Anthropic accusa Alibaba: 25.000 account falsi per distillare Claude

Anthropic porta Alibaba davanti al Senato USA: 25.000 account falsi e 28,8 milioni di scambi per distillare Claude, il più grande attacco mai denunciato. Ma distillare il modello di un rivale è un reato o solo la violazione di un contratto? Cosa cambia per chi usa l’AI in azienda.

Anthropic accusa Alibaba, ci ruba Claude…  e si può rubare un modello di intelligenza artificiale senza forzare nulla, senza introdursi in un datacenter e senza usare malware: basta usare porta principale, quella aperta a tutti, ovvero le API (Application Programming Interface). Questa è l’accusa che Anthropic ha presentato al Senato degli Stati Uniti, resa pubblica il 24 giugno grazie alle ricostruzioni di Bloomberg e CNBC. Sul banco degli imputati c’è Alibaba, con il suo laboratorio Qwen; l’accusa è la più pesante mai formulata dall’azienda di Dario Amodei in materia di distillazione. La stessa accusa, in fondo, che un anno prima aveva mosso OpenAI contro DeepSeek: cambia chi la firma, non l’accusa.

Ma rubare in questo modo è davvero un reato? Oppure è soltanto la violazione di un contratto? Per rispondere serve capire, prima, cosa succede quando un modello impara da un altro modello con la distillazione.

Anthropic VS Alibaba: cosa è la distillazione, spiegata bene

La distillazione non è una tecnica da hacker: è una tecnica di laboratorio nata a metà degli anni 2010, e i laboratori di frontiera la usano ogni giorno su sé stessi. Il principio è semplice: si prende un modello grande e performante, il teacher; lo si interroga su una quantità enorme di domande; si raccolgono le sue risposte; e con quelle risposte si addestra un modello più piccolo, lo student, che impara a imitarne il comportamento a una frazione del costo. Anthropic distilla Claude per ricavarne versioni leggere da mettere in produzione, e lo fanno un po’ tutti con i propri modelli. Avevamo speigato il meccanismo proprio sul caso DeepSeek, in Deep Seek ha copiato ChatGPT? Il problema della Knowledge Distillation.

Il punto delicato non è la tecnica, è il consenso: una cosa è distillare un modello che è tuo; un’altra è distillare il modello di un concorrente, a sua insaputa, attraverso migliaia di account falsi creati per aggirare i blocchi geografici e i limiti commerciali. Nel primo caso è ingegneria, nel secondo, sostiene Anthropic, è estrazione illecita: la differenza, come vedremo, è più facile da affermare che da dimostrare in tribunale. C’è anche una conseguenza tecnica che riguarda chi quei modelli li compra: lo student eredita le capacità del teacher, ma non sempre eredita i suoi freni: i guardrail di sicurezza. Per questo alcuni laboratori hanno iniziato a nascondere la catena di ragionamento dei propri modelli, perché un ragionamento in chiaro è molto più facile da distillare.

Anthropic accusa Alibaba: i numeri

25.000 account fraudolenti: secondo la lettera, datata 10 giugno e indirizzata al presidente della commissione bancaria del Senato Tim Scott e alla senatrice Elizabeth Warren, operatori legati ad Alibaba e a Qwen avrebbero usato quegli account per condurre oltre 28,8 milioni di conversazioni con Claude tra il 22 aprile e il 5 giugno 2026. Quarantaquattro giorni di lavoro metodico, l’obiettivo, dichiara Anthropic, erano le capacità più preziose del modello: il ragionamento agentico, l’ingegneria del software, il completamento di compiti complessi.

A febbraio 2026 Anthropic aveva già denunciato tre campagne su scala industriale, attribuite a DeepSeek, Moonshot e MiniMax: circa 24.000 account e 16 milioni di scambi, sommando tutti e tre. La sola operazione attribuita ad Alibaba supererebbe quel totale combinato, quindi non un episodio, ma l’azione più grande di una serie che continua ad aumentare.

