La CIA ha prodotto il primo rapporto di intelligence della sua storia scritto interamente da un sistema di intelligenza artificiale, senza che un analista umano abbia guidato il processo di produzione. Lo ha confermato il vicedirettore Michael Ellis il 9 aprile, durante un evento del Special Competitive Studies Project a Washington. La notizia, ripresa da Politico e poi da Semafor, è passata quasi inosservata nel rumore di un mese che ha visto Mythos, GPT-5.4 e Gemini 3.1 competere per i benchmark. Ma se si guarda oltre le paghette dei modelli, quello che ha fatto la CIA è forse la notizia AI più importante dell’anno.
Il rapporto è reale. È stato generato da un sistema di AI, senza intervento umano nella scrittura. La CIA non ha voluto rivelare né l’argomento, né il modello usato, né il livello di classificazione, né a chi è stato distribuito. Motivo: sicurezza operativa. Ellis ha precisato che un essere umano ha mantenuto la supervisione finale e l’autorità decisionale sulla diffusione del documento.
Per capire perché conta, bisogna guardare i numeri. Nel solo 2025 la CIA ha gestito più di 300 progetti AI, spaziando dall’elaborazione di grandi volumi di dati alla traduzione in tempo reale di materiali stranieri, dal riconoscimento di pattern nelle comunicazioni intercettate alla individuazione di anomalie in immagini satellitari. Molti di questi progetti non hanno superato la fase di test. Ma uno ha prodotto un deliverable completo. E quella è la soglia che cambia tutto.
Cosa cambia rispetto a prima
La CIA usa l’AI dal 2024, quando la piattaforma Osiris ha iniziato a sintetizzare fonti aperte per tutte le 18 agenzie di intelligence americane. Anche l’MI6 britannico aveva ammesso un uso simile nello stesso periodo. Ma Osiris era uno strumento assistivo: aiutava l’analista a scrivere più veloce, a trovare connessioni tra dati dispersi, a scovare contraddizioni. L’analista restava al volante.
Il rapporto confermato da Ellis è diverso. La macchina ha prodotto l’analisi da sola. L’umano è intervenuto dopo, non durante. È la differenza tra un copilota che ti suggerisce la rotta e un autopilota che vola l’aereo mentre tu guardi dal finestrino. Secondo la roadmap descritta da Ellis, entro due anni “co-worker AI” saranno integrati in tutte le piattaforme analitiche dell’agenzia. E entro dieci anni, gli analisti gestiranno team di agenti AI autonomi.
Il ex CTO della CIA, Nand Mulchandani, aveva descritto i modelli generativi come “un amico brillante ma ubriaco: capace di intuizioni notevoli e anche di bias pericolosi”. È una definizione onesta. E solleva la domanda che nessuno al Pentagono sembra voler fare ad alta voce: cosa succede quando il rapporto scritto dall’amico ubriaco finisce sulla scrivania del presidente?
Il problema della fiducia e della tracciabilità
La intelligence americana opera sotto la direttiva ICD 203, che impone a ogni prodotto di intelligence di indicare le fonti, i livelli di confidenza e le ipotesi alternative. È il cuore del mestiere: ogni conclusione deve essere tracciabile fino ai dati grezzi che la supportano. Un modello linguistico, per definizione, non mostra il suo ragionamento. La “catena di pensiero” che produce non è una spiegazione, è una ricostruzione post hoc. Questo crea una tensione strutturale tra le regole del mestiere e le capacità dello strumento.
Esistono almeno tre modalità di fallimento documentate che preoccupano gli esperti. La prima sono le allucinazioni: un modello può citare con assoluta sicurezza un cablogramma che non è mai esistito, e quel prodotto risulta indistinguibile da uno verificato. La seconda è l’opacità: se un analista non può ricostruire perché il modello ha dato peso a una fonte piuttosto che a un’altra, la direttiva ICD 203 viene violata di fatto. La terza è l’iniezione di prompt avversariale: un avversario che riesca a contaminare i dati in ingresso può manipolare l’output del modello senza che nessuno se ne accorga.
Non sono rischi teorici. Sono i motivi per cui la comunità di intelligence ha resistito all’uso autonomo dell’AI finora. Il fatto che la CIA abbia superato questa soglia suggerisce che la pressione competitiva con la Cina abbia cambiato il calcolo dei rischi.
La Cina e la questione della velocità
Ellis è stato esplicito: la Cina è il driver principale. Pechino investe massicciamente in AI per la sorveglianza, l’analisi dei dati e la guerra dell’informazione. La CIA riceve più dati grezzi di quanti i suoi analisti possano elaborare. L’AI non è un lusso, è un moltiplicatore di forza necessario per non restare indietro.
L’argomento è convincente, e anche parzialmente vero. Ma nasconde un’assunzione pericolosa: che la velocità di elaborazione sia sempre un vantaggio. Nella intelligence, un’analisi sbagliata prodotta in fretta è peggiore di un’analisi incompleta prodotta con calma. La prima porta a decisioni operative concrete basate su informazioni false. La seconda posticipa la decisione, il che in molti contesti è il male minore.
