TECH — Settimana 11/05–17/05 2026

TL;DR

La settimana in cui lo Stato è tornato sovrano sull’AI: l’EU semplifica e ricalibra l’AI Act, Trump abbraccia l’oversight sui modelli di frontiera dopo lo shock Mythos, e l’asse infrastruttura-energia-fiscalità diventa il nuovo terreno di battaglia geopolitico. La narrazione ‘AI come pura forza di mercato’ è finita.

🛰️ TECH — Settimana 11/05–17/05 2026

TL;DR: La settimana in cui lo Stato è tornato sovrano sull’AI: l’EU semplifica e ricalibra l’AI Act, Trump abbraccia l’oversight sui modelli di frontiera dopo lo shock Mythos, e l’asse infrastruttura-energia-fiscalità diventa il nuovo terreno di battaglia geopolitico. La narrazione “AI come pura forza di mercato” è finita.

🔴 Segnale forte

Lo Stato riprende il controllo: regolamentazione, oversight di sicurezza e il fattore Mythos

Due eventi apparentemente distanti, ma in realtà parte della stessa traiettoria, hanno definito la settimana. Il 7 maggio, Consiglio e Parlamento europei hanno raggiunto un accordo politico sull’“AI Act Omnibus”, che semplifica e riallinea il regolamento europeo sull’intelligenza artificiale: estensione dei termini di compliance per i sistemi ad alto rischio, riduzione del grace period sulla trasparenza dei contenuti generati a 3 mesi, esenzione per l’AI già coperta dal Machinery Regulation, e una nuova stretta sui contenuti intimi generati da IA. La piena applicabilità resta agganciata al 2 agosto 2026, ma lo stabilimento delle sandbox nazionali slitta al 2027 (Consiglio UE, 7 maggio; Latham & Watkins). L’Europa, dunque, non arretra sui principi ma corregge il tiro per non strozzare l’innovazione interna mentre la concorrenza accelera.

Negli Stati Uniti la traiettoria è opposta nel punto di partenza ma converge nella sostanza. L’amministrazione Trump, partita con l’agenda della deregulation, sta ora abbracciando idee di oversight che fino a pochi mesi fa avrebbe respinto. Il Center for AI Standards and Innovation ha siglato accordi con Google DeepMind, Microsoft e xAI per ottenere accesso pre-deploy ai modelli (CNBC, 5 maggio); il presidente in persona, in un’intervista a Fox News, ha sostenuto che servono regole sull’AI, segnalando un riposizionamento retorico (NPR, 14 maggio; Fortune, 6 maggio).

Il catalizzatore è Mythos, il modello di Anthropic rilasciato in preview a un perimetro ristretto di aziende USA (Apple, Amazon, JPMorgan Chase, Palo Alto Networks). Mythos ha trovato migliaia di zero-day in ogni sistema operativo e browser principale, riproducendo exploit funzionanti al primo tentativo nell’83% dei casi e portando alla luce, fra l’altro, un bug in OpenBSD sopravvissuto 27 anni alla revisione umana (CNBC, 5 maggio; Anthropic Red Team; Schneier on Security). Dario Amodei ha parlato di “momento di pericolo” e di una finestra stretta per chiudere decine di migliaia di vulnerabilità prima che capacità analoghe finiscano in mani ostili (CNBC su Amodei).

L’implicazione geopolitica è doppia. Da un lato lo Stato americano è costretto a entrare nel cantiere AI non per spinta ideologica ma per pressione di sicurezza nazionale: il Washington Post racconta uno scontro interno fra Commerce e community dell’intelligence proprio sul ruolo delle agenzie nell’evaluation dei modelli (Washington Post, 11 maggio; WaPo, 8 maggio). Dall’altro, l’accesso ristretto a Mythos crea un’asimmetria difensiva globale: chi sta dentro il perimetro (banche sistemiche statunitensi, big tech) viene patchato per primo; gli altri restano esposti agli stessi exploit, con il rischio che le capacità offensive arrivino prima delle protezioni (Rest of World; World Economic Forum). Economicamente, è la nascita di un nuovo livello del mercato cyber: insurance, audit, MSSP saranno ricalibrati attorno al concetto di “tempo finestra” prima che un avversario riproduca capacità simili.

Fonti:

📡 Altri fili

L’infrastruttura come geografia del potere: Hyperion, gas e fiscalità locale

Il 14 maggio Fortune ha rivelato l’entità degli sgravi fiscali concessi a Meta per il data center Hyperion in Louisiana: 3,3 miliardi di dollari di esenzioni statali e locali su attrezzature e GPU per vent’anni, su un progetto il cui costo è cresciuto da 10 a 27 miliardi (Fortune, 14 maggio; Fox 8 Live, 12 maggio). Per alimentarlo Entergy Louisiana costruirà sette nuove centrali a gas per 5,2 GW e circa 240 miglia di linee a 500 kV (Engineering News-Record; Entergy). Meta ha acquistato altri 1.400 acri adiacenti al sito originale da 2.250, portando l’area a quattro volte Central Park (DCD).

