Le aziende che sviluppano modelli di intelligenza artificiale di frontiera stanno affrontando una minaccia che, pur non essendo tecnicamente nuova, sta assumendo proporzioni industriali.
Si tratta della distillazione, una tecnica messa a punto più di un decennio fa per rendere più efficienti i sistemi di apprendimento automatico, ma oggi utilizzata anche per replicare, senza autorizzazione, il comportamento di modelli proprietari altrui.
Ciò che Anthropic chiama “distillazione” è noto da tempo in letteratura come model stealing (o model extraction).
Indice degli argomenti
Model stealing: che cos’è e perché rappresenta una nuova minaccia
Il model stealing, che consente di replicare il comportamento di un modello di intelligenza artificiale attraverso interrogazioni mirate, senza accedere al codice sorgente, rappresenta una minaccia crescente per proprietà intellettuale, sicurezza dell’AI e vantaggio competitivo delle organizzazioni.
Il caso più recente è segnalato da una lettera inviata da Anthropic al Senato statunitense, nella quale l’azienda accusa il gruppo tecnologico cinese Alibaba di aver condotto quella che definisce la più estesa campagna di distillazione mai documentata ai propri danni.
Tra il 22 aprile e il 5 giugno 2026 sarebbero stati generati circa 28,8 milioni di scambi non autorizzati, attraverso circa 25mila account fraudolenti e servizi di proxy commerciali utilizzati per aggirare le restrizioni geografiche di accesso.
Un episodio analogo era già emerso mesi prima, quando la stessa Anthropic aveva descritto, in un proprio comunicato tecnico, tre campagne su scala industriale condotte da altrettanti laboratori cinesi, DeepSeek, Moonshot e MiniMax, per oltre 16 milioni di scambi generati attraverso circa 24mila account fraudolenti.
La campagna contro Gemini
Il fenomeno riguarda anche altri grandi laboratori. Google, attraverso il proprio gruppo di threat intelligence, ha reso pubblico di aver rilevato in tempo reale una campagna che ha sottoposto il proprio modello di punta, Gemini, ad oltre 100mila richieste strutturate nel tentativo di clonarne le capacità di ragionamento, riuscendo a ridurne il rischio e a proteggere le proprie tracce di ragionamento interne.
L’azienda inserisce il fenomeno tra le principali categorie di uso avversario dell’intelligenza artificiale monitorate
Come funziona il Model stealing: fenomeno noto dal 2010
Il meccanismo di base è semplice da descrivere, per quanto complesso da realizzare su larga scala.
Un modello già addestrato viene interrogato con un numero elevatissimo di
richieste, coprendo il più ampio spettro possibile di argomenti, stili di risposta e casistiche d’uso.
Le risposte ottenute vengono poi usate come materiale di addestramento per un secondo modello, che impara così a imitare il comportamento del primo senza ripercorrere l’intero processo di sviluppo, con un risparmio notevole di tempo, dati e risorse computazionali.
Anthropic stessa precisa che la distillazione è di per sé una metodologia di addestramento legittima e diffusa, usata dagli stessi laboratori per creare versioni più piccole ed economiche dei propri modelli.
Nella letteratura di sicurezza informatica, quello che Anthropic chiama “distillazione” è noto, in ambito accademico almeno dalla metà degli anni 2010, come model extraction (o model stealing).
Se ne discute da quando un filone di ricerca sulmodel stealing aveva già dimostrato la fattibilità dell’estrazione tramite query, anni prima che la corsa dei laboratori di IA generativa portasse il tema alla ribalta.
Due riferimenti
Due riferimenti lo confermano. Nella versione 2023 della OWASP Top 10 per applicazioni LLM il Model Theft era una voce autonoma; nell’edizione 2025 la sottrazione di un modello tramite interrogazioni eccessive è confluita nella categoria più ampia “Unbounded Consumption” (LLM10), che l’OWASP GenAI Security Project descrive esplicitamente come comprensiva anche del furto di proprietà intellettuale attraverso la ricostruzione, parziale o totale, del modello bersaglio.
