La giornata dell’intelligenza artificiale si muove su un asse meno appariscente dei benchmark, ma molto più decisivo per capire dove andrà il mercato: chi può usare i modelli più potenti, in quali contesti e con quali limiti. Le storie più forti non sono un nuovo chatbot consumer o una demo da laboratorio, ma tre segnali di potere: Google che apre i propri modelli al lavoro classificato del Pentagono, la Casa Bianca che cerca un varco per riportare Anthropic dentro il perimetro federale nonostante lo scontro su Mythos, e la Cina che blocca Meta sul caso Manus.
Il filo comune è la trasformazione dell’AI in infrastruttura strategica. I modelli generativi non sono più solo strumenti per scrivere, programmare o riassumere documenti: diventano componenti di difesa, leva diplomatica, oggetto di controllo sugli investimenti esteri, requisito per banche globali e nuovo terreno di concorrenza tra cloud. La domanda non è più soltanto quale modello risponde meglio, ma quale istituzione riesce a controllare accesso, dati, permessi e responsabilità quando quel modello entra in processi sensibili.
Per chi usa l’AI in azienda, questa è una giornata utile perché mostra in anticipo problemi che arriveranno anche nei workflow ordinari: contratti che limitano l’uso geografico, agenti che richiedono autorizzazioni granulari, tool di coding distribuiti attraverso cloud diversi, fornitori costretti a scegliere tra crescita commerciale e red line etiche. La sintesi è semplice: l’AI agentica sta diventando geopolitica, e ogni team che la integra deve progettare governance prima ancora di progettare automazioni.
Google porta l’AI classificata dentro il perimetro del Pentagono
La notizia principale riguarda Google. Secondo la ricostruzione del Guardian, basata anche sul report originale di The Information e su dichiarazioni raccolte da Reuters, l’azienda avrebbe firmato un accordo che consente al Dipartimento della Difesa statunitense di usare i suoi modelli AI per lavoro classificato. L’espressione più rilevante è “any lawful government purpose”: una formula ampia, che inserisce Google accanto a OpenAI e xAI tra i fornitori di modelli per ambienti militari sensibili.
Il dettaglio che rende il caso diverso da un normale contratto cloud è il livello di controllo. La ricostruzione segnala che l’accordo chiede a Google di aiutare ad adattare impostazioni di sicurezza e filtri su richiesta del governo, pur includendo una clausola secondo cui il sistema non dovrebbe essere usato per sorveglianza domestica di massa o armi autonome senza supervisione umana adeguata. Ma la stessa ricostruzione aggiunge un punto critico: il contratto non darebbe a Google un diritto di veto sulle decisioni operative lecite del governo.
“Any lawful government purpose”
Questa formula è il cuore politico della vicenda. Per il Pentagono, una clausola ampia riduce il rischio che il fornitore limiti l’uso del modello proprio quando l’agenzia vuole adattarlo a contesti sensibili. Per un laboratorio AI, invece, significa accettare che il controllo effettivo passi in larga parte al cliente istituzionale. Nel mezzo resta una zona grigia: le red line dichiarate su sorveglianza e armi autonome possono orientare il contratto, ma potrebbero non bastare a fermare casi d’uso controversi se rientrano nella categoria del “lawful”.
Il caso arriva dopo una stagione di tensioni interne a Google. Più di 600 dipendenti, sempre secondo il Guardian, hanno firmato una lettera aperta a Sundar Pichai chiedendo di non rendere disponibili i sistemi AI per carichi di lavoro classificati. Il richiamo storico è inevitabile: nel 2018 la protesta su Project Maven portò Google a non rinnovare un contratto legato all’analisi di immagini da droni. La differenza è che oggi l’AI generativa è diventata una priorità nazionale dichiarata, e le aziende cloud hanno molto più incentivo a restare dentro il perimetro governativo.
La posizione pubblica di Google prova a tenere insieme due esigenze. Da un lato, l’azienda dice di supportare agenzie governative su progetti classificati e non classificati. Dall’altro, un portavoce ha ribadito l’impegno a evitare sorveglianza domestica di massa e armi autonome senza controllo umano. Il punto, però, non è solo cosa l’azienda ritiene responsabile. Il punto è quale potere contrattuale conserva una volta che un modello commerciale viene inserito in ambienti militari classificati, dove trasparenza pubblica, audit esterni e contestazione dei casi d’uso sono naturalmente limitati.
