EBC ostrzegł banki przed nowymi cyberzagrożeniami z użyciem AI
Europejski Bank Centralny wydał ostrzeżenie dla wszystkich banków o konieczności przygotowania się na cyberataki sterowane sztuczną inteligencją, w tym zaawansowane modele. Regulator odnotował również pojawienie się oznak stagflacji w gospodarce regionu.
Cybertarcza z dziurą: jak wyścig zbrojeń AI maskuje główną słabość europejskich banków
Sedno: co naprawdę się dzieje
Na pierwszy rzut oka EBC wydał standardowe ostrzeżenie: przygotujcie się na cyberataki z użyciem zaawansowanego AI. Członek Zarządu Wykonawczego Frank Elderson wymienił konkretny model – Mythos od Anthropic – i wezwał banki do natychmiastowego działania, nie czekając na dostęp do niego.
Ale czytając między wierszami, prawdziwe przesłanie jest znacznie ostrzejsze. EBC sygnalizuje strukturalną porażkę w architekturze europejskiego cyberbezpieczeństwa: europejskie banki zostały odcięte od kluczowego narzędzia obronnego, które już używają ich amerykańscy konkurenci. Podczas gdy JPMorgan i inni uczestnicy Project Glasswing spokojnie skanują swoje systemy za pomocą Mythos i łatają dziesiątki luk, europejskie banki muszą zgadywać, jakie dziury w ich infrastrukturze ten model mógłby znaleźć. To nie tyle ostrzeżenie przed przyszłym zagrożeniem, co stwierdzenie już istniejącej asymetrii.
Jednocześnie regulator właściwie przyznaje, że ryzyka stagflacyjne krępują jego zdolność do wspierania banków metodami monetarnymi. Inflacja w kwietniu 2026 roku podskoczyła do 3,0% – skok z 2,6% w marcu – na tle konfliktu bliskowschodniego, który podbił ceny energii. Wzrost gospodarczy strefy euro w pierwszym kwartale wyniósł zaledwie 0,1%. Jeśli rozpocznie się pełnowymiarowy cyberatak na duży europejski bank w momencie, gdy EBC zmuszony jest utrzymywać wysokie stopy procentowe w celu walki z inflacją, klasyczne narzędzia funduszu stabilizacyjnego okażą się niedostępne. Nie można jednocześnie gasić pożaru płynności i walczyć ze wzrostem cen.
Chronologia i kontekst
Historia tego ostrzeżenia nie zaczęła się w maju 2026 roku. Już w styczniu 2026 roku jednostka nadzorcza EBC określiła priorytety na lata 2026-2028, gdzie drugim kluczowym punktem po ryzykach geopolitycznych było wzmocnienie odporności operacyjnej banków, w tym zarządzanie ryzykami związanymi ze sztuczną inteligencją.
Następnie, w kwietniu 2026 roku, nowy szef Europejskiego Urzędu Nadzoru Bankowego (EBA) François-Louis Michaud wprost nazwał cyberzagrożenia z użyciem AI „priorytetem centralnym” organu nadzorczego. W tym czasie władze USA przeprowadziły już nadzwyczajne spotkania z szefami banków w celu omówienia ryzyk związanych z Mythos. Europejscy regulatorzy obserwowali to z boku, nie mając możliwości konkretnie ocenić zagrożenia.
Do maja 2026 roku napięcie osiągnęło szczyt. Brytyjski Instytut Bezpieczeństwa AI, który otrzymał wczesny dostęp do Mythos Preview, potwierdził: nowa wersja modelu wykazuje „imponujący skok wydajności” w zdolnościach cybernetycznych. OpenAI w odpowiedzi ogłosiło udostępnienie dostępu do GPT-5.5-Cyber dla Komisji Europejskiej i wybranych firm, w tym hiszpańskiego BBVA. Francuski Mistral rozpoczął tajne negocjacje z dużymi europejskimi bankami w sprawie stworzenia lokalnego konkurenta dla Mythos. I właśnie w tym momencie – 12 maja 2026 roku – Elderson publikuje swoje oświadczenie, które z formy jest biuletynem, a w istocie – ultimatum.