Le parole di Dario Amodei sul caso Alibaba

Dario Amodei sulla distillazione ha una posizione che ha cambiato tono col tempo. Nel suo saggio sui controlli all’export, all’inizio del 2025, aveva scelto di non pronunciarsi sulle voci di distillazione dai modelli occidentali, prendendo DeepSeek in parola e concentrandosi sui chip. In un’intervista a ChinaTalk, però, l’aveva inquadrata per quello che è: un problema destinato a restare, come tutti i problemi di cybersicurezza, e aveva spiegato che proprio per renderla più difficile alcuni laboratori nascondono la catena di pensiero dei modelli.

La posizione ufficiale di Anthropic, nei documenti tecnici, è netta e dupliceo: la distillazione è una tecnica “legittima e ampiamente usata”, ma il modo in cui i laboratori cinesi l’avrebbero impiegata sarebbe stato “per scopi illeciti”. Tradotto: non è la tecnica a essere accusata, è il furto. Amodei chiede al governo due cose insieme, e qui possiamo vedere una contraddizione: protezione dai furti cinesi e, allo stesso tempo, la libertà di vendere i propri modelli più potenti, quelli che lo stesso governo ha appena sospeso, come avevamo raccontato in Claude Fable 5: bloccato dal Governo USA, ecco perché.

È illegale o è solo un contratto violato?

Ma è illegale la distillazione…qui la storia si fa interessante, perché la risposta giuridica non è netta. Partiamo dal diritto d’autore, lo strumento che verrebbe in mente per primo, in questo caso non è un istituto che può essere applicato. La giurisprudenza americana, dal caso Thaler in poi, richiede un autore umano perché un’opera sia tutelata; gli output di un modello, generati dalla macchina, in gran parte non lo sono. Anche dove lo fossero, il copyright protegge l’espressione, non il metodo: imitare il modo in cui Claude ragiona somiglia più a copiare un metodo, che i tribunali non proteggono, che a duplicare un testo. Lo studio legale Winston & Strawn lo aveva scritto chiaramente già sul caso DeepSeek: dimostrare una violazione di copyright è molto difficile.

Passiamo al segreto industriale, perché anche qui il terreno non è solido dal punto d vista legale. Un segreto, per restare tale, deve essere segreto: i pesi di un modello e i suoi metodi di addestramento lo sono, e si possono difendere; le risposte che il modello dà a chiunque paghi l’API, no. Sono visibili per definizione. Distillare quegli output, osservano i giuristi della Monash University che hanno analizzato il caso, significa copiare un comportamento, non un file: più vicino al reverse engineering che al furto.

Resta il contratto, ed è lì che Anthropic ha le carte migliori. I termini di servizio di quasi tutti i laboratori vietano espressamente l’estrazione automatica e l’uso degli output per addestrare modelli concorrenti, e violarli è quasi certamente una violazione contrattuale. Il problema è cosa ci ricavi. Lo studio Fenwick, in una delle analisi più citate, avverte che resta da capire se la violazione del contratto basti a proteggere davvero la proprietà intellettuale del proprietario del teacher, cioè se dia diritto a recuperare i profitti persi o a bloccare il modello distillato. Un contratto violato si risarcisce; un’idea drenata, forse, no.

C’è però un dettaglio del caso Alibaba che sposta l’ago della bilancia: i 25.000 account falsi. Una cosa è interrogare un’API con il proprio nome, un’altra è costruire una flotta di identità fittizie per aggirare i blocchi; qui si entra nel territorio dell’accesso fraudolento e della concorrenza sleale, dove le tutele esistono e mordono di più. Si gioca lì la partita, più che sul copyright. La verità scomoda è che una definizione giuridica condivisa di distillazione avversaria semplicemente non esiste ancora, e una disputa di queste dimensioni, senza una legge che la inquadri, tende a costringere il legislatore a scriverla. I senatori Bill Hagerty e Andy Kim ci stanno già provando, con un emendamento che vorrebbe sanzionare le aziende cinesi sorprese a estrarre gli output dei modelli americani.

