Recentemente alcune fonti giornalistiche hanno rivolto l’attenzione alle circostanze e alle motivazioni per cui il Pentagono starebbe valutando di interrompere i rapporti con Anthropic, sviluppatrice del modello di I. A. Claude, in seguito a un forte disaccordo sulle condizioni d’uso dell’intelligenza artificiale. Infatti, il Dipartimento della Difesa avrebbe chiesto un accesso il più ampio possibile, valido per “tutti gli scopi leciti” (“all lawful purposes”) secondo le leggi statunitensi: dall’intelligence allo sviluppo di armamenti, fino al supporto alle operazioni militari. Tra le richieste rientrerebbe anche la possibilità di integrare i modelli nelle proprie reti, garantendo continuità operativa e assenza di blocchi imposti dal fornitore.
Di contro, Anthropic difenderebbe la necessità di mantenere salvaguardie etiche e di sicurezza, in particolare per evitare impieghi dell’IA legati all’automazione letale e alla sorveglianza di massa.
Pur a fronte di un contratto economicamente molto rilevante, la posta in gioco appare soprattutto culturale e politica: quali limiti devono avere queste tecnologie quando entrano nell’ambito militare?
A partire da questi interrogativi, la giornalista di Repubblica, Giuditta Mosca, il 16 febbraio si è confrontata con Gianluca Giannini, professore ordinario di Etica e Intelligenza Artificiale all’Università degli Studi di Napoli Federico II e coordinatore scientifico della Task Force Human&Future.
Di seguito riportiamo stralci dell’interessante intervista pubblicata dal quotidiano (cui rinviamo per la versione integrale), in cui lo studioso mette in luce la complessità e la problematicità che si celano dietro l’approccio, spesso troppo semplicistico, dedicato a un tema chiave della nostra epoca.
Professor Giannini, quali sono i rischi che derivano dal permettere l’uso militare di modelli IA “per tutti gli scopi leciti”?
Mi permetto di segnalare che il primo problema è già contenuto nell’aggettivo “lecito”. Solitamente, specie se il contesto è quello militare, “lecito” tende ad assumere il significato di “non esplicitamente vietato da una norma, da un trattato o da una direttiva”. Ma la legalità, da sola, non coincide con la legittimità democratica né con l’accettabilità etica.
Quando “lecito” diventa viatico per una generica autorizzazione a fini non definiti, si crea un precedente: l’IA smette di essere una tecnologia da governare per scopi circoscritti e diventa una capacità da applicare ovunque non ci sia un divieto chiaro. Il rischio è che la soglia si sposti per inerzia: prima supporto logistico e analisi documentale, poi classificazioni operative, poi raccomandazioni su priorità e target, fino ad automatismi che, una volta entrati nella catena, sono difficili da disinnescare.
Questa dinamica è la tipica Mission Creep: non serve una decisione esplicita di espansione, basta che l’infrastruttura esista e che l’uso successivo appaia come un semplice passo in più. Da questo è possibile individuare quattro generi di rischi.
Quali?
Il primo è relativo all’opacità decisionale e scarico di responsabilità. Anche quando non “decide” l’IA orienta, perché suggerisce piste, costruisce graduatorie di rischio, riduce la complessità a punteggi e categorie. In Intelligence e Targeting questa pre-decisione può addirittura diventare delega psicologica: l’output arriva con l’aura del calcolo e diventa una giustificazione. Ma la responsabilità morale e giuridica non è delegabile a un modello e ogni salto di mediazione (dal dato alla raccomandazione) aggiunge un punto in cui l’errore può diventare sistemico, soprattutto quando i dati sono incompleti o distorti.
Secondo rischio: normalizzazione della sorveglianza. Se la regola è “tutto ciò che è lecito”, strumenti nati per scenari esterni possono migrare verso l’interno, perché le infrastrutture si riusano e i dati circolano. L’eccezione securitaria rischia di diventare architettura permanente: watchlist, scoring, correlazioni che, una volta introdotte, faticano a essere dismesse.
Terzo rischio: escalation e corsa agli armamenti algoritmici. La formula manda un segnale globale: l’etica è negoziabile.
Quarto e ultimo grande rischio: il nodo del dato. In ambito militare i modelli vivono nei dati, e una clausola del tipo “tutti gli scopi leciti” finisce per autorizzare implicitamente pipeline [la sequenza che trasforma i dati grezzi in dati utili a modelli IA o a sistemi decisionali, ndr] dove il dato viene prodotto, messo in flusso, detenuto e riusato.
È qui che serve un nuovo concetto di privacy, ovvero non soltanto quale tutela dell’identità, ma governo della traiettoria del dato, delle sue trasformazioni e dei passaggi di mano, compresa la fabbricazione di categorie e predizioni che possono colpire persone reali. Senza questa cornice, “lecito” rischia di significare semplicemente “tecnicamente possibile e burocraticamente coperto” e in un ambito come questo è una soglia pericolosamente bassa.
