Europeiska centralbanken pressar långivare i hela euroområdet att satsa mer pengar på cybersäkerhet och varnar för att artificiell intelligens turboökar omfattningen och hastigheten på digitala attacker. I en ny direktiv som skickats till övervakade institutioner säger ECB att den ökande mängden AI-drivna hot kräver en betydande uppgradering av försvarsutgifterna – inte bara stegvisa justeringar. Banker som inte håller jämna steg riskerar inte bara sina egna system utan också stabiliteten i det bredare finansiella nätverket, betonar tillsynsmyndigheten.
Varför varningen kommer nu
Cyberbrottslingar har börjat använda generativ AI och maskininlärningsverktyg för att skapa mer övertygande phishingmejl, automatisera sårbarhetsskanningar och kringgå traditionella detektionssystem. ECB:s bedömning, som delats med banker under de senaste veckorna, noterar att dessa attacker kommer snabbare och med färre tydliga tecken. En enda komprometterad inloggningsuppgift kan eskalera till en gränsöverskridande intrång innan bankens säkerhetsteam ens upptäcker intrånget. Centralbankens budskap är tydligt: den gamla spelboken duger inte.
Tidpunkten är ingen slump. Europeiska banker brottas redan med strängare kapitalregler och en trög ekonomi. Att lägga en kapprustning inom cybersäkerhet till den mixen anstränger budgetarna, men ECB gör klart att underinvestering inte längre är ett alternativ. Interna ECB-dokument som granskats av GFdaily beskriver den nuvarande hotmiljön som ”oöverträffad i hastighet och räckvidd”, även om banken avböjde att specificera enskilda händelser som utlöst varningen.
Vad ECB kräver
Direktivet anger inte något specifikt utgiftsmål – ingen procentandel av intäkterna eller fast eurobelopp. Istället ber man varje bank att göra en ny riskbedömning med fokus på AI-aktiverade attackvektorer och presentera en flerårig investeringsplan. Planerna måste visa konkreta åtgärder: anställa specialiserad personal, uppgradera programvara för hotdetektion och genomföra red-team-simuleringar som efterliknar AI-drivna intrång. Banker som drar fötterna efter sig kan förvänta sig tätare inspektioner på plats och, i extrema fall, högre kapitalbuffertar kopplade till cyberrisk.
ECB vill också att långivare delar hotinformation mer aggressivt. ”Ingen bank är längre en ö”, står det i direktivet. ”Samarbete om attackmönster och försvarsverktyg är avgörande för systemet som helhet.” Flera stora banker i euroområdet har redan börjat samla data via en pilotplattform som drivs av Europeiska bankmyndigheten, och ECB förväntar sig att den insatsen utökas.
Den bredare regleringsbilden
Denna påtryckning från Frankfurt ligger i linje med en bredare regleringsutveckling. EU:s förordning om digital operativ motståndskraft (DORA), som trädde i kraft i januari 2025, kräver redan att finansiella företag regelbundet testar sitt cyberförsvar och rapporterar större incidenter inom timmar. ECB:s senaste uppmaning går längre genom att specifikt fokusera på AI-dimensionen. Det är ett tecken på att tillsynsmyndigheter ser tekniken som ett distinkt hot, inte bara ytterligare en punkt på risklistan.
Mindre banker, som ofta saknar sina större konkurrenters djupa fickor, står inför den brantaste uppförsbacken. ECB har erkänt den skillnaden och undersöker om man kan erbjuda gemensamma cybersäkerhetstjänster eller samordnad upphandling av försvarsverktyg. Ingen fast plan har tillkännagivits, men centralbankens styrelse väntas diskutera alternativ vid sitt junimöte.
För nu tickar klockan. Bankerna har till slutet av tredje kvartalet på sig att lämna in sina AI-riskbedömningar och investeringsplaner. De som missar deadline kommer att möta en formell granskning och potentiellt offentlig namngivning i ECB:s tillsynsrapporter.