È il caso archetipico di un fenomeno strutturale. Brookfield stima 7 trilioni di dollari di investimenti infrastrutturali AI nel prossimo decennio, di cui 0,5 trilioni in baseload e trasmissione elettrica (Goldman Sachs). KKR ha annunciato Helix Digital Infrastructure, un veicolo da oltre 10 miliardi guidato dall’ex CEO di AWS (DCD). Il capex dei 14 maggiori operatori globali di data center si avvicina ai 750 miliardi nel 2026, contro meno di 450 nel 2025; le aspettative per il FY27 sono salite del 56% in sei mesi (KKR).

Sul piano dell’energia, la IEA stima che il consumo elettrico globale dei data center crescerà di oltre 1.000 TWh entro il 2030, con la sola componente AI cresciuta del 50% nel 2025 (IEA — Energy and AI; IEA — Electricity 2026 Demand). Morgan Stanley ipotizza un deficit di 49 GW di capacità accessibile negli Stati Uniti entro il 2028 (Morgan Stanley). Politicamente, questo significa che lo Stato locale (governatori, regolatori delle utility, parlamenti statali) torna a essere lo snodo decisivo: ogni gigawatt richiede una concessione, ogni dollaro di sgravio è una contrattazione che mescola sviluppo economico, costo dell’energia per le famiglie e impatto ambientale (24/7 Wall St., 4 maggio; 24/7 Wall St., 12 maggio).

Fonti:

La guerra dei chip cambia grammatica: dai divieti ai tariffi (e ritorno)

Il regime di export control sui chip avanzati sta passando da uno schema binario (vendi/non vendi) a uno schema fiscale e revenue-share. Dal gennaio 2026 il Department of Commerce ha spostato l’H200 da “presumption of denial” a revisione caso-per-caso, con una tariffa del 25% e un meccanismo di compartecipazione per cui Washington trattiene una quota delle revenue (Mayer Brown; Effective Altruism Forum). Le aziende cinesi avrebbero ordinato oltre due milioni di H200 per il 2026, ma Pechino ha risposto con istruzioni doganali che bloccano de facto le importazioni, salvo eccezioni (Kalkine; Tom’s Hardware).

La roadmap di Huawei pubblicata internamente mostra un dato spiazzante: gli Ascend 950PR e 950DT, pianificati per il 2026, hanno una TPP inferiore all’Ascend 910C attuale. Il Council on Foreign Relations stima il gap con i migliori chip USA a 5× oggi, in proiezione 17× entro il 2027 (CFR; Brookings). A questo si sommano fragilità nuove di supply chain: dopo gli attacchi alla produzione qatariota (un terzo della fornitura globale di elio), le fab di Taiwan e Corea del Sud razionano e i prezzi spot sono raddoppiati (Sourceability).

Il punto di tenuta del modello è Nvidia: il 20 maggio riporta l’utile del Q1 FY27, con il consensus a 78,76 miliardi di dollari di ricavi e crescita anno su anno fra il 73% e l’80% (Motley Fool, 14 maggio; IG). Deloitte stima che gli AI chip rappresenteranno circa il 50% del fatturato dell’industria semiconduttori nel 2026, pur restando una piccola percentuale dei volumi: una concentrazione di valore senza precedenti su una singola classe di prodotto (Deloitte; Manufacturing Dive).

Fonti:

Monetizzazione dell’attenzione: OpenAI Ads Manager e la contromossa Gemini Intelligence

Il 5 maggio OpenAI ha lanciato in beta un Ads Manager self-serve dentro ChatGPT, con bidding CPC/CPM e nessuna soglia minima di spesa. Sul tavolo i target dichiarati: 2,5 miliardi di revenue pubblicitarie nel 2026 e 100 miliardi entro il 2030 (OpenAI; Axios, 5 maggio). Sono già integrati i quattro grandi gruppi di agenzie (Dentsu, Omnicom, Publicis, WPP) e player adtech come Adobe, Criteo e Kargo; il pilota si espande a Regno Unito, Messico, Brasile, Giappone e Corea del Sud (AdExchanger; Let’s Data Science).

La risposta di Google è simmetrica e arriva la settimana dopo. All’Android Show I/O Edition (12-15 maggio) viene presentato Gemini Intelligence, un livello AI che attraversa app, browser e servizi di sistema, deciso a riportare l’utente dentro l’ecosistema Android invece di lasciarlo migrare verso ChatGPT (CNBC, 12 maggio; Google Blog; Winbuzzer, 14 maggio). Il rollout parte dai Pixel e dai Galaxy quest’estate, si estende a watch, auto, occhiali e laptop entro fine anno; debutta anche un Googlebook fatto realizzare da Acer, Asus, Dell, HP e Lenovo (Engadget; Digitimes).

In parallelo, lo strappo Snap–Perplexity. Il deal da 400 milioni di dollari annunciato nei mesi scorsi è stato chiuso prima del rollout, segnale che la fase delle alleanze opportunistiche fra app consumer e LLM si sta selezionando duramente (MarketingProfs, 8 maggio). La concorrenza si sposta dal “chi ha il miglior modello” al “chi controlla il punto d’attenzione dell’utente”. Economicamente è il vero spartiacque: i ricavi da inferenza B2B restano dominati dai cloud iperscaler, ma il flusso più scalabile (advertising consumer) torna a essere il vecchio campo di battaglia di Google, ora attaccato frontalmente.