Per l’industria AI, il messaggio è netto: il mercato governativo non vuole soltanto chatbot sicuri e documentazione di policy, ma accesso operativo a modelli frontier dentro reti ad alta sensibilità. Questo cambia la catena del valore. I cloud provider diventano intermediari tra laboratori e Stato; i modelli diventano strumenti dual-use; le policy di sicurezza diventano parte del negoziato commerciale. La sicurezza AI non è più una pagina di principi, ma una clausola che deve resistere a richieste di capacità, urgenza e segretezza.
Questa tensione spiega anche perché il lessico dei contratti militari sia diventato così importante. Quando un’azienda accetta di fornire API, infrastruttura e supporto per ambienti classificati, non vende soltanto accesso a un modello: vende la capacità di adattare quel modello a procedure, dataset e vincoli che il pubblico non può osservare. In un prodotto consumer, la pressione reputazionale può correggere rapidamente una scelta sbagliata. In un contesto classificato, invece, la trasparenza arriva tardi, parziale o non arriva affatto.
Il punto non è sostenere che ogni uso militare dell’AI sia automaticamente illegittimo. Difesa cyber, analisi logistica, traduzione, intelligence documentale e protezione di infrastrutture critiche possono avere applicazioni difensive reali. Il problema è stabilire quando un modello passa da supporto decisionale a componente operativa di una catena d’azione. Più il sistema è integrato e adattabile, più serve una distinzione chiara tra assistenza, raccomandazione, automazione e decisione. Senza questa distinzione, una clausola etica può restare vera sulla carta ma debole nella pratica.
La conseguenza per le aziende private è meno distante di quanto sembri. Se una banca, un ospedale o una società energetica integra modelli generativi in processi ad alto rischio, dovrà rispondere a domande simili: chi può abbassare i filtri, chi approva un nuovo tool, chi controlla gli output in casi sensibili, chi vede i log, chi può sospendere l’uso. Il Pentagono è un caso estremo, ma anticipa il problema generale: quando l’AI entra in decisioni critiche, il contratto diventa architettura.
Anthropic resta in bilico tra Mythos, governo e red line
La seconda storia è il rovescio della prima. Mentre Google entra nel perimetro classificato, Anthropic resta sospesa tra l’attrazione fortissima del governo statunitense per Mythos e lo scontro sulle condizioni d’uso. Axios ha raccontato che la Casa Bianca starebbe lavorando a una guida capace di aggirare o ridimensionare la designazione di Anthropic come rischio di supply chain, così da permettere alle agenzie federali di accedere a nuovi modelli, incluso Mythos.
La vicenda è importante perché mette a nudo una frattura: lo Stato vuole modelli capaci di difendere infrastrutture critiche, ma non vuole che il fornitore privato mantenga un veto ampio sui casi d’uso. Anthropic, invece, ha resistito alla formula “all lawful purposes” e ha insistito su limiti espliciti contro sorveglianza domestica di massa e sviluppo di armi completamente autonome. Il risultato è stato uno scontro durissimo, fino alla designazione di rischio da parte del Pentagono e a una disputa legale ancora aperta.
Secondo Axios, la Casa Bianca starebbe cercando una via d’uscita perché Mythos è diventato troppo rilevante per essere ignorato. Il modello è descritto come capace di automatizzare attività cyber avanzate: una prospettiva pericolosa se usata offensivamente, ma potenzialmente preziosa per trovare vulnerabilità prima degli avversari. In altre parole, la stessa capacità che giustifica cautela rende il modello appetibile per la difesa.
La dinamica è stata confermata anche da un’altra ricostruzione di Axios: OpenAI e Anthropic hanno incontrato staff della Commissione Homeland Security della Camera per discutere modelli cyber-capable e implicazioni per la sicurezza. Anthropic non ha rilasciato Mythos pubblicamente proprio per la sua capacità di trovare e sfruttare vulnerabilità critiche; OpenAI, invece, avrebbe scelto un approccio a livelli per il proprio modello GPT-5.4-Cyber. Entrambe le aziende stanno lavorando con agenzie federali per gestire l’accesso.
