Σχέδια άμεσης και μακροπρόθεσμης δράσης για την αντιμετώπιση κυβερνοαπειλών που ενισχύονται από προηγμένα συστήματα AI ζήτησε η Ευρωπαϊκή Κεντρική Τράπεζα από τις 110 τράπεζες που εποπτεύει άμεσα. Η ΕΚΤ έθεσε ως προθεσμία την 31η Οκτωβρίου, καλώντας τα πιστωτικά ιδρύματα να εξηγήσουν πώς θα προστατεύσουν εκτεθειμένα συστήματα, λογισμικό τρίτων και κρίσιμες υποδομές πληροφορικής. Στην επιστολή προς τους διευθύνοντες συμβούλους, η επικεφαλής του Εποπτικού Συμβουλίου, Κλάουντια Μπουχ, ζήτησε οι σχετικές παρεμβάσεις να καθοδηγηθούν από την ανώτατη διοίκηση και να ενταχθούν στη συνολική διαχείριση τεχνολογικού κινδύνου.
Η παρέμβαση συνδέεται με τις αυξανόμενες δυνατότητες μοντέλων όπως το Mythos της Anthropic, το οποίο η εταιρεία παρουσιάζει ως ιδιαίτερα ισχυρό στον εντοπισμό ευπαθειών και στη δημιουργία λειτουργικών exploits. Η ΕΚΤ χαρακτηρίζει την εξέλιξη μακροπρόθεσμη μεταβολή των απειλών, επισημαίνοντας ότι οι συγκεκριμένες τεχνολογίες ενισχύουν σημαντικά την ταχύτητα και την κλίμακα με την οποία μπορούν να εκδηλωθούν υφιστάμενοι κίνδυνοι. Κατά την Μπουχ, οι δυνατότητες αυτές έχουν δυνητικά σοβαρές επιπτώσεις στην εμπιστευτικότητα, την ακεραιότητα και την ανθεκτικότητα των συστημάτων τεχνολογίας πληροφοριών και επικοινωνιών των τραπεζών.
Προτεραιότητα σε ευπάθειες και παλαιά συστήματα
Στις βασικές προτεραιότητες περιλαμβάνονται η ταχύτερη διαχείριση ευπαθειών, η επιτάχυνση των ενημερώσεων ασφαλείας και η ισχυρότερη παρακολούθηση με εργαλεία AI για τον εντοπισμό ύποπτης δραστηριότητας. Η ΕΚΤ ζητά επίσης αυξημένη προστασία για συστήματα που είναι προσβάσιμα από το διαδίκτυο, για στοιχεία ανοικτού κώδικα και για άλλους τεχνολογικούς πόρους που βρίσκονται περισσότερο εκτεθειμένοι. Παράλληλα, τα σχέδια πρέπει να περιγράφουν αυστηρότερο έλεγχο τρίτων παρόχων, των εξαρτήσεων από την αλυσίδα εφοδιασμού λογισμικού και των κινδύνων που μπορούν να μεταφερθούν στις τράπεζες μέσω κοινών εξωτερικών συνεργατών.
Η εποπτική αρχή καλεί ακόμη τις τράπεζες να εκσυγχρονίσουν παλαιά τεχνολογικά συστήματα, να βελτιώσουν τη βασική κυβερνοϋγιεινή και να ενισχύσουν τις διαδικασίες διαχείρισης κρίσεων, ανάκαμψης και ανταλλαγής πληροφοριών. Για να διαθέσουν περισσότερους πόρους στη νέα απαίτηση, η ΕΚΤ μετέθεσε το ετήσιο IT Risk Questionnaire από τον Σεπτέμβριο του 2026 στον Φεβρουάριο του 2027, ενώ ενδέχεται να προσαρμόσει επιθεωρήσεις και άλλες εποπτικές εργασίες κατά περίπτωση. Μετά την προθεσμία, θα εξετάσει κάθε σχέδιο χωριστά και θα πραγματοποιήσει οριζόντια αξιολόγηση του κλάδου, αναζητώντας κοινές αδυναμίες και πρακτικές που μπορούν να αξιοποιηθούν ευρύτερα.