Fonti:

Vibe coding: 380.000 app aperte e il debito di sicurezza del software-senza-developer

Sempre il 7 maggio, RedAccess ha pubblicato uno studio che identifica circa 380.000 asset pubblicamente accessibili costruiti con Lovable, Base44, Replit e Netlify, di cui circa 5.000 con dati corporate sensibili: conversazioni con pazienti di strutture di lungo-degenza, dati incidenti di una società di security, record sanitari e finanziari, conversazioni con clienti, persino registrazioni di lezioni scolastiche con dati di studenti (Axios, 7 maggio; Security Boulevard; eWeek). La causa radice è banale e strutturale: le impostazioni di privacy default di queste piattaforme rendono le app pubbliche se l’utente non interviene esplicitamente.

Il problema non è il singolo bug. È che il vibe coding ha messo nelle mani di milioni di non-sviluppatori la capacità di pubblicare software che tocca dati reali, senza i controlli minimi che lo sviluppo professionale dà per scontati (review, controllo accessi, default sicuri). Mentre Mythos mostra cosa l’AI può fare sul lato difensivo per chi è dentro il perimetro, il vibe coding mostra cosa l’AI sta facendo sul lato offensivo per default: ampliando la superficie di attacco a velocità mai viste (Android Headlines; Towards Data Science). Per gli enti regolatori (Garante privacy in Europa, FTC negli USA) si profila un dossier potenzialmente esplosivo: chi è il titolare del trattamento quando l’app la “scrive” un’AI per conto di un utente non tecnico?

Fonti:

🧭 Pattern della settimana

Il filo che cuce tutti i pezzi è uno: la fine dell’illusione che l’AI sia un fenomeno puramente di mercato. L’EU torna a legiferare con l’Omnibus, Trump si converte a un oversight selettivo, Anthropic decide chi può accedere a Mythos prima, Pechino blocca le importazioni di H200 alla dogana, la Louisiana scambia 3,3 miliardi di sgravi per un data center. Ogni nodo è un’asimmetria di accesso governata da uno Stato, da un’agenzia o da una piattaforma con potere normativo de facto.

Il secondo pattern è lo scontro fra velocità del software e lentezza del fisico. OpenAI può lanciare un Ads Manager in poche settimane; per accendere i GPU che lo servono servono centrali a gas costruite in anni, linee a 500 kV negoziate con regolatori locali, elio razionato perché un fronte di conflitto si è acceso in Medio Oriente. La frontiera del 2026 è qui: il digitale si sta scontrando con i vincoli del mondo reale, e perde quasi sempre.

Il terzo pattern, più sottile, è la doppia natura dell’AI sulla sicurezza. Mythos e il vibe coding sono la stessa storia raccontata da due lati: l’AI alza il livello delle capacità sia offensive sia difensive, ma la distribuzione di queste capacità è radicalmente asimmetrica. Chi è dentro il perimetro Anthropic patcha; chi è fuori subisce. Chi ha team di security blocca i default insicuri di Lovable; chi non ce l’ha espone dati sanitari su URL pubblici. La sicurezza diventa una funzione dell’accesso, non più del merito tecnico.

Un segnale debole da non perdere: la sovrapposizione fra agenzie di intelligence e regolatori AI negli USA. È un fronte interno che, se si consolida, ridisegna il modo in cui i modelli di frontiera vengono valutati e potenzialmente classificati. È il rovescio della medaglia dell’oversight: più lo Stato entra, più diventa decisivo quale Stato entra (Commerce vs IC).

📌 Da tenere d’occhio

Nvidia Q1 FY27 (20 maggio) — il forward guidance peserà più dei numeri; un rallentamento del growth rate o cautela su supply constraint può resettare l’intero AI trade.
Adozione formale dell’AI Act Omnibus — il Parlamento UE dovrebbe formalizzare entro luglio: l’esito determina la finestra effettiva di compliance per i sistemi ad alto rischio dal 2 agosto.
Project Glasswing e l’allargamento dell’accesso a Mythos — se Anthropic estende il perimetro, o resta chiuso al cerchio USA, definisce la geografia globale della cyber-resilienza nei prossimi sei mesi.
Backlash locali sui data center — il caso Louisiana è stato approvato, ma altrove (Kevin O’Leary su Stratos, contestazioni in Olanda e Irlanda) la resistenza cresce; le elezioni di midterm 2026 negli USA potrebbero portare il tema al centro.
Roadmap Huawei Ascend 950 — se i numeri del 950PR/DT confermano il regresso, l’effetto è duplice: rafforza chi sostiene di mantenere export control duri, e accelera la pressione interna cinese su strategie alternative (modelli più efficienti, distillazione, edge).
Vibe coding e prima azione regolatoria — su 380.000 asset esposti, l’apertura di un’istruttoria formale da parte di un’autorità (Garante, FTC, ICO) sarebbe il precedente che ridefinisce la responsabilità lungo la catena AI builder → utente non tecnico → end user.