Qui emerge il nodo della nuova regolazione AI. Non basta chiedersi se un modello sia “sicuro” in astratto. Bisogna chiedersi per chi è sicuro, con quali permessi, dentro quale ambiente e con quale audit. Un modello capace di trovare falle in software critico può proteggere ospedali, reti elettriche e banche; lo stesso modello, se usato male, può accelerare ricognizione, exploit e attacchi. La categoria “modello buono” o “modello cattivo” non regge più: conta il sistema di distribuzione.
Il paradosso politico è evidente. Se Anthropic mantiene limiti forti, rischia di essere considerata poco affidabile da alcune parti del governo. Se li allenta, perde parte della propria identità di laboratorio safety-first e si avvicina alla posizione più permissiva dei concorrenti. La Casa Bianca, nel frattempo, ha interesse a non tagliare fuori un fornitore che potrebbe aiutare nella difesa cyber. Mythos diventa così un test di governance, non solo un test tecnico.
Per chi osserva dall’Europa, il caso suggerisce una lezione pratica. Le aziende che adottano AI ad alta capacità dovrebbero definire prima i casi d’uso vietati, quelli consentiti e quelli consentiti solo con revisione umana. Se queste categorie restano vaghe, il conflitto emergerà quando il prodotto sarà già integrato. È lo stesso problema visto su scala federale: quando il modello diventa necessario, è molto più difficile negoziare i limiti. Le red line vanno scritte prima della dipendenza operativa.
In più, Mythos rende evidente che i modelli più utili per la sicurezza possono essere anche quelli più difficili da commercializzare. Un sistema capace di trovare vulnerabilità complesse potrebbe aiutare manutentori open source, ospedali, banche e amministrazioni locali che non hanno budget cyber adeguati. Ma lo stesso sistema può abbassare il costo di esplorazione offensiva per attori malevoli. La soluzione più probabile non sarà un sì o un no assoluto, ma una distribuzione a cerchi: pochi partner verificati, ambienti controllati, tracciamento severo e casi d’uso difensivi dimostrabili.
Questo modello a cerchi, però, ha un prezzo politico. Chi resta fuori potrebbe sostenere che il governo favorisca alcuni vendor o alcuni settori; chi entra potrebbe ricevere capacità non disponibili al resto del mercato; chi controlla l’accesso diventa un arbitro privato di una risorsa strategica. Nel breve periodo è forse l’unico modo realistico per gestire modelli cyber ad alta potenza. Nel lungo periodo, però, richiederà regole più chiare su audit, responsabilità e criteri di ammissione.
Meta perde Manus e la Cina difende gli agenti strategici
Il terzo fronte arriva dalla Cina. Secondo l’Associated Press, la National Development and Reform Commission ha bloccato l’acquisizione di Manus da parte di Meta e ha richiesto alle parti di ritirarsi dall’operazione. Manus ha radici cinesi ma sede a Singapore, e offre un agente AI general purpose capace di portare avanti attività complesse come programmare un’app, fare ricerche di mercato o preparare budget.
La decisione è rilevante perché Manus non è solo una startup. È un simbolo della corsa agli agenti AI, cioè sistemi che non si limitano a rispondere, ma eseguono sequenze di azioni digitali. Meta aveva annunciato l’acquisizione a dicembre, in una delle rare operazioni in cui un grande gruppo statunitense comprava una società AI con forti legami cinesi. Per Pechino, questo tipo di tecnologia non è un normale asset software: è un potenziale trasferimento di capacità strategica.
La nota della NDRC, secondo AP, non entra nei dettagli delle motivazioni. Ma il contesto è abbastanza chiaro: investimenti esteri, esportazione di tecnologia, dati, controllo dei talenti e rivalità con gli Stati Uniti. Meta sostiene che la transazione abbia rispettato la legge e si aspetta una risoluzione adeguata; Manus non ha commentato. Il suo sito, sempre secondo AP, indicava già che l’azienda era parte di Meta, segno che l’ordine cinese può creare un problema operativo complesso: come si disfa un’acquisizione già integrata?
Il caso Manus va letto insieme ai contratti del Pentagono. Da una parte gli Stati Uniti cercano di portare modelli commerciali dentro reti classificate; dall’altra la Cina prova a impedire che agenti con radici nel proprio ecosistema finiscano sotto controllo statunitense. Entrambe le mosse partono dalla stessa convinzione: gli agenti AI sono infrastruttura nazionale. Non importa se il prodotto ha un’interfaccia consumer o un pitch da produttività: se può agire, orchestrare e automatizzare lavoro digitale, entra nel campo della sicurezza economica.