Διαφορετική προσέγγιση σε Λονδίνο και Ουάσιγκτον
Περισσότερο δεσμευτική εμφανίζεται η στάση της ΕΚΤ από εκείνη που περιέγραψαν την ίδια ημέρα η Τράπεζα της Αγγλίας και η Federal Reserve. Ο διοικητής της Τράπεζας της Αγγλίας, Άντριου Μπέιλι, χαρακτήρισε εύλογη την ευρωπαϊκή προειδοποίηση, αλλά υποστήριξε μια λιγότερο κανονιστική προσέγγιση, με έμφαση στην ανταλλαγή γνώσης για τις ευπάθειες και στη συνεργασία μεταξύ εποπτών και τραπεζών. Η βρετανική αρχή έχει επανειλημμένα καλέσει τα πιστωτικά ιδρύματα να ενισχύσουν την κυβερνοάμυνά τους, αποφεύγοντας έως τώρα τη θέσπιση δημόσιας προθεσμίας αντίστοιχης με εκείνη της ΕΚΤ.
Στις ΗΠΑ, η αντιπρόεδρος της Federal Reserve για την εποπτεία, Μισέλ Μπόουμαν, έδωσε έμφαση στην υπεύθυνη υιοθέτηση του AI, στην αναλογικότητα και σε ηπιότερη εποπτική μεταχείριση για χρήσεις χαμηλότερου κινδύνου. Η τοποθέτησή της επικεντρώθηκε στη διακυβέρνηση, στους εσωτερικούς ελέγχους και στη διαχείριση κινδύνων, με στόχο να υποστηριχθεί η καινοτομία. Η ΕΚΤ, αντίθετα, επέλεξε συγκεκριμένη προθεσμία και συγκριτική εξέταση των σχεδίων. Κυρώσεις για ενδεχόμενη μη συμμόρφωση δεν έχουν προγραμματιστεί, όμως η ευρωπαϊκή εποπτική αρχή μπορεί να χρησιμοποιήσει τα υποβληθέντα σχέδια για συγκρίσεις μεταξύ τραπεζών και για στοχευμένες παρεμβάσεις όπου εντοπιστούν ελλείψεις.
Ο ESRB προειδοποιεί για συστημικό κίνδυνο
Παράλληλα, το Ευρωπαϊκό Συμβούλιο Συστημικού Κινδύνου προειδοποίησε ότι οι δυνατότητες προηγμένων μοντέλων AI πρέπει να αντιμετωπίζονται ως πηγή συστημικού κινδύνου για το χρηματοπιστωτικό σύστημα. Ο ESRB εκτιμά ότι μεγάλης κλίμακας κυβερνοδιαταραχές μπορούν να υπονομεύσουν την εμπιστοσύνη σε χρηματοπιστωτικούς οργανισμούς και να προκαλέσουν μαζικές εκροές από ιδρύματα ή χώρες που θεωρούνται λιγότερο ασφαλή. Στα σενάρια που εξετάζει περιλαμβάνονται κρατικά υποστηριζόμενη κατασκοπεία, συντονισμένες επιθέσεις σε πληρωμές, εκκαθάριση και διακανονισμό, καθώς και επιχειρήσεις παραπληροφόρησης που μπορούν να εντείνουν τις επιπτώσεις μιας τεχνολογικής διακοπής.
Ιδιαίτερη ανησυχία προκαλεί η πιθανότητα τα περιστατικά να εξαπλωθούν γρήγορα μέσω κοινών τεχνολογικών παρόχων, λογισμικού που χρησιμοποιείται από πολλές επιχειρήσεις και λειτουργικών σημείων συμφόρησης του χρηματοπιστωτικού τομέα. Ο ESRB σημειώνει ότι χωρίς συντονισμένη ευρωπαϊκή δράση οι κίνδυνοι μπορούν να εξελιχθούν σε δομικές ευπάθειες, αυξάνοντας την πιθανότητα διαταραχής σε επίπεδο συστήματος. Η επιστολή της ΕΚΤ αναφέρεται επίσης στην κβαντική υπολογιστική, η οποία αναμένεται να επηρεάσει σημαντικά το τοπίο της κυβερνοασφάλειας. Η εποπτική αρχή σχεδιάζει να εξετάσει το συγκεκριμένο ζήτημα με ξεχωριστή εποπτική επιστολή σε μεταγενέστερο χρόνο.