La storia del Progetto Maven, lanciato nel 2017 per analizzare video di droni contro l’ISIS, è illuminante. Dopo la rivolta interna di Google, il progetto migrò su Palantir e Anduril. Oggi è integrato nei cicli di targeting. Da programma contestato a capacità operativa in meno di un decennio. La CIA vuole comprimere questa timeline. L’AI generativa, operando al livello analitico e non solo a quello cinetico, incontra meno resistenza istituzionale. I titolari dei dossier non si sentono minacciati come i piloti dei droni.
Il paradosso Anthropic e la sovranità dei modelli
C’è un dettaglio che rende la storia ancora più complessa. La Casa Bianca ha ordinato a tutte le agenzie federali di eliminare gradualmente gli strumenti Anthropic, dopo che l’azienda ha rifiutato di allentare le restrizioni su sorveglianza domestica e uso militare autonomo. Contestualmente, una agenzia di sicurezza sta usando Mythos, il modello più avanzato di Anthropic, per scopi difensivi. Il Dipartimento del Tesoro ha chiesto accesso a Mythos per studiare le vulnerabilità del sistema finanziario. E il Pentagono cerca di mettere Anthropic nella lista nera di alcuni contratti.
È una contraddizione che rivela il vero problema: la capacità di frontiera è concentrata in poche aziende private, le cui decisioni etiche e commerciali possono cambiare da un giorno all’altro. La CIA lo sa, e per questo sta cercando di diversificare i fornitori e adattare tecnologie commerciali per uso classificato. Ma la verità è che nessun modello open source si avvicina oggi alle capacità dei modelli proprietari per questo tipo di lavoro.
La conferma di Ellis funziona anche come segnale all’industria: la CIA ha opzioni sostituibili. Non è un annuncio tecnico, è una mossa negoziale. E se funziona, il prossimo rapporto potrebbe essere generato da un modello di un fornitore diverso.
Le impronte digitali dell’AI nell’intelligence
Un aspetto poco discusso riguarda la vulnerabilità che l’uso massiccio di AI crea. I modelli linguistici producono testi con pattern riconoscibili: strutture ripetitive, vocabolari caratteristici, modi di gestire l’incertezza. Servizi di intelligence stranieri addestrati a riconoscere questi pattern potranno identificare quali prodotti americani sono stati generati da una macchina. E se sanno quale modello è stato usato, possono studiarne le debolezze.
Il rischio non è ipotetico. L’intelligence cinese e russa investono nella comprensione dei modelli AI occidentali tanto quanto nello sviluppo dei propri. Un rapporto di intelligence generato da un LLM diventa un bersaglio di intelligence a sua volta. È la versione digitale della crittoanalisi: se sai come funziona la macchina che cifra i messaggi, puoi decifrarli. Se sai come funziona la macchina che produce le analisi, puoi manipolarne gli output.
Entro due anni, come nota un’analisi del blog specializzato Ujasusi, “una firma analitica riconoscibile emergerà nei prodotti di intelligence declassificati americani: pattern strutturali ripetitivi, vocabolari di hedging particolari, pesatura prevedibile delle fonti”. Servizi esteri addestrati impareranno a rilevare e sfruttare questi pattern. L’analisi generata da macchine diventerà un bersaglio di intelligence autonomo.
Le domande senza risposta
La CIA non ha detto quale modello ha prodotto il rapporto. Non ha detto se i dati in ingresso erano fonti aperte o informazioni classificate. Non ha spiegato quale procedura di verifica è stata usata dopo la generazione. Non ha specificato se l’analista che ha supervisionato il prodotto aveva competenze sul tema trattato.
Sono omissioni comprensibili per un’agenzia di intelligence. Ma rendono impossibile valutare la qualità del prodotto e l’adeguatezza dei controlli. Ellis ha detto che l’AI “non farà il pensiero per i nostri analisti, ma può aiutare con la stesura, l’editing e la cernita iniziale”. È rassicurante. Ma è anche in contraddizione con l’annuncio che il rapporto è stato scritto interamente senza umani. Se l’AI ha solo aiutato con la stesura, non era un rapporto autonomo. Se era autonomo, l’AI ha fatto più che aiutare.
La distinzione tra “augment” e “replace” è il nodo centrale di tutto il dibattito sull’AI sul lavoro. Nel contesto della intelligence, la posta è più alta. Un rapporto commerciale scritto da un’AI che contiene un errore può costare soldi. Un rapporto di intelligence che contiene un errore può costare vite, innescare operazioni militari o far fallire una trattativa diplomatica. Il fatto che la CIA abbia attraversato questa soglia senza un dibattito pubblico sulla governance dice molto sulla pressione competitiva che sente.
Il precedente è stabilito. Ora la domanda è chi lo segue. I servizi di intelligence di mezza Europa, dal GCHQ britannico alla BND tedesca, stanno lavorando sugli stessi problemi con meno budget e meno autonomia istituzionale. Se la CIA dimostra che funziona, l’adozione sarà rapida. Se qualcosa va storto, sarà difficile tornare indietro, perché il vantaggio competitivo una volta perso non si recupera facilmente. L’AI nell’intelligence non è un esperimento reversibile. È una nuova infrastruttura, e una volta costruita, tutto il resto si adatta a lei.
