ECB varoval banky před kybernetickými hrozbami s využitím AI
Evropská centrální banka vydala oficiální varování pro všechny banky eurozóny, vyzývající je k posílení ochrany před kybernetickými útoky generovanými pokročilými modely umělé inteligence.
Mýtus o „Mythos“: Jak se nedostupnost AI stala hlavním systémovým rizikem evropského bankovního sektoru
Frank Elderson, místopředseda dozorčího mechanismu Evropské centrální banky, 13. května 2026 pronesl varování, které by za jiné zpravodajské situace bylo na titulních stranách: evropské banky se musí okamžitě, „právě teď“, připravit na kybernetické útoky využívající AI model úrovně Mythos od Anthropic, přestože k tomuto modelu nemají a ani nebudou mít přístup. Prohlášení zaznělo v rozhovoru pro interní bulletin ECB Supervision Newsletter – a právě tento, pro širokou veřejnost téměř neviditelný formát, odhaluje pravou podstatu dění. Regulátor spíše dokumentuje svůj postoj pro budoucí vyšetřování, než aby informoval trh.
Podstata: Co se skutečně děje
Formálně ECB varuje banky před novou třídou kybernetických hrozeb. Člen výkonné rady Frank Elderson doslova uvedl: „Nedostupnost [Mythos] neomlouvá nečinnost. Naopak, činí kriticky důležitým, aby banky zintenzivnily své úsilí a jednaly právě teď.“ Regulátor konstatuje, že velké americké banky, které získaly předčasný přístup k Mythos, již odstraňují zranitelnosti ve svých datových centrech odhalené AI modelem. Japonsko má získat přístup pro tři největší banky během dvou týdnů. Evropa zůstává mimo tento okruh.
Skutečná podstata Eldersonova prohlášení však není v kybernetické bezpečnosti jako takové. Jde o akt regulatorního outsourcingu odpovědnosti. ECB nemůže ochránit evropské banky před hrozbou, kterou ani není schopna posoudit. Proto přesouvá břemeno na samotné banky: připravte se na to, co nevidíte, a pokud se něco stane – my jsme varovali.
Tento vzorec je dobře známý každému, kdo sledoval evropský bankovní dohled v krizových okamžicích. Když regulátor nemá nástroje přímého působení, vytváří dokumentární stopu. Květen 2026 je právě takový okamžik: Mythos je schopen autonomně identifikovat a zneužívat zranitelnosti rychlostí, která je pro stávající nástroje nedostupná, a reverzně inženýrovat softwarové záplaty na exploity výrazně rychleji než dříve. Evropské banky, zbavené přístupu k tomuto nástroji, sledují americké konkurenty, kteří již zaplňují díry – a mohou jen hádat, jak jsou samy zranitelné.
Časová osa a kontext
Řetězec událostí vedoucí k Eldersonovu prohlášení se vyvinul rychle. V dubnu 2026 agentura Reuters informovala, že dozorčí orgán ECB hodlá po bankách požadovat informace o připravenosti na nový zdroj rizika – kybernetické útoky posílené AI. Ve stejném měsíci se objevily údaje, že velké americké banky s předčasným přístupem k Mythos urychleně odstraňují desítky zranitelností v datových systémech. Anthropic poskytla přístup pouze několika americkým organizacím – Amazon Web Services, Microsoft, Nvidia, Linux Foundation a JP Morgan – v rámci iniciativy Project Glasswing.
Začátkem května se situace vyostřila. Prezidentka ECB Christine Lagardeová uvedla, že centrální banka zkoumá mechanismy ochrany před útoky řízenými Mythos, ale je v nevýhodě kvůli nedostupnosti modelu. 12. května se objevila informace, že tři největší japonské banky s vysokou pravděpodobností získají přístup k Mythos během dvou týdnů. Evropa zůstává jediným velkým finančním blokem odříznutým od tohoto nástroje.
A 13. května vychází rozhovor s Eldersonem. Popisuje Mythos jako „zlomový bod v kybernetické bezpečnosti“ – nástroj schopný kombinovat zdánlivě nevýznamné zranitelnosti do závažných vektorů útoků. A zároveň přiznává, že evropské banky nemohou Mythos nejen používat k ochraně, ale ani posoudit rozsah vlastní zranitelnosti vůči němu.
Kdo vyhrává a kdo prohrává
Vyhrávají americké banky – ale ne tak, jak se na první pohled zdá. JP Morgan a další účastníci Project Glasswing získávají nejen ochranný nástroj, ale asymetrickou informační výhodu. Znají své zranitelnosti, vědí, jak je Mythos nachází – a mohou modelovat vektory útoků. Evropské banky jsou o tuto informaci ochuzeny, což je činí zranitelnějšími vůči útokům ze strany útočníků, kteří – zdůrazněme to – mohou používat Mythos nebo podobné modely, bez ohledu na to, zda k nim banky mají přístup.
Prohrávají evropské banky – strukturálně a možná nevratně. Nejde jen o nedostupnost konkrétního modelu. Data Binance Research ukazují, že útoky posílené AI přinášejí 4,5krát více prostředků na jeden útok a generují 9krát více transakční aktivity než tradiční metody. V roce 2025 vzrostl počet případů krádeže identity o 1400 % meziročně, 88 % všech deepfake podvodů souviselo s kryptoaktivy. Ačkoli jde o data z krypto průmyslu, metodologie útoků je univerzální – a evropské banky zůstávají bez nástroje, který by je mohl odhalovat.