I commenti sul caso  Anthropic VS Alibaba

Le reazioni più interessanti non arrivano dai comunicati, ma dai margini. Dalla Cina, Li Kai, esperto di diritto della tecnologia alla Tsinghua University, ha liquidato le accuse di Anthropic come una questione semplicemente aziendale: usare la cornice della sicurezza nazionale per ottenere ciò che una normale causa sulla proprietà intellettuale non potrebbe ottenere. Un’accusa difficile da sostenere, perché in fondo Anthropic chiede a una commissione del Senato di costruire un reato attorno a una tecnica che, a leggere la lettera, consiste nel fare domande a un’API pubblica.

C’è poi l’argomento che gli ingegneri cinesi ripetono dai tempi di DeepSeek, e che vale la pena riportare per onestà del dibattito: il progresso dell’AI, dicono, vive ormai in un’era di diffusione globale della conoscenza che non si può fermare, fatta di paper aperti e codice condiviso. Uno di loro, rispondendo proprio ad Amodei, l’aveva chiusa con una frase che pesa più di mille analisi: spegnere la candela di un altro non rende più luminosa la tua.

Qui si arriva poi ad qualcosa in qualche modo di ironico: l’azienda che oggi chiede tutele ferree per la proprietà intellettuale dei propri output è la stessa che, a settembre 2025, ha chiuso per un miliardo e mezzo di dollari la causa di migliaia di autori per aver addestrato Claude su libri presi senza permesso; ed è la stessa contro cui si era mossa Reddit, accusandola di aver prelevato i contenuti del social senza autorizzazione, vicenda che avevamo raccontato in Reddit denuncia Anthropic. Il mondo dell’AI, su questo, continua a mordersi la coda.

Perché la questione  Anthropic VS Alibaba interessa a CIO e CISO

Per chi guida l’IT di un’azienda, la storia di Anthropic VS Alibaba ha un risvolto molto concreto. Se la proprietà intellettuale di un modello può essere drenata attraverso un’API pubblica, allora ogni servizio costruito grazie alla tecnologia di un fornitore esterno eredita una nuova categoria di rischio: la distillazione, e quei modelli nati per distillazione tendono a ereditare le capacità del teacher senza i suoi guardrail di sicurezza. Noi questa storia la raccontiamo dal febbraio 2025, da quando OpenAI puntava il dito contro DeepSeek; e la sensazione, a ogni nuova accusa, è che cambino i nomi ma non la questione di fondo, quanto vale davvero un modello se basta un’API aperta per provare a copiarlo. In Italia il tema non è teorico, visto che Anthropic ha appena aperto a Milano e conta tra i suoi clienti enterprise nomi come Generali, Enel, Pirelli e Satispay, come abbiamo documentato in Anthropic apre a Milano. La dipendenza da un fornitore straniero resta una dipendenza, anche quando quel fornitore è la presunta vittima.

C’è un punto che per onestà va sottolineato: i numeri sono quelli dichiarati da Anthropic, non sono stati verificati in modo indipendente, e Alibaba non ha commentato le accuse. Sullo sfondo resta la guerra fredda tecnologica tra Washington e Pechino, di cui questa lettera è soltanto l’ultimo fotogramma, come avevamo analizzato in La guerra fredda dell’AI; e due giorni dopo l’invio della lettera, lo stesso governo a cui Anthropic chiedeva protezione le ha sospeso i modelli di punta, Fable 5 e Mythos 5, per timori sull’uso da parte della Cina. Manca, soprattutto, una definizione giuridica condivisa di cosa sia esattamente la distillazione avversaria e quando debba essere considerata illegale. Senza quella definizione, ogni accusa rischia di restare un braccio di ferro commerciale travestito da questione di sicurezza nazionale.