Bank Sentral Eropa (ECB) mendesak bank-bank di seluruh zona euro untuk mengalokasikan lebih banyak dana ke keamanan siber, memperingatkan bahwa kecerdasan buatan (AI) mempercepat skala dan kecepatan serangan digital. Dalam arahan baru yang disampaikan kepada lembaga yang diawasi, ECB menyatakan bahwa lonjakan ancaman yang digerakkan oleh AI memerlukan peningkatan signifikan dalam belanja pertahanan — bukan sekadar penyesuaian kecil. Bank yang gagal mengimbangi risiko ini tidak hanya membahayakan sistem mereka sendiri, tetapi juga stabilitas jaringan keuangan yang lebih luas, tegas regulator tersebut.
Mengapa peringatan ini muncul sekarang
Para pelaku kejahatan siber mulai mempersenjatai alat generative AI dan machine learning untuk membuat email phishing yang lebih meyakinkan, mengotomatiskan pemindaian kerentanan, dan menghindari sistem deteksi tradisional. Penilaian ECB, yang dibagikan kepada bank dalam beberapa pekan terakhir, mencatat bahwa serangan ini datang lebih cepat dan dengan lebih sedikit tanda-tanda yang mencolok. Satu kredensial yang dikompromikan dapat memicu pelanggaran lintas batas sebelum tim keamanan bank bahkan menyadari adanya intrusi. Pesan bank sentral ini tegas: strategi lama tidak akan berhasil lagi.
Waktu peringatan ini bukan kebetulan. Bank-bank Eropa sudah bergulat dengan aturan modal yang lebih ketat dan ekonomi yang lesu. Menambahkan perlombaan senjata keamanan siber ke dalam campuran ini membebani anggaran, tetapi ECB memperjelas bahwa investasi yang kurang tidak lagi menjadi pilihan. Dokumen internal ECB yang ditinjau oleh GFdaily menggambarkan lingkungan ancaman saat ini sebagai "belum pernah terjadi sebelumnya dalam hal kecepatan dan jangkauan," meskipun bank sentral menolak merinci insiden spesifik yang memicu peringatan tersebut.
Apa yang diminta ECB
Arahan tersebut tidak menetapkan target belanja spesifik — tidak ada persentase pendapatan atau jumlah euro tetap. Sebagai gantinya, ECB meminta setiap bank untuk melakukan penilaian risiko baru yang berfokus pada vektor serangan yang didukung AI dan menyajikan rencana investasi multi-tahun. Rencana tersebut harus menunjukkan langkah-langkah konkret: merekrut staf khusus, meningkatkan perangkat lunak deteksi ancaman, dan menjalankan simulasi red-team yang meniru serangan berbasis AI. Bank yang lamban dapat menghadapi inspeksi di tempat yang lebih sering dan, dalam kasus ekstrem, peningkatan penyangga modal yang terkait dengan risiko siber.
ECB juga ingin bank berbagi intelijen ancaman secara lebih agresif. "Tidak ada bank yang menjadi pulau lagi," demikian pernyataan arahan tersebut. "Kolaborasi tentang pola serangan dan alat pertahanan sangat penting bagi sistem secara keseluruhan." Beberapa bank besar zona euro telah mulai mengumpulkan data melalui platform percontohan yang dijalankan oleh Otoritas Perbankan Eropa, dan ECB mengharapkan upaya itu diperluas.
Gambaran regulasi yang lebih luas
Dorongan dari Frankfurt ini sejalan dengan tren regulasi yang lebih luas. Undang-Undang Ketahanan Operasional Digital (DORA) Uni Eropa, yang mulai berlaku pada Januari 2025, sudah mewajibkan perusahaan keuangan untuk menguji pertahanan siber mereka secara teratur dan melaporkan insiden besar dalam hitungan jam. Panggilan terbaru ECB melangkah lebih jauh dengan berfokus secara khusus pada dimensi AI. Ini merupakan tanda bahwa regulator melihat teknologi sebagai ancaman yang berbeda, bukan sekadar item lain dalam daftar periksa risiko.
Bank-bank kecil, yang seringkali kekurangan dana besar dibandingkan pesaing mereka yang lebih besar, menghadapi tantangan paling berat. ECB telah mengakui kesenjangan itu dan sedang menjajaki apakah akan menawarkan layanan keamanan siber bersama atau pengadaan alat pertahanan yang terkoordinasi. Belum ada rencana pasti yang diumumkan, tetapi dewan bank sentral diperkirakan akan membahas opsi pada pertemuan Juni mendatang.
Untuk saat ini, waktu terus berjalan. Bank memiliki waktu hingga akhir kuartal ketiga untuk menyerahkan penilaian risiko AI dan peta jalan investasi mereka. Mereka yang melewatkan tenggat waktu akan menghadapi tinjauan formal dan, berpotensi, disebutkan secara publik dalam laporan pengawasan ECB.