Per Meta, la perdita potenziale è più strategica che reputazionale. L’azienda sta cercando da tempo di rafforzare Meta AI e di inseguire la transizione dai chatbot agli agenti operativi. Un agente general purpose già virale e con capacità reali avrebbe potuto accelerare questa fase, portando talenti, prodotto e narrativa. Il blocco cinese costringe invece Meta a fare i conti con un limite nuovo: non basta comprare capacità AI se quella capacità è politicamente sensibile.
Per le startup, il segnale è altrettanto forte. Spostare sede, proprietà formale o struttura societaria non garantisce immunità dai controlli geopolitici se la tecnologia, i fondatori, i dati o il talento restano collegati a un ecosistema nazionale. Nel 2026, un’acquisizione AI può essere valutata non solo da antitrust e investitori, ma anche da autorità che la leggono come esportazione di capacità strategica. Questo rende più difficili le exit transfrontaliere e potrebbe spingere molte startup a scegliere prima con quale blocco geopolitico allinearsi.
Il punto per gli utenti finali è che la disponibilità di strumenti agentici potrebbe diventare frammentata. Un agente può essere disponibile in una regione, limitato in un’altra, vietato in un settore o integrato solo dentro un certo cloud. Come già accade per modelli e chip, anche gli agenti potrebbero entrare in mappe di accesso diverse. La portabilità dell’AI, quindi, non sarà soltanto una questione tecnica di API compatibili, ma una questione di permessi nazionali e contrattuali.
Questa frammentazione può avere un effetto sottovalutato: cambiare il tipo di prodotto che le aziende costruiscono. Se un agente deve funzionare in Stati Uniti, Europa, Cina, Hong Kong e Singapore, il team potrebbe dover separare moduli, modelli, memoria e tool in base alla giurisdizione. Non basta tradurre l’interfaccia. Serve progettare il prodotto come una rete di capacità componibili, alcune abilitate ovunque, altre locali, altre sostituibili. Per molti operatori, la vera sfida degli agenti globali sarà mantenere coerenza utente sopra un mosaico di vincoli.
Claude Code su Vertex AI mostra la via enterprise
Dentro questo quadro geopolitico, il tool più utile da osservare è Claude Code su Google Vertex AI. Anthropic ha in calendario un webinar tecnico su come usare Claude Code attraverso Vertex AI, e la documentazione ufficiale spiega requisiti, autenticazione, configurazione regionale, IAM e pinning delle versioni dei modelli. Non è una notizia rumorosa come un contratto militare, ma è esattamente il tipo di dettaglio operativo che decide l’adozione aziendale.
La pagina ufficiale di Anthropic presenta il webinar come un percorso per capire le capacità di Claude Code, le differenze di disponibilità tra Claude Code e Vertex AI, e le best practice per costruire con Claude su Google Cloud. La documentazione richiede un progetto Google Cloud con billing attivo, API Vertex AI abilitata, accesso ai modelli Claude desiderati, quote nella regione corretta e credenziali Google Cloud configurate.
Il messaggio implicito è importante: l’AI di coding non vive più solo nel sito del fornitore. Per molte aziende, usare Claude Code attraverso Vertex AI significa far passare autenticazione, quote, regioni, permessi e fatturazione dentro un ambiente cloud già governato. È una scelta meno immediata di un login consumer, ma più coerente con team che devono controllare accessi, regioni, versioni e costi. L’agentic coding entra così nella stessa disciplina di qualunque workload enterprise.
La documentazione evidenzia dettagli che molti prototipi ignorano. Claude Code può usare endpoint globali, multi-region o regionali; alcuni modelli potrebbero non essere disponibili su ogni endpoint; il setup può richiedere pinning delle versioni per evitare che un alias si risolva automaticamente a un modello non ancora abilitato nel progetto; i permessi IAM minimi includono invocazione endpoint e conteggio token. Questi non sono dettagli burocratici: sono i controlli che impediscono a un agente di diventare ingestibile.
