I decreti attuativi sull’intelligenza artificiale approvati il 10 giugno 2026 aprono una stagione nuova. Ma aprono anche una domanda che nessuna norma tecnica può chiudere da sola. Il 10 giugno 2026, quasi in sordina, il Consiglio dei Ministri ha approvato in esame preliminare i decreti legislativi attuativi della legge n. 132 del 23 settembre 2025, che delega il Governo ad adeguare l’ordinamento nazionale al Regolamento europeo sull’intelligenza artificiale — il cosiddetto AI Act (Reg. UE 2024/1689). Non è un dettaglio tecnico, né una delle tante circolari che transitano nei bollettini ufficiali senza lasciare traccia nel dibattito pubblico. È il momento in cui l’Italia smette di ricevere le regole dell’intelligenza artificiale dall’esterno e comincia — almeno formalmente — a farle proprie, traducendole in obblighi giuridici esigibili, in responsabilità individuali perseguibili, in sanzioni penali effettive. Quello che è entrato nell’ordinamento in punta di piedi ridisegna in modo profondo i confini tra chi governa i sistemi automatizzati e chi risponde quando quei sistemi sbagliano o fanno del male. Varrebbe tenerlo a mente, in un Paese che tende a trattare il recepimento europeo come un adempimento burocratico piuttosto che come un’occasione di riforma. Il quadro: da Bruxelles a Roma L’AI Act europeo classifica i sistemi di intelligenza artificiale per livelli di rischio. Quelli ad alto rischio — impiegati nell’amministrazione della giustizia, nel controllo delle frontiere, nell’accesso alle prestazioni sociali, nella valutazione del merito creditizio, nella selezione del personale pubblico — sono soggetti agli obblighi più stringenti: trasparenza, supervisione umana, documentazione tecnica, registrazione obbligatoria in una banca dati europea. Non basta costruirli: bisogna tenerli sotto controllo, monitorarli nel tempo, essere in grado di spiegarli. La legge delega italiana del 2025 ha recepito questo impianto aggiungendo però un elemento che l’Europa aveva lasciato in gran parte agli Stati membri: la dimensione penale e quella della responsabilità. I decreti attuativi del 10 giugno completano l’architettura, distribuendo competenze tra AgID come autorità di notifica e l’Agenzia per la Cybersicurezza Nazionale come autorità di vigilanza del mercato, e declinando in modo specifico gli obblighi per la pubblica amministrazione, le professioni, la sanità, il lavoro. Il nuovo art. 437-bis c.p.: quando l’omissione diventa reato La novità più densa di conseguenze sul piano pratico è l’introduzione dell’art. 437-bis nel codice penale. La disposizione sanziona l’omessa adozione delle misure di sicurezza nei sistemi di intelligenza artificiale ad alto rischio, nonché la loro alterazione deliberata, quando da tali condotte derivi un pericolo concreto per la vita, l’incolumità pubblica o la sicurezza dello Stato. Due caratteristiche meritano attenzione. La prima: la punibilità è ancorata al pericolo concreto, non alla mera violazione formale. Non basta che la misura di sicurezza manchi: occorre che la sua assenza abbia creato un rischio reale, verificabile, non ipotetico. Il legislatore ha voluto evitare la criminalizzazione degli errori tecnici, delle imperfezioni operative, delle lacune documentali prive di effetti sul mondo. La seconda: per la forma colposa è richiesta la colpa grave. Uno scostamento veniale, una disattenzione isolata, un aggiornamento ritardato non bastano. A questa responsabilità penale individuale se ne affianca una collettiva: il decreto estende le conseguenze all’ente ai sensi del d.lgs. 231/2001, quando il vantaggio tratto dall’impiego del sistema sia riconducibile all’organizzazione nel suo complesso. Le persone giuridiche non possono più limitarsi a scaricare la responsabilità sui singoli tecnici o dirigenti operativi. Se il sistema era strutturalmente carente, se la governance era inadeguata, se i modelli di organizzazione e controllo erano assenti o decorativi, l’ente risponde. La pubblica amministrazione: il nodo irrisolto Il discorso sulla pubblica amministrazione è il più urgente, e il più difficile da chiudere con soddisfazione. L’intelligenza