Qual è il confine realistico tra “sicurezza” e “controllo” quando si parla di IA militari?
Il confine non è una linea netta, è un susseguirsi di zone di soglia. La sicurezza cerca rapidità, adattamento, capacità di anticipare. Il controllo, nel senso politico del termine, cerca invece estensione e pervasività attraverso la possibilità di monitorare, classificare, intervenire.
L’IA è in grado di potenziare entrambe le spinte, ovvero può aumentare tanto la sicurezza quanto, nello stesso tempo, rendere più facile un controllo diffuso su popolazioni, corpi, comportamenti. Per questo la domanda più concreta non è “dove passa il confine” ma: quali condizioni impediscono che la sicurezza diventi un alibi per costruire infrastrutture di controllo permanente?
Già, quali?
Un primo criterio potrebbe essere la finalità verificabile. Sicurezza significa riduzione di un rischio specifico e circoscritto, mentre controllo implica espansione indefinita della capacità di sorvegliare e classificare. Se non posso descrivere con precisione quale rischio sto riducendo, su quale popolazione e per quanto tempo, sono già in una zona grigia.
Un secondo criterio potrebbe essere la proporzionalità. Non astratta proporzionalità, bensì misurabile. Relativamente all’impiego dell’IA in ambito militare, la proporzionalità riguarda anche la raccolta e l’aggregazione dei dati.
Quanta intrusione informazionale stiamo accumulando per ottenere quale incremento operativo? Se non si misura, diventa illimitata. E attenzione: l’accumulo non è solo quantità, è anche qualità, perché un dato incrociato con altri dati cambia natura.
Un terzo criterio è, ovviamente, la governabilità tecnica: tracciabilità, log, audit, controlli d’accesso, test avversariali continui, procedure di arresto, e soprattutto la possibilità di ricostruire ex post il percorso che ha portato a una raccomandazione.
In contesti ad alto impatto, Human in the Loop non può essere uno slogan. Deve significare che l’umano mantiene competenza, potere di veto e responsabilità nominativa.
Se l’operatore è ridotto a un timbro finale sotto stress, la soglia tra sicurezza e controllo si sposta senza che nessuno se ne accorga, perché l’automazione diventa abitudine e l’abitudine diventa norma.
E poi?
Un quarto criterio potrebbe essere la separazione dei poteri informazionali: chi detiene il dato, chi lo trasforma, chi integra il modello, chi decide, chi risponde. In un ecosistema dove agenzie, contractor e laboratori condividono infrastrutture, il rischio è che il controllo diventi diffuso e quindi irresponsabile, poiché nessuno decide tutto, ma tutti abilitano qualcosa. Quando si assume “tutti gli scopi leciti” come lasciapassare generale, il confine tende a dissolversi: la sicurezza diventa l’argomento che giustifica qualunque accumulo di potere informazionale.
A quel punto la domanda non è più se siamo più sicuri, ma se stiamo costruendo un futuro in cui la società è più vulnerabile proprio perché è più controllabile, e in cui la fiducia pubblica si erode perché non vede più dove finisce l’eccezione e dove inizia la regola. In questo senso, la disputa attuale è un test: non su “quanto è potente” un modello, ma su chi ha l’ultima parola nel definire i limiti.
Il Pentagono ha alternative credibili se decidesse davvero di interrompere la collaborazione con Anthropic?
Alternative esistono, ma non sono indolori né immediate. In contesti governativi e, a maggior ragione, classificati, non si tratta di sostituire un modello come si sostituisce un’app: contano integrazione, sicurezza della supply chain, personalizzazione su domini specifici, procedure operative, addestramento del personale e dipendenza dai dati.
Quando hai investito a lungo nella costruzione di pipeline, connettori, agenti, policy interne e governance attorno a un sistema, il costo di switch è alto e il rischio di regressione operativa non è banale.
Detto questo, il mercato oggi offre diverse strade. La prima è rivolgersi ad altri grandi laboratori che già lavorano con istituzioni pubbliche e che possono essere disponibili ad accettare standard d’uso più ampi. È la soluzione più semplice, ma anche quella che crea il precedente più pericoloso: se la condizione per ottenere contratti strategici diventa la disponibilità all’impiego più estensivo, la competizione non premia la qualità delle garanzie, ma la flessibilità senza confini.
In altre parole, la scelta del fornitore rischia di diventare un referendum implicito su quanta etica siamo disposti a contrattare.
Una seconda strada passa attraverso fornitori che integrano modelli in piattaforme operative complete, offrendo pacchetti in cui il modello è solo un componente di un sistema più ampio. Qui il tema diventa chi controlla davvero l’insieme, con quali audit e con quale trasparenza almeno sui processi.
