A 23 anni, un fondatore chiede agli investitori di scommettere 20 miliardi di dollari su una startup di tre anni. È la storia di Mercor, un marketplace per l’addestramento dei modelli AI, che secondo Bloomberg ha già in mano almeno un term sheet a quella valutazione. Ma le note a piè di pagina di questa corsa al rialzo raccontano anche di un incidente recente che potrebbe raffreddare gli entusiasmi: pochi mesi fa un data breach ha fatto perdere all’azienda il cliente più ambito, Meta.

Mercor opera come intermediario tra le aziende che hanno bisogno di dataset etichettati e una rete globale di annotatori umani. Un anello critico nella filiera dell’intelligenza artificiale, tanto più quando in gioco ci sono big tech come Meta, i cui progetti richiedono volumi enormi di dati sottoposti a rigorosi vincoli di riservatezza. L’incidente, i cui dettagli restano privati, ha spinto Meta a interrompere la collaborazione, un colpo che per molte startup sarebbe stato fatale, ma che qui sembra quasi un dettaglio di fronte a una valutazione che lievita.

I numeri sono abbaglianti: raggiungere 20 miliardi porterebbe Mercor nella ristrettissima cerchia delle aziende AI più valutate al mondo, nonostante un fatturato e una scala ancora difficili da confrontare con i giganti del settore. I term sheet non sono round chiusi, ma dimostrano un appetito che il mercato continua a nutrire per la data economy, anche quando emergono crepe nella governance.

E proprio qui si innesta il nodo sovranità e sicurezza. Per le imprese che affidano a terzi l’elaborazione dei dati di addestramento, un breach non è solo un incidente tecnico: è un rischio esistenziale che può innescare audit, penali contrattuali e un effetto domino sulla fiducia di tutta la clientela enterprise. Con l’entrata a regime del GDPR e l’arrivo dell’AI Act europeo, la responsabilità sui dati si estende lungo l’intera catena di fornitura. Non sorprende che molte organizzazioni stiano accelerando verso modelli di deployment che riducono la superficie d’attacco: pipeline on-premise, ambienti ibridi per il fine-tuning, data curation interna. Non si tratta di abbandonare il cloud, ma di scegliere dove collocare i processi più sensibili. Chi valuta queste opzioni incontra trade-off noti: il TCO (TCO) di un’infrastruttura self-hosted per LLM può essere elevato, ma il controllo sui dati e la prevedibilità dei costi operativi spostano l’ago della bilancia quando la compliance è in cima alla lista delle priorità.

La vicenda Mercor non dice se il mercato premierà la trasparenza o se la memoria degli investitori sarà corta. Dice però che nell’AI, come nell’energia, una perdita di dati può rendere rischiosa anche la piattaforma più promettente.