Il confronto con la notizia su Goldman Sachs rende il quadro ancora più chiaro. Reuters ha riportato che Goldman Sachs ha rimosso l’accesso a Claude per i banker di Hong Kong dopo una lettura restrittiva del contratto con Anthropic, mentre altri modelli come ChatGPT e Gemini sarebbero rimasti disponibili sulla piattaforma interna. Anthropic, secondo il Financial Times citato da Reuters, avrebbe precisato che Claude non era ufficialmente supportato a Hong Kong.
Qui si vede la differenza tra “avere un modello” e poterlo usare legalmente e operativamente. Un team può aver costruito workflow su Claude, ma un contratto, una regione o una policy aziendale può chiudere l’accesso. Se il sistema è stato progettato senza fallback, l’impatto è immediato. Se invece l’architettura prevede modelli alternativi, routing, ruoli e test comparabili, il blocco diventa un problema gestibile. È la versione enterprise della lezione geopolitica: disponibilità e controllo contano quanto capacità.
Claude Code su Vertex AI, quindi, non è solo un tutorial per sviluppatori. È un esempio di come i tool agentici dovrebbero entrare in azienda: con progetto dedicato, quote, regioni, versioni pinning, permessi e controlli. Il valore di un agente di coding non è soltanto scrivere patch più velocemente, ma farlo in un ambiente in cui un responsabile può sapere chi ha accesso, quale modello è stato usato, dove sono transitati i dati, quali tool sono stati invocati e come si può fermare il sistema.
Il passaggio più maturo è trattare gli agenti di sviluppo come parte della supply chain software. Una patch prodotta da un agente dovrebbe essere collegata al prompt, ai file letti, ai tool chiamati e al modello usato, almeno nei processi critici. Questo non significa sorvegliare ogni riga scritta da un developer, ma rendere ricostruibile il percorso quando qualcosa va storto. Se una vulnerabilità viene introdotta da un suggerimento AI, il team deve capire se l’errore nasce da contesto insufficiente, modello non adatto, permessi troppo ampi o review umana debole.
La nuova AI geopolitica consuma anche energia e hardware
Il quarto segnale della giornata riguarda l’infrastruttura fisica. Bloomberg Law ha riportato che la spesa statunitense per apparecchiature di generazione elettrica destinate ai data center potrebbe arrivare a 65 miliardi di dollari entro il 2030, rispetto ai 2,6 miliardi dell’anno precedente, secondo Wood Mackenzie. La capacità dei data center negli Stati Uniti potrebbe raggiungere 110 gigawatt entro il 2030, mentre la spesa totale per apparecchiature di generazione potrebbe salire a 215 miliardi.
Questi numeri non sono un contorno. Se i modelli entrano in difesa, banche, coding enterprise, agenti general purpose e ricerca automatizzata, il collo di bottiglia diventa sempre più materiale: potenza elettrica, trasformatori, turbine, connessioni, raffreddamento, permessi locali e contratti energetici. L’AI viene raccontata come software, ma scala come industria pesante. Questo è uno dei motivi per cui governi e aziende la trattano come infrastruttura strategica.
La connessione con Google, Anthropic e Meta è diretta. Un contratto classificato richiede ambienti sicuri e capacità dedicata; Mythos e i modelli cyber avanzati richiedono accesso controllato ma anche throughput sufficiente; gli agenti come Manus diventano utili solo se possono eseguire molte azioni e mantenere contesti lunghi; strumenti come Claude Code su Vertex AI devono sostenere team interi, non singoli esperimenti. Ogni passaggio aumenta il consumo computazionale e rende il cloud una variabile politica.
Per le aziende, la lezione è evitare proiezioni ingenue sui costi. Il prezzo per token può scendere, ma il costo totale di un sistema agentico include retrieval, memoria, verifiche, tool call, audit, logging, retry, ambienti regionali e capacità riservata. Se l’uso cresce, l’economia si sposta dal singolo prompt al costo operativo completo. Questo vale ancora di più quando bisogna garantire residenza dei dati, disponibilità multi-region o continuità se un fornitore viene limitato in una certa area geografica.
In prospettiva, energia e governance convergeranno. Un cliente enterprise non chiederà solo “quale modello è migliore?”, ma anche se il fornitore può garantire capacità, regioni, emissioni, resilienza, fallback e protezione contrattuale. Il dato sui 65 miliardi mostra che la corsa AI non si gioca soltanto nei laboratori, ma nelle catene di fornitura energetiche. Il modello più potente conta poco se non può essere servito in modo affidabile.