Una terza via potrebbe essere l’uso di modelli Open source o semi-Open per compiti specifici: analisi documentale, sintesi, supporto al codice, procedure informative standardizzate. Possono funzionare, ma sui compiti ad alto impatto aumentano i trade-off su affidabilità, sicurezza e controllabilità.
Vi è poi una quarta possibilità, più strutturale, e che auspicherei: sviluppo interno o co-sviluppo pubblico. Riduce dipendenza e incertezza, ma richiede tempi lunghi, infrastrutture dedicate e competenze rare. E soprattutto porta al centro la questione del dato: quali dataset si usano, come si costruiscono, quanto si trattengono, come si riusano.
Qui la domanda è sempre la stessa: non solo “possiamo farlo?”, ma “a quali condizioni”, “con quali limiti e con quali controlli democratici?
Potrebbe emergere un nuovo equilibrio tra esigenze militari e limiti etici imposti dai laboratori IA quali Anthropic, Google o OpenAI?
Un equilibrio può emergere, ma non da formule generiche. La formula “tutti gli scopi leciti” è seducente perché semplifica poiché, come accennavo, scarica la complessità sulla legge e sulle interpretazioni interne.
Ma proprio la semplificazione è il problema, perché nel dominio dell’IA lo sviluppo tecnico corre più veloce delle norme e tende a trasformare in prassi ciò che prima era al massimo eccezione, se non addirittura impensabile.
Un equilibrio credibile deve invece avere la forma di garanzie verificabili: vincoli che reggano nel tempo anche quando aumenta la pressione geopolitica e quando l’emergenza chiede scorciatoie.
In quest’ottica, un pilastro non negoziabile deve consistere in un sistema di licenze per classi di impiego, proprio per evitare che una clausola generale (“tutti gli scopi leciti”) diventi un lasciapassare indistinto. L’IA non può e non deve diventare un modo elegante per rendere anonima la decisione. È mia convinzione che la domanda etica sia inevitabilmente politica e, in fondo, antropologica: vogliamo che l’IA aumenti capacità e sicurezza senza trasformare la democrazia in un sistema più controllabile e meno contestabile?
Guardando avanti, il punto è evitare che la tecnologia diventi una scorciatoia che cambia la forma delle istituzioni. I laboratori, per quanto sospettosamente privati, impongono limiti anche perché conoscono la fragilità dei modelli in condizioni reali.
Un equilibrio richiede che la sicurezza non coincida con la rimozione dei freni, ma con più controllabilità: abilitazioni per ruoli autorizzati, monitoraggio degli usi anomali, criteri chiari di escalation quando il modello non è sicuro.
Questa frattura potrebbe accelerare la creazione di modelli IA “military‑grade” sviluppati direttamente da uno Stato?
Ovviamente sì, è una possibilità concreta, e la frizione attuale la rende decisamente plausibile. Quando la dipendenza dal privato diventa instabile, lo Stato tende a ricostruire sovranità tecnologica, soprattutto in ambito sicurezza.
Military-grade non significa solo più potenza, nella fattispecie significa modelli addestrati su compiti e dati militari, integrati nativamente in reti classificate, ottimizzati per procedure operative e con una governance pensata per il comando.
In più, significa spesso una riduzione della dipendenza da regole d’uso scritte altrove: la policy diventa parte dell’infrastruttura statale. Se i laboratori mantengono limiti e linee rosse, l’istituzione può percepirli come rischio operativo, soprattutto quando teme blocchi imprevedibili o negoziazioni continue.
Un modello statale – torno sul punto – ridurrebbe questo rischio, poiché le regole le definirebbe direttamente chi impiega e l’incertezza contrattuale si trasformerebbe in controllo interno. Ciò starebbe anche a significare che se lo Stato producesse e trattenesse enormi volumi informazionali per addestrare modelli, si dovrebbe prevedere anche una governance di livello costituzionale, non solo tecnico: limiti, controlli, trasparenza almeno sui processi, diritti di ricorso, criteri di mantenimento e di riuso, e soprattutto criteri chiari su quali categorie predittive siano ammissibili.
Allo stato, tuttavia, lo scenario più probabile, se la frattura si approfondisce come credo avverrà, non è una sostituzione totale del privato, bensì un ibrido, ovvero modelli pubblici per compiti critici e modelli commerciali per funzioni non critiche.
È quello che in qualche modo stiamo faticosamente elaborando in Europa, ovvero che l’IA non diventi un acceleratore di potere informazionale senza contrappesi. Da cui la domanda decisiva, allora, non è soltanto “quanto è performante”, ma: quali controlli impediscono che diventi un’infrastruttura permanente di classificazione e intervento?
Nell’epoca dell’IA, ne sono profondamente convinto, la partita è questa: non solo chi ha il modello più forte, ma chi governa il dato e, quindi, chi governa il mondo che dal dato viene costruito.