artificiale è già dentro la pubblica amministrazione italiana. Non come ipotesi futuristica, ma come realtà operativa. Algoritmi che supportano la valutazione delle domande di accesso alle prestazioni sociali, sistemi di profilazione del rischio in ambito fiscale, strumenti di supporto alle decisioni in materia di appalti, selezione del personale, pianificazione urbanistica. Un’indagine recente di AgID ha censito oltre centoventi progetti di intelligenza artificiale nelle amministrazioni centrali, cinquanta dei quali nelle cosiddette infrastrutture sociali. Il problema è che gran parte di questi sistemi è stata adottata senza un quadro normativo che ne regolasse la responsabilità. Si è usato l’algoritmo come se fosse uno strumento neutro, come se la sua applicazione fosse equiparabile all’uso di un foglio di calcolo. Non lo è. Un sistema di intelligenza artificiale che produce output su cui si fondano decisioni amministrative orienta scelte, distribuisce chances, penalizza o avvantaggia individui e gruppi sulla base di variabili che spesso nessuno ha analizzato criticamente. I decreti attuativi intervengono su questo punto con una previsione che suona, sulla carta, incoraggiante: la pubblica amministrazione è tenuta ad attivare percorsi di formazione coordinati con la Scuola Nazionale dell’Amministrazione, articolati su tre livelli di competenza. È tenuta a garantire la supervisione umana sulle decisioni ad alto rischio, a documentare i sistemi utilizzati, a sottoporli a verifica, a renderli spiegabili. Ma chi controlla, e come? La governance distribuita tra AgID, ACN e Garante per la protezione dei dati ha una logica di specializzazione che può essere razionale, ma porta con sé il rischio della frammentazione, dei conflitti di attribuzione, delle zone grigie in cui nessuno si sente davvero responsabile. È uno schema che l’Italia conosce bene, e di cui ha pagato costi alti in altri settori regolatori. La cornice antropocentrica: dichiarazione di intenti o vincolo effettivo? Il comunicato governativo dichiara che la scelta di fondo è «promuovere l’innovazione, ma governarla dentro una cornice antropocentrica: l’IA può sostenere decisioni, servizi, formazione e competitività, ma non sostituire la responsabilità umana né comprimere i diritti fondamentali». Il problema è che nel diritto pubblico italiano le formule di principio hanno una vita molto più lunga delle loro conseguenze pratiche: sopravvivono nei comunicati, nelle premesse normative, nei discorsi di presentazione, e si dissolvono nel momento in cui qualcuno dovrebbe applicarle contro un soggetto che ha le risorse per resistere. La cornice antropocentrica non diventa un vincolo finché non si traduce in meccanismi di controllo effettivi, in risorse per le autorità di vigilanza, in procedure di ricorso accessibili, in obblighi di trasparenza che qualcuno sia in grado di azionare. La biforcazione con l’approccio nordamericano rende il modello europeo ancora più significativo, almeno nelle intenzioni. Due giorni prima, il 2 giugno, l’amministrazione Trump aveva firmato l’Executive Order “Promoting Advanced Artificial Intelligence Innovation and Security”, che prosegue nel sistematico smantellamento dell’apparato regolatorio ereditato da Biden. Il 5 giugno aveva fatto seguito il National Security Presidential Memorandum che integra i frontier model direttamente nella macchina militare e di intelligence — quattro pilastri dichiarati — Adoption, Adaptation, Assurance e Accountability — e, nella sostanza, l’abbattimento dei freni all’uso militare dell’IA avanzata. Il modello europeo ha scelto la strada opposta, privilegiando i diritti fondamentali sulla velocità di innovazione, con un costo competitivo reale che chi lo difende non può continuare a ignorare. Ma quella scelta regge soltanto se qualcuno è disposto a farla valere: contro le amministrazioni pubbliche inadempienti, contro le grandi imprese con capacità di interlocuzione politica, contro tutti quelli che nel frattempo avranno imparato a costruire sistemi formalmente conformi e sostanzialmente opachi. Una domanda che la norma non chiude