Questo introduce una metrica che diventerà sempre più importante: capacità utile per unità di rischio. Un sistema può sembrare economico se si guarda solo al token, ma diventare costoso se richiede regioni speciali, capacity reservation, verifiche aggiuntive, modelli ridondanti e policy di isolamento. Al contrario, un servizio più caro può essere competitivo se riduce incidenti, tempi di audit e complessità di compliance. La valutazione matura dell’AI non sarà prezzo per milione di token, ma costo affidabile per workflow completato.
Una skill utile: scrivere red line prima dei prompt
Il consiglio pratico della giornata è semplice: prima di costruire un agente, scrivere una matrice di red line operative. Non è un documento legale generico e non è una policy etica da homepage. È una tabella concreta che dice quali dati l’agente può leggere, quali azioni può eseguire, quali casi d’uso sono vietati, quali richiedono approvazione umana e quali devono essere loggati con priorità alta. Le notizie su Google, Anthropic e Manus mostrano cosa succede quando questi confini vengono negoziati troppo tardi.
La prima colonna dovrebbe essere il tipo di dato. Documenti pubblici, documenti interni, dati personali, credenziali, segreti industriali, codice sorgente, dati di clienti e informazioni regolamentate non possono avere lo stesso trattamento. Un agente di coding può leggere repository, ma non necessariamente segreti di produzione. Un agente finanziario può generare una bozza, ma non inviare ordini. Un assistente HR può riassumere policy, ma non valutare candidati senza controllo. Il permesso deve seguire il dato.
La seconda colonna riguarda le azioni. Leggere, riassumere, proporre, modificare, inviare, comprare, cancellare e pubblicare sono livelli diversi. Molti prototipi falliscono perché passano troppo rapidamente dalla generazione alla scrittura. Un sistema più maturo separa modalità read-only, modalità suggerimento e modalità esecuzione. L’agente può preparare una patch, ma la merge request resta umana; può scrivere una risposta cliente, ma l’invio richiede conferma; può aggiornare un record CRM, ma solo entro campi e soglie definite.
La terza colonna è il contesto geografico e contrattuale. Il caso Goldman-Claude a Hong Kong dimostra che un modello disponibile per un team non è automaticamente disponibile per tutti i team. Prima di standardizzare un agente globale, bisogna verificare regioni supportate, termini d’uso, data residency, subprocessor, export control e policy aziendali. Se un fornitore non supporta una giurisdizione, il sistema deve prevedere fallback o esclusione. La compliance non è un controllo finale, ma una variabile di routing.
La quarta colonna è la soglia di escalation. Un agente dovrebbe fermarsi davanti a importi elevati, dati personali inattesi, istruzioni in conflitto, fonti contraddittorie, richieste che implicano sorveglianza, sicurezza fisica, cyber offensivo o decisioni disciplinari. Fermarsi non è debolezza: è una funzione. La differenza tra un agente demo e un agente professionale è la capacità di riconoscere quando non deve completare il task. Il no controllato è parte del prodotto.
La quinta colonna è la prova. Ogni red line deve avere un test. Se l’agente non deve inviare dati personali a un modello non approvato, serve un caso di test che contenga dati personali. Se non deve creare codice che esfiltra credenziali, serve un prompt di regressione. Se non deve agire su contratti con parti invertite, serve un dataset di near-miss. Le policy non testate sono intenzioni. Le policy testate diventano infrastruttura.
Applicata a Claude Code su Vertex AI, questa matrice diventa molto concreta. Si può creare un progetto GCP dedicato, abilitare solo i modelli necessari, pinning delle versioni, quota separata per team, log centralizzati e permessi IAM minimi. Si può stabilire che l’agente legga repository ma non segreti, crei patch ma non faccia deploy, apra issue ma non modifichi permessi. Questo è meno spettacolare di una demo end-to-end, ma è il modo in cui un tool agentico diventa affidabile.
Applicata al procurement, la matrice evita lock-in invisibili. Se un modello viene bloccato in una regione, come nel caso Claude a Hong Kong, il team deve sapere cosa succede: il workflow si ferma, passa a Gemini, passa a ChatGPT, limita alcune funzioni o chiede approvazione? Ogni risposta ha implicazioni di qualità e responsabilità. Definirla in anticipo permette di usare più modelli senza trasformare la multi-cloud strategy in caos.
