Den europeiske sentralbanken presser långivere i eurosonen til å pumpe mer penger inn i cybersikkerhet, og advarer om at kunstig intelligens forsterker omfanget og hastigheten på digitale angrep. I et nytt direktiv sendt til tilsynsunderlagte institusjoner uttalte ECB at økningen i AI-drevne trusler krever en betydelig oppgradering av forsvarsutgiftene – ikke bare trinnvise justeringer. Banker som ikke holder tritt, risikerer ikke bare sine egne systemer, men stabiliteten i det bredere finansnettverket, understreket tilsynsmyndigheten.
Hvorfor advarselen kommer nå
Cyberkriminelle har begynt å bruke generativ AI og maskinlæringsverktøy for å lage mer overbevisende phishing-e-poster, automatisere sårbarhetsskanninger og omgå tradisjonelle deteksjonssystemer. ECB sin vurdering, delt med banker de siste ukene, bemerker at disse angrepene kommer raskere og med færre tegn. En enkelt kompromittert legitimasjon kan eskalere til et grenseoverskridende brudd før bankens sikkerhetsteam i det hele tatt oppdager inntrengningen. Sentralbankens budskap er tydelig: den gamle oppskriften holder ikke.
Tidspunktet er ingen tilfeldighet. Europeiske banker sliter allerede med strengere kapitalkrav og en treg økonomi. Å legge et cybersikkerhetskappløp til den blandingen belaster budsjettene, men ECB gjør det klart at underinvestering ikke lenger er et alternativ. Interne ECB-dokumenter gjennomgått av GFdaily beskriver det nåværende trusselmiljøet som «enestående i hastighet og rekkevidde», selv om banken avsto fra å utdype spesifikke hendelser som utløste varselet.
Hva ECB krever
Direktivet går ikke så langt som å sette et spesifikt utgiftsmål – ingen prosentandel av inntekter eller fast eurobeløp. I stedet ber det hver bank om å gjennomføre en ny risikovurdering fokusert på AI-aktiverte angrepsvektorer og presentere en flerårig investeringsplan. Disse planene må vise konkrete skritt: ansette spesialiserte ansatte, oppgradere programvare for trusseldeteksjon og kjøre red-team-simuleringer som etterligner AI-drevne inntrengninger. Banker som somler, kan forvente hyppigere inspeksjoner på stedet og, i ekstreme tilfeller, høyere kapitalbuffere knyttet til cyberrisiko.
ECB vil også at långivere skal dele trusselintelligens mer aggressivt. «Ingen bank er en øy lenger,» heter det i direktivet. «Samarbeid om angrepsmønstre og defensive verktøy er avgjørende for systemet som helhet.» Flere store banker i eurosonen har allerede begynt å samle data gjennom en pilotplattform drevet av Den europeiske banktilsynsmyndigheten, og ECB forventer at dette arbeidet utvides.
Det bredere regulatoriske bildet
Denne innsatsen fra Frankfurt er i tråd med en bredere regulatorisk trend. EUs forordning om digital operasjonell motstandsdyktighet (DORA), som trådte i kraft i januar 2025, krever allerede at finansforetak regelmessig tester sine cyberforsvar og rapporterer store hendelser innen få timer. ECB sin siste oppfordring går lenger ved å fokusere spesifikt på AI-dimensjonen. Det er et tegn på at regulatorer ser teknologien som en distinkt trussel, ikke bare nok en post på risikosjekklisten.
Mindre banker, som ofte mangler de dype lommene til sine større konkurrenter, har den bratteste stigningen. ECB har erkjent denne forskjellen og vurderer om de skal tilby felles cybersikkerhetstjenester eller koordinert anskaffelse av defensive verktøy. Ingen konkret plan er kunngjort, men sentralbankens styre forventes å diskutere alternativer på sitt junimøte.
For nå tikker klokken. Bankene har frist til slutten av tredje kvartal for å levere sine AI-risikovurderinger og investeringsplaner. De som overskrider fristen, vil møte en formell gjennomgang og potensielt offentlig navngivning i ECB sine tilsynsrapporter.