Le minacce
MITRE ATLAS, la matrice delle tattiche avversarie specifiche per i sistemi di IA (l’equivalente, per il mondo ML, del più noto ATT&CK), cataloga come tecniche distinte entrambi gli elementi centrali del caso Alibaba: la creazione di account multipli per aggirare i limiti d’uso rientra in “Valid Account Abuse on AI Platform” (AML.T0012).
Invece l’estrazione sistematica del comportamento del modello attraverso query ripetute corrisponde a “Exfiltration via AI Inference API” (AML.T0024).
Il punto che la cornice geopolitica rischia di oscurare è che questo schema d’attacco non richiede né un avversario statale né un bersaglio delle dimensioni di Anthropic o OpenAI.
Qualunque azienda esponga un modello proprietario tramite API (un motore antifrode bancario, un sistema di scoring assicurativo, un recommendation engine eCommerce, un modello predittivo per la manutenzione industriale) è potenzialmente vulnerabile allo stesso pattern:
- creazione massiva di account,
- interrogazioni sistematiche pensate per “mappare” lo spazio degli input possibili,
- raccolta degli output per addestrare a costo ridotto un modello “studente”.
Ciò che rende questa minaccia insidiosa è che, a differenza di una violazione classica, non richiede il fallimento di alcun controllo d’accesso: l’attaccante entra dalla porta principale, un account alla volta, spesso senza mai infrangere apertamente le regole d’uso dichiarate.
Dal punto di vista difensivo, la difficoltà principale è proprio che, prese singolarmente, le richieste usate per la distillazione somigliano a quelle di un utente legittimo e passano quindi facilmente inosservate.
È soltanto osservando il comportamento aggregato, su larga scala e nel tempo, che emergono gli indicatori di un possibile abuso: il volume delle richieste, la sistematicità delle interrogazioni e la frammentazione dell’attività su un numero elevato di account, spesso creati in serie tramite sistemi di registrazione automatizzati per eludere i limiti di utilizzo imposti a livello
individuale.
Dalla proprietà intellettuale alla sicurezza: gli impatti per le organizzazioni
Per le organizzazioni che sviluppano o distribuiscono modelli di intelligenza artificiale, tramite interfacce di programmazione, riconoscere questi pattern comportamentali diventa una componente essenziale della strategia di sicurezza.
Inoltre, il quadro giuridico applicabile a questi episodi resta incerto: sull’eventuale violazione della normativa sul segreto industriale i tribunali americani non si sono ancora espressi in modo esplicito, mentre il diritto d’autore risulta di difficile applicazione, trattandosi della replica del comportamento di un sistema e non della riproduzione dei suoi contenuti.
Per le aziende europee, il quadro offre almeno uno strumento in più rispetto a quello statunitense: la direttiva UE 2016/943 sul segreto commerciale, che consente di agire contro l’acquisizione, l’utilizzo o la divulgazione illeciti di informazioni riservate anche quando non si tratta di dati coperti da copyright o brevetto.
A questo si aggiungono gli obblighi di governance previsti dall’AI Act per i sistemi ad alto rischio.
Come difendersi dal model stealing: strategie e contromisure
Sul fronte delle contromisure strutturali, le stesse aziende statunitensi chiedono anche un inasprimento dei controlli sulle esportazioni dei chip più avanzati verso la Cina, sostenendo che senza quell’hardware la distillazione su larga scala diventerebbe impraticabile.
Proteggere il modello significa proteggere il valore dell’intelligenza artificiale
Al netto della disputa tra Washington e Pechino, il messaggio operativo per i responsabili della sicurezza è semplice: un modello di intelligenza artificiale proprietario è un asset aziendale al pari di un database clienti o di un codice sorgente.
Dunque è da sottoporre alle stesse logiche di threat modeling, monitoraggio e protezione contrattuale.
Lasciarlo esposto dietro un’API pubblica senza queste cautele, confidando che l’attaccante sia troppo lontano o troppo piccolo per essere una minaccia reale, è l’errore che accomuna vittime ben più vicine di Pechino.













Partecipa alla community