Prohrává evropský regulátor jako instituce. Eldersonovo prohlášení je přiznáním strukturální slabosti. ECB nemůže donutit Anthropic k poskytnutí přístupu. Nemůže provést vlastní testování. Nemůže posoudit rozsah hrozby. Vše, co může udělat, je říci bankám „připravte se“. To není regulace, to je domlouvání.
Co média neříkají
První a nejkritičtější nevyřčený příběh: varování ECB přišlo tři měsíce poté, co ve Francii došlo k rozsáhlému úniku bankovních dat prostřednictvím státního registru – 1,2 milionu účtů bylo kompromitováno prostřednictvím odcizených přihlašovacích údajů státního zaměstnance. Nebyl to útok posílený AI, ale klasický útok s využitím sociálního inženýrství a kompromitovaných přihlašovacích údajů. Pokud se evropský bankovní systém nedokázal bránit útoku této úrovně, jak se připraví na Mythos, který dokáže „autonomně identifikovat a zneužívat zranitelnosti rychlostí a v rozsahu přesahujícím stávající nástroje“?
Druhý skrytý faktor: problém není jen v samotných bankách, ale v jejich dodavatelích. Elderson zvláště zdůraznil, že riziku je vystavena kritická infrastruktura a externí poskytovatelé služeb, které banky využívají. To znamená, že perimetr zranitelnosti je výrazně širší než bilance samotných bank. Zpracovatelské společnosti, cloudoví poskytovatelé, systémy SWIFT bran, datová centra – všechny mohou být kompromitovány prostřednictvím zranitelností, které AI podobná Mythos najde rychleji, než lidé stihnou je uzavřít. A zatímco američtí protějšky jsou testovány přes Mythos, evropští zůstávají „slepí“.
Třetí nedostatečně osvětlený aspekt: ekonomika AI útoků činí obranu zásadně dražší než útok. Binance Research uvádí: AI posílené exploity nyní stojí přibližně 1,22 USD za kontrakt a očekává se, že tato cena bude každé dva měsíce klesat o 22 %. To je radikálně asymetrická ekonomika. Při ceně útoku 1,22 USD musí banka utratit miliony dolarů na obranu. Při klesající ceně útoku bude tato propast jen růst. A pokud americké banky díky testování Mythos alespoň vědí, které zranitelnosti uzavřít jako první, evropské jsou nuceny bránit se proti všemu najednou – což je nemožné.
Prognóza: následujících 30 dní a 90 dní
30 dní (do poloviny června 2026):
Spouštěčem bude získání přístupu k Mythos japonskými bankami – očekává se v nejbližších dvou týdnech. Když Mitsubishi UFJ, Sumitomo Mitsui a Mizuho zahájí testování, objeví se první skutečný benchmark: kolik zranitelností Mythos najde ve velkých asijských bankách. Tato informace bude pravděpodobně neveřejná, ale trh se o rozsahu dozví prostřednictvím nepřímých znaků – nouzové aktualizace systémů, neplánované audity, růst výdajů na kybernetickou bezpečnost.
ECB, jak plánovala v dubnu, zahájí formální sběr informací od dohlížených bank o jejich připravenosti na AI útoky. Očekávám, že výsledky tohoto průzkumu budou znepokojivé a regulátor může vydat další směrnice. Je také pravděpodobné, že ECB zintenzivní diplomatické úsilí o získání přístupu k Mythos pro evropské banky – ale rychle se tak nestane.
90 dní (do poloviny srpna 2026):
Do konce léta se projeví strukturální nerovnost, která se nyní jen rýsuje. Banky s přístupem k pokročilým AI nástrojům (americké a pravděpodobně japonské) budou mít zásadně odlišný profil kybernetického rizika než evropské. Ratingové agentury mohou začít tento faktor zohledňovat při hodnocení úvěrových ratingů – zejména pokud dojde alespoň k jednomu významnému incidentu s AI posíleným útokem na evropskou banku.
Zpráva Quorum Cyber za rok 2026 již uvádí, že průměrné požadavky na výkupné v sektoru finančních služeb vzrostly o 179 % a počet nových ransomwarových skupin se zvýšil o 30 %. Jeden státem podporovaný aktér prokázal schopnost automatizovat až 90 % procesu narušení pomocí AI. Pokud tyto trendy přetrvají, do srpna se téměř nevyhnutelně stane některá z evropských bank obětí – a pak vyvstane otázka, které se ECB nyní snaží předejít svým varováním: proč se banka nepřipravila na hrozbu, na kterou regulátor varoval již v květnu.
Zasvěcený závěr: Eldersonovo prohlášení z 13. května není ani tak doporučením, jako spíše vytvořením regulatorního alibi. Až (ne pokud) se evropská banka stane terčem úspěšného útoku s využitím AI nástrojů třídy Mythos, ECB bude moci říci: varovali jsme, banka se měla připravit. Hluboký problém však zůstává nevyřešen: evropský bankovní systém byl odříznut od klíčového obranného nástroje v okamžiku, kdy se ekonomika kybernetických útoků radikálně posunula ve prospěch útočníků. To není technologická propast – je to strukturální zranitelnost zabudovaná do architektury globální finanční regulace.
— Editorial Team