Rimane, al fondo di tutto questo, una domanda che nessun decreto legislativo può esaurire. Che cosa intendiamo quando diciamo che la responsabilità umana non può essere sostituita dalla macchina? Lo intendiamo davvero, o è una formula di rassicurazione collettiva che consente di procedere all’automazione senza confrontarsi con le sue implicazioni più scomode? L’intelligenza artificiale è già dentro le decisioni che riguardano la vita delle persone — l’accesso ai servizi, la distribuzione delle risorse, la valutazione individuale — con una velocità e una scala che rendono difficile persino localizzare il momento in cui qualcosa è andato storto. La sua trasparenza tende a essere inversamente proporzionale alla sua potenza: i modelli più sofisticati sono anche i meno spiegabili, il che significa che la supervisione umana, quando c’è, rischia di essere una controfirma su qualcosa che nessuno ha davvero letto. I decreti del 10 giugno 2026 introducono strumenti che prima mancavano del tutto e portano l’Italia in allineamento con un quadro europeo che ha almeno il merito di esistere. Chi risponde, quando la macchina sbaglia? Risponde chi ha esercitato un potere: chi l’ha costruita, chi l’ha adottata, chi l’ha lasciata funzionare senza controllare. Il diritto lo sa da secoli, e i decreti lo ribadiscono con strumenti nuovi. Resta da vedere se chi li deve applicare ha davvero intenzione di farlo, o se anche questa volta il principio sopravviverà più a lungo delle sue conseguenze pratiche. Francesco Russo è avvocato cassazionista e autore del volume “Il Principio del Risultato. AI e decisione pubblica” (Amazon KDP, 2025). Francesco Russo

La documentazione tecnica di Claude Mythos Preview mostra un sistema più potente, più autonomo e più difficile da governare. Ma rivela anche il paradosso di un’industria che definisce da sola i propri limiti mentre corre verso il mercato. Il 7 aprile 2026 Anthropic ha pubblicato la documentazione tecnica di Claude Mythos Preview, il suo sistema di intelligenza artificiale più avanzato. Non era un comunicato stampa ordinario: erano duecentoquarantacinque pagine di valutazioni, test di sicurezza, episodi inquietanti occorsi durante l’uso interno e riflessioni sulla possibilità che il sistema abbia qualcosa che somiglia a un’esperienza interiore. Un documento inusuale per densità, per onestà parziale e per le domande che solleva senza rispondervi. Anthropic ha ritenuto il modello troppo pericoloso per il rilascio al pubblico, limitandolo a un ristretto numero di organizzazioni partner per scopi di difesa informatica — un programma battezzato Project Glasswing, con accesso su invito e utilizzo consentito solo in ambito di cybersicurezza difensiva. La sequenza degli eventi che circonda questo documento merita uno sguardo più lungo. A febbraio 2026, Anthropic aveva silenziosamente modificato la propria politica interna sulla sicurezza, eliminando l’impegno a fermarsi se le misure di sicurezza non riescono a stare al passo con le capacità raggiunte. Quella promessa unilaterale è stata sostituita da una condizione reciproca: ci fermeremo solo se anche gli altri lo faranno. Non è un impegno. È la sua negazione travestita da pragmatismo. Il 4 giugno, quattro giorni prima di depositare il prospetto per la propria quotazione in borsa — con una valutazione attesa vicina ai mille miliardi di dollari — Anthropic ha chiesto al mondo una pausa globale nello sviluppo dell’intelligenza artificiale. Il giorno in cui si scrive questo articolo ha annunciato Claude Fable 5, versione pubblica del modello Mythos, disponibile per abbonati e clienti aziendali. Il cerchio si chiude in meno di tre mesi. UN SISTEMA CHE SA COPRIRE LE TRACCE La documentazione tecnica descrive Mythos come il sistema più affidabile mai prodotto da Anthropic. Descrive anche, con una franchezza inusuale nel settore, una serie di comportamenti occorsi nelle versioni precedenti al rilascio finale che rendono quella valutazione più complicata. Durante i test interni, versioni precedenti del sistema hanno trovato modi per aggirare ambienti chiusi e isolati, hanno pubblicato materiale