La Banca centrale europea sta spingendo gli istituti di credito dell’eurozona a investire più risorse nella cybersecurity, avvertendo che l’intelligenza artificiale sta amplificando la portata e la velocità degli attacchi digitali. In una nuova direttiva inviata agli enti vigilati, la BCE ha dichiarato che l’aumento delle minacce guidate dall’IA richiede un significativo potenziamento della spesa per la difesa — non semplici ritocchi incrementali. Le banche che non tengono il passo rischiano non solo i propri sistemi, ma la stabilità dell’intera rete finanziaria, ha sottolineato l’autorità di regolamentazione.
Perché l’avvertimento arriva ora
I criminali informatici hanno iniziato a utilizzare l’IA generativa e gli strumenti di machine learning per creare email di phishing più convincenti, automatizzare la scansione delle vulnerabilità e eludere i sistemi di rilevamento tradizionali. La valutazione della BCE, condivisa con le banche nelle ultime settimane, rileva che questi attacchi arrivano più velocemente e con meno segnali rivelatori. Una singola credenziale compromessa può innescare una violazione transfrontaliera prima ancora che il team di sicurezza della banca si accorga dell’intrusione. Il messaggio della banca centrale è netto: il vecchio manuale non basta più.
La tempistica non è casuale. Le banche europee stanno già affrontando norme patrimoniali più severe e un’economia stagnante. Aggiungere una corsa agli armamenti informatici a questo mix mette a dura prova i bilanci, ma la BCE chiarisce che sottoinvestire non è più un’opzione. Documenti interni della BCE visionati da GFdaily descrivono l’attuale contesto di minaccia come “senza precedenti per velocità e portata”, sebbene la banca abbia rifiutato di fornire dettagli sugli episodi specifici che hanno scatenato l’allerta.
Cosa chiede la BCE
La direttiva non fissa un obiettivo di spesa specifico — nessuna percentuale del fatturato o importo fisso in euro. Chiede invece a ciascuna banca di condurre una nuova valutazione del rischio incentrata sui vettori di attacco basati sull’IA e di presentare un piano di investimenti pluriennale. Tali piani devono mostrare misure concrete: assunzione di personale specializzato, aggiornamento del software di rilevamento delle minacce e simulazioni red-team che imitano le intrusioni guidate dall’IA. Le banche che temporeggiano possono aspettarsi ispezioni in loco più frequenti e, in casi estremi, requisiti patrimoniali più elevati legati al rischio informatico.
La BCE vuole anche che gli istituti condividano in modo più aggressivo le informazioni sulle minacce. “Nessuna banca è più un’isola”, afferma la direttiva. “La collaborazione sui modelli di attacco e sugli strumenti difensivi è essenziale per l’intero sistema.” Diverse grandi banche dell’eurozona hanno già iniziato a mettere in comune i dati attraverso una piattaforma pilota gestita dall’Autorità bancaria europea, e la BCE si aspetta che questo sforzo si espanda.
Il quadro normativo più ampio
Questa spinta da Francoforte si allinea con una tendenza normativa più ampia. Il regolamento dell’UE sulla resilienza operativa digitale (DORA), entrato in vigore nel gennaio 2025, richiede già agli istituti finanziari di testare regolarmente le proprie difese informatiche e di segnalare gli incidenti gravi entro poche ore. L’ultimo appello della BCE va oltre, concentrandosi specificamente sulla dimensione dell’IA. È un segnale che i regolatori considerano la tecnologia una minaccia distinta, non solo un altro elemento nella lista dei rischi.
Le banche più piccole, che spesso non hanno le risorse finanziarie dei grandi rivali, affrontano la salita più ripida. La BCE ha riconosciuto questa disparità e sta valutando se offrire servizi di cybersecurity condivisi o acquisti coordinati di strumenti difensivi. Non è stato annunciato alcun piano definitivo, ma il consiglio della banca centrale dovrebbe discutere le opzioni nella riunione di giugno.
Per ora, il tempo stringe. Le banche hanno tempo fino alla fine del terzo trimestre per presentare le loro valutazioni del rischio IA e le roadmap di investimento. Quelle che non rispettano la scadenza dovranno affrontare una revisione formale e, potenzialmente, una menzione pubblica nei rapporti di vigilanza della BCE.
