Export control: perché nel 2026 non funzionano ancora
Da trent’anni a questa parte, cerchiamo di bloccare il flusso di software legati alla cybersecurity con risultati deludenti. Eppure continuiamo a provarci, come se questa volta potesse funzionare. A me viene da ridere, francamente.
Partiamo da una constatazione semplice: i controlli sulle esportazioni di tecnologia crittografica non hanno mai fermato nessuno. Prendiamo il PGP, il protocollo di crittografia sviluppato negli anni ’90 che avrebbe dovuto rimanere confinato agli Stati Uniti. Il suo inventore, Phil Zimmermann, decise di pubblicarlo liberamente, e nel giro di poche settimane era già in giro per il mondo. Nessun dazio, nessuna agenzia governativa poteva fermarlo una volta che il codice era pubblico.
Tre decenni dopo, i governi ancora non hanno imparato la lezione. Continuano a disegnare schemi di controllo come se il software fosse un missile o una partita di uranio arricchito. La realtà è che il codice non ha confini, almeno non quelli che tracciamo noi sulla carta.
Recentemente Anthropic ha annunciato Mythos, un modello di intelligenza artificiale specializzato in cybersecurity. E sai cosa è successo? Lo stesso dibattito di sempre: dovremmo controllare l’esportazione di questa tecnologia? Dovremmo limitare l’accesso ai paesi “non amici”? Dovremmo aspettare che il governo Usa dia il via libera?
La domanda che mi pongo è perché pensiamo che questa volta sarà diverso. Un modello di AI addestrato per trovare vulnerabilità nei sistemi è certo pericoloso. Ma è anche vero che qualsiasi ricercatore decente, con risorse sufficienti, può sviluppare strumenti simili in modo indipendente. I principi della sicurezza informatica non sono segreti; la maggior parte della letteratura è accessibile pubblicamente.
Io credo che il vero problema dei controlli sulle esportazioni sia una questione di falsa sicurezza. I policy maker preferiscono l’illusione di controllo alla realtà di un mondo dove la tecnologia si diffonde naturalmente. È più facile firmare un decreto che ammettere: “Non possiamo fermare questa cosa, quindi iniziamo a pensare come conviverci”.
Nel 2026, abbiamo più potenza computazionale disponibile di quella che avevano interi paesi negli anni ’90. Abbiamo cloud pubblici accessibili da ovunque. Abbiamo comunità open-source distribuite globalmente. E pensiamo di poter ancora controllare il flusso di idee e codice con gli stessi strumenti di trent’anni fa?
C’è un’altra prospettiva che vale la pena considerare. Magari il vero controllo non è bloccare la tecnologia, ma controllare chi la usa e come. Invece di impedire a un ricercatore cinese di accedere a Mythos, dovremmo investire in sicurezza defensiva globale, in trasparenza sui modelli di AI, in audit internazionali indipendenti. Ma questo richiederebbe cooperazione, fiducia, dialogo. Tutte cose molto più difficili che firmare un foglio di carta.
Secondo me, continueremo a seguire il copione dei controlli tradizionali ancora per qualche anno. Avremo riunioni sulle restrizioni tecnologiche, annunci nobili sulle sanzioni, documenti classificati sulle “minacce specifiche”. E nel frattempo, il software che vogliamo bloccare troverà il suo cammino attraverso canali alternativi, fork su GitHub, università straniere, piccoli laboratori indipendenti.
La vera domanda da porsi è questa: quando ammetteremo finalmente che i confini nazionali non funzionano per il software, e inizieremo a costruire una strategia di sicurezza che parte da questa consapevolezza? Tra sei mesi avremo la risposta.
Ripreso da: TechCrunch