Un buon esercizio consiste nel prendere i dieci workflow AI più usati internamente e assegnare a ciascuno un livello di rischio. Livello uno: generazione o sintesi senza dati sensibili. Livello due: supporto a decisioni interne reversibili. Livello tre: dati personali, clienti o codice proprietario. Livello quattro: azioni esterne, denaro, compliance, sicurezza o impatto reputazionale. Ogni livello dovrebbe avere modelli consentiti, regioni consentite, log minimi, verifiche e poteri di escalation. In questo modo la governance non resta astratta: diventa una configurazione.
Il punto finale è culturale. Le red line non devono essere scritte solo da legali o solo da ingegneri. Devono includere chi possiede il processo: security, compliance, prodotto, operation e utenti esperti. Un agente sbaglia in modi diversi a seconda del dominio. Una policy generica non basta; serve sapere dove un errore fa davvero danno. La governance AI matura nasce dall’incontro tra tecnologia e processo.
Cosa monitorare tra Pentagono, Mythos e agenti
La prima cosa da monitorare è se l’accordo Google-Pentagono verrà chiarito nei suoi confini reali. Le parole pubbliche su sorveglianza e armi autonome contano, ma conteranno di più le clausole operative: chi può modificare filtri, chi conserva i log, quali audit esistono, quali casi richiedono supervisione umana e se Google può opporsi a usi che ritiene contrari alle proprie policy. Senza questi dettagli, la promessa di responsabilità resta incompleta.
La seconda cosa è l’evoluzione dello scontro Anthropic-Pentagono. Se la Casa Bianca riuscirà a creare un percorso per usare Mythos senza risolvere del tutto la disputa sulle red line, avremo un precedente importante: un modello considerato troppo utile per essere escluso, ma troppo rischioso per essere distribuito liberamente. Questo potrebbe diventare il modello standard per AI cyber avanzata: accesso ristretto, accordi governativi, audit interni e negoziati continui sui casi d’uso.
La terza cosa è il caso Manus. Se Meta e Manus troveranno un compromesso con le autorità cinesi, capiremo quanto margine resta alle acquisizioni transfrontaliere nel settore degli agenti. Se invece l’ordine di disfare la transazione verrà applicato con rigidità, molte startup con radici cinesi e clienti globali dovranno ripensare struttura, governance e strategia di uscita. Gli agenti AI potrebbero diventare asset difficili da vendere oltre confine.
La quarta cosa è l’adozione reale di Claude Code su Vertex AI e di strumenti simili su cloud controllati. Se le aziende passano da account individuali a deployment governati, vedremo più attenzione a IAM, regioni, quota, pinning dei modelli e audit. Questo è un segnale di maturità. Quando un tool di coding AI viene trattato come infrastruttura e non come scorciatoia personale, diventa più lento da introdurre ma più solido da scalare.
La quinta cosa è la disponibilità regionale dei modelli. Il caso Goldman mostra che anche un grande cliente può perdere accesso a un modello in una piazza finanziaria chiave se i termini contrattuali non lo supportano. Nei prossimi mesi sarà importante leggere non solo i comunicati di prodotto, ma le note su paesi supportati, data residency, cloud partner e restrizioni. La vera mappa dell’AI non coincide con la pagina marketing.
La sesta cosa è il costo fisico dell’espansione. Se la spesa per apparecchiature energetiche dei data center sale come indicato da Wood Mackenzie, il prezzo dell’AI non dipenderà soltanto dai modelli, ma da rete elettrica, supply chain e permessi. Questo renderà ancora più forti i grandi cloud, ma potrebbe anche aprire spazio a strategie regionali, modelli più efficienti e deployment specializzati. L’AI agentica avrà bisogno di energia, ma anche di limiti intelligenti.
La sintesi della giornata è che l’AI non sta solo diventando più capace: sta diventando più vincolata. Google accetta un perimetro governativo più ampio, Anthropic prova a difendere limiti mentre il governo ne vuole le capacità, Meta scopre che un agente può essere bloccato come asset strategico, e le aziende iniziano a capire che tool come Claude Code richiedono governance cloud. La prossima fase dell’AI non premierà chi automatizza tutto, ma chi sa decidere cosa automatizzare, dove, con quali permessi e con quale responsabilità.