Osobny niepokojący sygnał padł 30 kwietnia: Rada Prezesów EBC pozostawiła stopy procentowe bez zmian, pomimo rosnących ryzyk dla wzrostu, ponieważ presja inflacyjna wzrosła. Regulator znalazł się w klasycznej pułapce stagflacyjnej.
Kto zyskuje, a kto traci
Zyskują obecnie trzy grupy.
Pierwsza – amerykańskie banki, które uzyskały wczesny dostęp do Mythos w ramach Project Glasswing. Nie tylko testują narzędzie – już wyeliminowały dziesiątki luk, o istnieniu których ich konkurenci w Europie nawet nie wiedzą. Powstaje nadzwyczajna sytuacja: sam fakt posiadania defensywnego narzędzia AI stał się przewagą konkurencyjną. Bank, który przeszedł skanowanie Mythos, jest obiektywnie bezpieczniejszy niż bank, który takiego skanowania nie przeszedł. Duzi klienci korporacyjni, wybierając bank do obsługi, prędzej czy później zaczną brać ten czynnik pod uwagę.
Druga grupa – firmy z branży cyberbezpieczeństwa. Ostrzeżenie EBC to w zasadzie darmowa reklama ich usług. Wolumen zamówień na audyty bezpieczeństwa, testy penetracyjne i systemy monitorowania ze strony europejskich banków nieuchronnie wzrośnie w nadchodzących miesiącach. Konserwatywnie szacując rynek, można spodziewać się dodatkowego napływu 500-800 milionów euro do tego sektora do końca roku.
Trzecia grupa – sam Anthropic. Presja na europejskie władze, aby zapewnić dostęp do Mythos, działa na korzyść firmy: negocjacje z UE już trwają, a minister gospodarki Valdis Dombrovskis potwierdził kontakty z deweloperem. Paradoksalnie, ostrzeżenie EBC wzmacnia pozycję negocjacyjną Anthropic.
Tracą – europejskie banki drugiego i trzeciego rzędu. Duże gracze, jak BBVA, już uzyskali dostęp do GPT-5.5-Cyber od OpenAI i negocjują z Mistral. Ale banki regionalne z aktywami 50-150 miliardów euro nie mają ani dostępu do zaawansowanych narzędzi AI, ani zasobów do samodzielnego opracowania. Znajdują się w strefie największego ryzyka – to właśnie ich infrastruktura stanie się poligonem dla pierwszej fali wzmocnionych AI ataków.
Traci również sam europejski projekt regulacyjny. EBC i EBA przez lata budowały system nadzoru oparty na standaryzowanych wymogach kapitałowych i testach warunków skrajnych. Teraz okazuje się, że luka technologiczna między bankami mającymi dostęp do zaawansowanych narzędzi bezpieczeństwa AI a tymi, które go nie mają, tworzy nowy, nieuregulowany kanał ryzyka systemowego.
Czego media nie mówią
Kluczowy punkt, który został całkowicie pominięty w publicznych dyskusjach: dostęp do Mythos otrzymały nie tylko „amerykańskie banki”. Otrzymały go firmy wchodzące w skład inicjatywy Project Glasswing, wśród których są Amazon Web Services, Microsoft, Nvidia i Linux Foundation. Zwróćcie uwagę na tę listę: to nie tylko banki, to podstawowa infrastruktura, na której działają europejskie instytucje finansowe.
JPMorgan, skanując swoje systemy za pomocą Mythos, wyeliminował luki. Ale europejski bank, którego krytyczne aplikacje są hostowane w AWS, nie może sprawdzić, czy luki zostały wyeliminowane na poziomie samego dostawcy chmury. Powstaje martwe pole: warstwa infrastrukturalna jest chroniona narzędziem, do którego użytkownik końcowy nie ma dostępu, i użytkownik musi polegać na zapewnieniach dostawcy.
Drugi niedoceniany czynnik to wpływ na rynek reasekuracji ryzyk cybernetycznych. Europejskie banki aktywnie ubezpieczają ryzyka operacyjne, w tym cyberzagrożenia. Ubezpieczyciele, oceniając ryzyka, używają modeli aktuarialnych opartych na danych historycznych. Ale ataki wzmocnione AI to zdarzenie o zasadniczo innym profilu: są szybsze, większe i mogą wykorzystywać luki, o istnieniu których nie wie nawet sam twórca oprogramowania. Oznacza to, że istniejące modele underwritingu systematycznie niedoszacowują ryzyka. Jeśli dojdzie do dużego incydentu, ubezpieczyciele mogą stanąć w obliczu skumulowanych strat, które podważą ich własną wypłacalność – a to już efekt kaskadowy na stabilność finansową.
