, BSI, ACN italiana) sotto NDA stringenti. Tutto, però, dipende da quanto Anthropic vorrà accelerare ora che OpenAI ha trasformato la cybersicurezza in un terreno di marketing politico oltre che tecnologico. La prossima tappa è il vertice europeo sulla sicurezza digitale, previsto per fine giugno, dove ci si aspetta che la Commissione faccia il punto sulle adesioni e sulle prime sperimentazioni con GPT-5.5-Cyber.
