La BCE ha comunicato ufficialmente alle banche della zona euro di rafforzare urgentemente la propria cybersecurity in risposta agli strumenti di attacco guidati dall’intelligenza artificiale. Il comunicato trasforma una precedente guida riservata in un’aspettativa di vigilanza concreta, segnando un passaggio chiaro dal consiglio alla regola.
Frank Elderson, vicepresidente del Meccanismo di Vigilanza Unico della BCE, ha usato un linguaggio che suggerisce proprio un irrigidimento regolamentare dettato in questo caso da Mythos, il modello AI di Anthropic capace di scoprire e sfruttare vulnerabilità di sicurezza informatica a velocità mai viste prima.
Al momento l’accesso a Mythos è limitato a circa 40–50 organizzazioni tra cui alcune banche statunitensi, ma nessuna istituzione della zona euro figura nella lista. La posizione della BCE, ribadita da Elderson all’inizio del mese, è netta: “la mancanza di accesso non è una scusa per l’inazione”.
Anche per questo, secondo la BCE, le banche devono ora assumere che gli attaccanti avranno accesso a strumenti AI di capacità comparabile, indipendentemente dal fatto che i difensori ne siano provvisti. Le implicazioni di vigilanza sono profonde. I tradizionali cicli mensili di aggiornamento software non sono infatti più sufficienti, i rapporti con i contractor devono essere auditati per lo stesso rischio e l’intera postura istituzionale sulla gestione delle vulnerabilità deve comprimersi ai tempi dell’AI.
Crediti: Shutterstock
La BCE integrerà la preparazione cyber-AI nei dialoghi di vigilanza con le singole banche. Non è stato pubblicato un elenco tecnico specifico di controlli, soprattutto perché la superficie di attacco evolve più velocemente di qualsiasi checklist statica possa catturare. L’aspettativa implicita però è che le banche trattino ogni vulnerabilità non patchata come un bersaglio sfruttabile e che il tempo medio di patch per i sistemi critici passi da settimane a giorni o ore.
Le banche più piccole della zona euro, che storicamente hanno affidato a fornitori esterni la infrastruttura tecnica, si trovano in una posizione più debole rispetto ai grandi gruppi bancari universali. La BCE ha evidenziato anche l’esposizione da contractor come problema asimmetrico, visto che la maggior parte delle banche eurozona ha una lunga catena di fornitori di software con “disciplina di patch” disomogenea.
Nel frattempo, BNP Paribas sta lavorando pubblicamente con Mistral su una risposta europea sovrana a Mythos e gli stessi regolatori europei sono in trattative con Anthropic da settimane per ampliare l’accesso a Mythos alle istituzioni EU. Le banche della zona euro hanno intanto fino alla fine del 2026 per dimostrare la prontezza rispetto alla nuova postura della BCE, con i dialoghi di vigilanza formali che inizieranno nell’estate.