Trzeci moment – podtekst geopolityczny. Wypowiedź Arthura Menscha, CEO Mistral, na przesłuchaniu we francuskim parlamencie była niezwykle szczera: „Nie można skanować kodu źródłowego francuskiego wojska za pomocą Mythos”. Ale jeśli systemy wojskowe nie mogą być sprawdzone amerykańskim narzędziem, a systemy bankowe tych krajów krytycznie zależą od tej samej infrastruktury – jaka gwarancja, że luki znalezione przez Mythos w sektorze finansowym nie są tymi samymi lukami, które istnieją w systemach obronnych? Pytanie o to, kto dokładnie ma dostęp do wyników skanowania europejskiej infrastruktury krytycznej, pozostaje bez odpowiedzi.
Prognoza: następne 30 i 90 dni
W ciągu najbliższych 30 dni należy spodziewać się trzech konkretnych wydarzeń.
Po pierwsze: EBC przeprowadzi nadzwyczajne testy warunków skrajnych cyberodporności dla systemowo ważnych banków strefy euro. W przeciwieństwie do tradycyjnych scenariuszy, testy te będą modelować atak z użyciem narzędzi AI na poziomie Mythos – nawet jeśli same banki nie mają takiego narzędzia. Wyniki będą bolesne.
Po drugie: co najmniej jeden duży europejski bank ogłosi partnerstwo z Mistral w celu stworzenia ochronnego rozwiązania AI. Biorąc pod uwagę, że negocjacje już trwają, ogłoszenie jest prawdopodobne w ciągu 3-4 tygodni. Budżet takiego projektu szacuje się na 100-200 milionów euro.
Po trzecie: europejscy ubezpieczyciele zaczną rewidować warunki polis cyberubezpieczeniowych dla banków, wprowadzając wyłączenia dla strat spowodowanych atakami wzmocnionymi AI. To wywoła reakcję łańcuchową: banki będą zmuszone zwiększyć rezerwy na ryzyka operacyjne, co dodatkowo zmniejszy dostępny kapitał.
W horyzoncie 90 dni kluczowym czynnikiem stanie się przecięcie dwóch kryzysów: cyberzagrożeń i stagflacji. Inflacja na poziomie 3,0% i wzrost PKB na poziomie 0,1% już tworzą klasyczny obraz stagflacyjny. EBC potwierdził, że ryzyka dla wzrostu są przesunięte w stronę negatywną, a dla inflacji – w pozytywną. Jeśli w tej sytuacji dojdzie do incydentu cybernetycznego dotykającego infrastrukturę płatniczą, regulator nie będzie miał dobrych opcji: obniżenie stopy w celu wsparcia płynności rozkręci inflację, a utrzymanie stóp pogłębi szkody dla poszkodowanego banku.
Najbardziej prawdopodobny scenariusz: do końca sierpnia 2026 roku co najmniej jeden europejski bank ujawni informację o poważnym cyberataku z użyciem narzędzi AI. Reakcja rynku będzie szybka i ostra: akcje poszkodowanego banku spadną o 15-25% podczas jednej sesji, spready CDS europejskich banków rozszerzą się o 50-80 punktów bazowych. Łączne straty z takiego incydentu, uwzględniając bezpośrednie straty, kary regulatorów i koszty reputacyjne, mogą sięgnąć 2-3 miliardów euro.
Jedynym sposobem uniknięcia tego scenariusza jest przyspieszone udostępnienie europejskim bankom zaawansowanych ochronnych narzędzi AI, czy to poprzez porozumienia z Anthropic, rozwój lokalnych rozwiązań Mistral, czy inne kanały. Ale nawet w tym przypadku luka między atakującymi a broniącymi się zmniejszy się nie wcześniej niż w połowie 2027 roku. A do tego czasu europejskie banki będą grać w doganianie przeciwnika, który porusza się szybciej.
— Editorial Team