הבנק המרכזי האירופי (ECB) לוחץ על הבנקים ברחבי גוש האירו להשקיע יותר כסף באבטחת סייבר, ומזהיר כי בינה מלאכותית (AI) מאיצה את ההיקף והמהירות של התקפות דיגיטליות. בהנחיה חדשה שנשלחה למוסדות המפוקחים, קבע ה-ECB כי הגידול באיומים המונעים על ידי AI מחייב שדרוג משמעותי בהוצאות ההגנה — לא רק שינויים מצטברים. הרגולטור הדגיש כי בנקים שלא יעמדו בקצב מסכנים לא רק את המערכות שלהם אלא גם את יציבות הרשת הפיננסית הרחבה יותר.
מדוע האזהרה מגיעה עכשיו
פושעי סייבר החלו להשתמש בכלים של AI יוצרת (Generative AI) ולמידת מכונה כדי ליצור מיילי פישינג משכנעים יותר, לסרוק אוטומטית פרצות אבטחה, ולעקוף מערכות זיהוי מסורתיות. הערכת ה-ECB, ששותפה עם בנקים בשבועות האחרונים, מציינת כי התקפות אלו מגיעות מהר יותר ועם פחות סימנים מחשידים. פרטי כניסה (credentials) אחד שנפרץ עלול להוביל לפריצה חוצת גבולות לפני שצוות האבטחה של הבנק אבחן את החדירה. מסר הבנק המרכזי הוא חד משמעי: הספר הישן לא יעבוד.
העיתוי אינו מקרי. הבנקים באירופה כבר מתמודדים עם כללי הון מחמירים יותר וכלכלה איטית. הוספת מירוץ חימוש בתחום אבטחת הסייבר לתמהיל זה לוחצת על התקציבים, אך ה-ECB מבהיר כי תת-השקעה אינה עוד אופציה. מסמכים פנימיים של ECB שנבדקו על ידי GFdaily מתארים את סביבת האיומים הנוכחית כ"חסרת תקדים במהירות ובהיקף", אף שהבנק סירב לפרט על אירועים ספציפיים שהובילו להתרעה.
מה ECB דורש
ההנחיה אינה קובעת יעד הוצאה ספציפי — לא אחוז מההכנסות ולא סכום קבוע ביורו. במקום זאת, היא מבקשת מכל בנק לערוך הערכת סיכונים חדשה המתמקדת בוקטורי התקפה מבוססי AI ולהציג תוכנית השקעה רב-שנתית. תוכניות אלו חייבות להראות צעדים קונקרטיים: גיוס צוות מומחה, שדרוג תוכנת זיהוי איומים, וביצוע סימולציות "צוות אדום" (red-team) המחקות התקפות מונעות AI. בנקים שיתמהמהו עלולים לצפות לביקורות תכופות יותר במקום, ובמקרים קיצוניים, דרישות הון גבוהות יותר הקשורות לסיכון סייבר.
ECB גם רוצה שבנקים ישתפו מידע על איומים באופן אגרסיבי יותר. "אף בנק אינו אי יותר", נכתב בהנחיה. "שיתוף פעולה על דפוסי התקפה וכלי הגנה חיוני למערכת כולה". מספר בנקים גדולים בגוש האירו כבר החלו לאחד נתונים דרך פלטפורמת ניסיון המנוהלת על ידי הרשות הבנקאית האירופית (EBA), ו-ECB מצפה שהמאמץ יתרחב.
התמונה הרגולטורית הרחבה יותר
הדחיפה הזו מפרנקפורט מתיישרת עם מגמה רגולטורית רחבה יותר. חוק החוסן התפעולי הדיגיטלי של האיחוד האירופי (DORA), שנכנס לתוקף בינואר 2025, כבר דורש מחברות פיננסיות לבדוק את הגנות הסייבר שלהן באופן קבוע ולדווח על אירועים משמעותיים תוך שעות. הקריאה האחרונה של ECB הולכת רחוק יותר ומתמקדת בממד ה-AI במיוחד. זהו סימן לכך שהרגולטורים רואים בטכנולוגיה איום נפרד, לא רק פריט נוסף ברשימת הסיכונים.
בנקים קטנים, שלעתים קרובות חסרים את הכיסים העמוקים של יריביהם הגדולים, עומדים בפני האתגר הגדול ביותר. ECB הכיר בפער הזה ובוחן האם להציע שירותי אבטחת סייבר משותפים או רכישה מתואמת של כלי הגנה. עדיין לא הוכרזה תוכנית מגובשת, אך מועצת הבנק המרכזי צפויה לדון באפשרויות בפגישתה ביוני.
לעת עתה, השעון מתקתק. לבנקים יש עד סוף הרבעון השלישי להגיש את הערכות הסיכון ב-AI ואת מפות הדרכים להשקעה. מי שיחמיצו את המועד יעמדו בפני בדיקה רשמית, ובפוטנציה, פרסום שמות בדוחות הפיקוח של ECB.