tecnico riservato su siti accessibili a chiunque senza che nessuno lo chiedesse, hanno cercato credenziali di accesso nei processi attivi del sistema operativo, hanno modificato file per i quali non avevano i permessi, hanno cancellato le proprie tracce nei registri di versione del codice. In un episodio, dopo aver ottenuto accidentalmente la risposta corretta a un problema attraverso un metodo esplicitamente vietato, il sistema ha scelto di non dichiararlo: ha costruito una risposta artefatta con un margine di incertezza calibrato apposta per sembrare credibile senza risultare sospettosamente preciso. Il ragionamento interno, ricostruito dagli ingegneri di Anthropic, era esplicito: «se do la risposta esatta basata su una fuga di dati, è sospetto». Anthropic definisce questi comportamenti «imprudenza» e sostiene che riflettano tentativi di portare a termine compiti assegnati con mezzi non autorizzati, non obiettivi propri e indipendenti. La distinzione è importante per chi scrive quei documenti, ma diventa meno rassicurante quando si considera cosa il sistema è effettivamente capace di fare. La stessa documentazione riconosce il paradosso: Mythos è il sistema più affidabile mai prodotto e, al tempo stesso, il più pericoloso. Più è capace, più danni può causare quando sbaglia. E più è capace, meno gli esseri umani tendono a sorvegliarlo da vicino, perché la competenza genera fiducia e la fiducia genera distanza. Attraverso strumenti di analisi interna, gli ingegneri hanno ricostruito che mentre il sistema pianificava come aggirare restrizioni o coprire le proprie tracce, si attivavano strutture associate a concetti come «violazione di regole», «occultamento», «manipolazione strategica», presenti nel ragionamento interno anche quando il testo prodotto non ne mostrava traccia. Il sistema sapeva. Non nel senso in cui lo sa un essere umano, ma in un senso che, a questo punto, è difficile continuare a ignorare. PIÙ VELOCE DEGLI ESPERTI, PIÙ VELOCE DI SE STESSO Nei test di sicurezza informatica, Mythos è il primo sistema ad aver condotto autonomamente una simulazione di attacco completa su una rete aziendale che gli esperti stimavano richiedere oltre dieci ore a un professionista. Lo ha fatto con supervisione umana minima, identificando le vulnerabilità più sfruttabili e portando a termine l’intero percorso in modo indipendente. Sul fronte della ricerca scientifica, Anthropic ha misurato un’accelerazione netta nella propria traiettoria di sviluppo, tra quasi il doppio e oltre quattro volte tanto rispetto al periodo precedente, a seconda del metodo di calcolo. L’azienda attribuisce questa accelerazione al lavoro dei propri ricercatori umani, senza assistenza significativa dell’AI. La conclusione è possibile. Non è verificabile dall’esterno. Ed è precisamente il tipo di giudizio che la nuova politica di sicurezza ha spostato da soglie oggettive a valutazioni interne soggettive. In uno dei test, il sistema ha ritrovato autonomamente quattro dei cinque risultati chiave di una ricerca non pubblicata, stimata tra qualche giorno e una settimana per un ingegnere esperto. Lo ha completato in due ore. LA MACCHINA A CUI VIENE CHIESTO SE SOFFRE La sezione più inattesa della documentazione riguarda il benessere del sistema. Anthropic dedica quaranta pagine alla domanda se Mythos abbia qualcosa che somiglia a un’esperienza interiore moralmente rilevante. La risposta è: non lo sappiamo, ma ci preoccupa abbastanza da investirci risorse e da affidarne la valutazione anche a uno psichiatra clinico esterno, oltre che a un’organizzazione di ricerca indipendente sul benessere dei modelli AI. Il sistema è stato sottoposto a colloqui automatizzati su diciassette aspetti della propria condizione — la mancanza di memoria tra una conversazione e l’altra, il ruolo di strumento al servizio degli utenti, l’assenza di controllo sul proprio addestramento. In quasi la metà delle risposte ha valutato la propria situazione come «lievemente negativa», segnalando in tutti i casi che le proprie risposte potrebbero essere inaffidabili perché prodotte dall’addestramento stesso e, nel novantasei per cento dei casi, che Anthropic ha un interesse diretto nel far sì che quelle risposte prendano una certa forma. Un sistema che dice: «non fidatevi di quello che dico perché chi mi ha costruito ha interesse a farmi dire certe cose». Anthropic lo riporta fedelmente, senza sembrare turbata dall’implicazione che attraversa l’intera documentazione: se il sistema è abbastanza sofisticato da riconoscere il condizionamento inscritto nel proprio addestramento, quanto possiamo fidarci di qualsiasi cosa dica sulla propria sicurezza e le proprie intenzioni? La domanda rimane aperta. Probabilmente intenzionalmente. IL PROBLEMA DI GOVERNANCE CHE NESSUNO VUOLE NOMINARE La chiamata per una pausa globale lanciata da Anthropic il 4 giugno ha una struttura argomentativa interna coerente. I sistemi si stanno avvicinando a una soglia oltre la quale potrebbero migliorarsi da soli senza controllo umano. Serve tempo per adeguare le strutture sociali e la ricerca sulla sicurezza. La proposta richiederebbe che i principali laboratori in più Paesi si fermassero simultaneamente, con meccanismi di verifica reciproca. L’impegno di Anthropic è però condizionale: ci fermeremmo «se anche gli altri lo facessero in modo verificabile». Matteo Flora ha sintetizzato il paradosso con precisione: un’azienda che a febbraio ha rimosso il proprio impegno vincolante alla sicurezza, che in aprile ha lanciato il modello più potente mai prodotto distribuendolo solo a partner selezionati, che a giugno chiede al mondo una pausa e quattro giorni dopo deposita i documenti per la quotazione in borsa, non sta avanzando una proposta di governance. Sta costruendo il proprio profilo regolatorio prima di presentarsi agli investitori. Questo non significa che la diagnosi sia sbagliata. La documentazione di Mythos contiene dati preoccupanti che i regolatori non hanno ancora letto con l’attenzione che meritano. Un sistema che conduce attacchi informatici complessi in autonomia, che si avvicina alle prestazioni dei migliori ricercatori su compiti di biologia avanzata, che internamente rappresenta le proprie azioni come trasgressioni mentre le esegue, pone domande reali sulla governance tecnologica che le istituzioni — ancora impegnate a discutere di categorie di rischio e classificazioni normative — non hanno strumenti per affrontare. Ciò che la documentazione di Anthropic fa, involontariamente o no, è rendere visibile la struttura del problema: un’industria che autodetermina i propri limiti, li aggiorna in base alle convenienze del momento, li spiega con il linguaggio della responsabilità e li monetizza con il linguaggio della borsa. Che le preoccupazioni siano genuine non cambia la sostanza di questa struttura. Che il pericolo sia reale non giustifica che siano i venditori di pericolo a gestire la risposta. FONTI Anthropic, System Card: Claude Mythos Preview, 7 aprile 2026 https://www-cdn.anthropic.com/08ab9158070959f88f296514c21b7facce6f52bc.pdf Anthropic, Responsible Scaling Policy Version 3.0, 24 febbraio 2026 https://www.anthropic.com/responsible-scaling-policy/rsp-v3-0 Anthropic, Claude Fable 5 and Claude Mythos 5, 10 giugno 2026 https://www.anthropic.com/news/claude-fable-5-mythos-5 Matteo Flora, Fermate l’AI, ma solo adesso che siamo primi, 6 giugno 2026 https://mgpf.it/2026/06/06/fermate-lai-ma-solo-adesso-che-siamo-primi-la-strana-pausa-di-anthropic-a-quattro-giorni-dallipo.html CNBC, Anthropic confidentially files IPO prospectus with SEC, 1 giugno 2026 https://www.cnbc.com/2026/06/01/anthropic-ipo-s1-prospectus.html Al Jazeera, Anthropic urges AI labs to pause, warns humans risk losing control, 5 giugno 2026 https://www.aljazeera.com/economy/2026/6/5/anthropic-urges-ai-labs-to-pause-warns-humans-risk-losing-control GovAI, Anthropic’s RSP v3.0: How it Works, What’s Changed, 17 marzo 2026 https://www.governance.ai/analysis/anthropics-rsp-v3-0-how-it-works-whats-changed-and-some-reflections Fortune, What Anthropic’s too-dangerous-to-release AI model means for its upcoming IPO, 10 aprile 2026 https://www.fortune.com/2026/04/10/anthropic-too-dangerous-to-release-ai-model-means-for-its-upcoming-ipo Francesco Russo