Powrót do strony głównej

EBC ostrzegł banki przed cyberatakami modelu AI Mythos

Europejski Bank Centralny ostrzegł banki strefy euro o konieczności pilnego przygotowania się na cyberataki z użyciem zaawansowanego modelu AI Mythos od Anthropic, mimo braku dostępu do niego w europejskich instytucjach. Oświadczenie odzwierciedla strukturalną słabość regulatora i rosnącą asymetrię w globalnym cyberbezpieczeństwie, gdzie przewagę zyskują banki USA i Japonii. Artykuł analizuje ukryte czynniki, ekonomię ataków AI i przedstawia prognozę na najbliższe miesiące.

EBC: europejskie banki bezbronne wobec cyberataków modelu AI Mythos
Advertisement 728x90

EBC ostrzegł banki przed cyberzagrożeniami z użyciem AI

Europejski Bank Centralny wydał oficjalne ostrzeżenie dla wszystkich banków strefy euro, wzywając je do wzmocnienia ochrony przed cyberatakami generowanymi przez zaawansowane modele sztucznej inteligencji.


Mit „Mythos”: jak brak dostępu do AI stał się głównym ryzykiem systemowym europejskiego sektora bankowego

Frank Elderson, wiceprzewodniczący mechanizmu nadzorczego Europejskiego Banku Centralnego, 13 maja 2026 roku wystąpił z ostrzeżeniem, które przy każdym innym tle informacyjnym trafiłoby na pierwsze strony: europejskie banki muszą natychmiast, „już teraz”, przygotowywać się na cyberataki z użyciem modelu AI poziomu Mythos od Anthropic, mimo że dostępu do tego modelu nie mają i nie przewiduje się go. Oświadczenie padło w wywiadzie dla wewnętrznego biuletynu ECB Supervision Newsletter – i właśnie ten, niemal niezauważalny dla szerokiej publiczności format, zdradza prawdziwą naturę wydarzeń. Regulator nie tyle informuje rynek, co dokumentuje stanowisko na potrzeby przyszłych postępowań.

Sedno: co naprawdę się dzieje

Formalnie EBC ostrzega banki przed nową klasą cyberzagrożeń. Członek zarządu wykonawczego Frank Elderson powiedział dosłownie: „Brak dostępu [do Mythos] nie usprawiedliwia bezczynności. Wręcz przeciwnie, sprawia, że krytycznie ważne jest, aby banki zintensyfikowały działania i działały już teraz”. Regulator odnotowuje, że duże amerykańskie banki, które otrzymały wczesny dostęp do Mythos, już usuwają luki w swoich centrach danych, zidentyfikowane przez model AI. Japonia, jak się oczekuje, otrzyma dostęp dla trzech największych banków w ciągu dwóch tygodni. Europa pozostaje poza obrębem.

Google AdInline article slot

Ale prawdziwa istota oświadczenia Eldersona nie dotyczy cyberbezpieczeństwa jako takiego. To akt regulacyjnego outsourcingu odpowiedzialności. EBC nie może chronić europejskich banków przed zagrożeniem, którego nie jest w stanie nawet ocenić. Dlatego przerzuca ciężar na same banki: przygotujcie się na to, czego nie widzicie, a jeśli coś się stanie – ostrzegaliśmy.

Ten schemat jest dobrze znany każdemu, kto śledził europejski nadzór bankowy w momentach kryzysowych. Gdy regulator nie ma narzędzi bezpośredniego oddziaływania, tworzy ślad dokumentacyjny. Maj 2026 roku to właśnie taki moment: Mythos jest w stanie autonomicznie identyfikować i wykorzystywać luki z prędkością niedostępną dla istniejących narzędzi, a także inżynierować wstecznie łatki programistyczne do exploity znacznie szybciej niż dotychczas. Europejskie banki, pozbawione dostępu do tego narzędzia, patrzą na amerykańskich konkurentów, którzy już łatają dziury – i mogą tylko zgadywać, jak bardzo same są podatne.

Chronologia i kontekst

Łańcuch wydarzeń, który doprowadził do oświadczenia Eldersona, ułożył się błyskawicznie. W kwietniu 2026 roku Reuters podał, że organ nadzorczy EBC zamierza zażądać od banków informacji o gotowości na nowe źródło ryzyka – cyberataki wzmocnione AI. W tym samym miesiącu pojawiły się dane, że duże banki USA z wczesnym dostępem do Mythos w trybie pilnym usuwają dziesiątki luk w systemach danych. Anthropic udostępnił dostęp tylko kilku amerykańskim organizacjom – Amazon Web Services, Microsoft, Nvidia, Linux Foundation i JP Morgan – w ramach inicjatywy Project Glasswing.

Google AdInline article slot

Na początku maja sytuacja się zaostrzyła. Prezes EBC Christine Lagarde oświadczyła, że bank centralny bada mechanizmy ochrony przed atakami sterowanymi przez Mythos, ale znajduje się w niekorzystnej sytuacji z powodu braku dostępu do modelu. 12 maja pojawiła się informacja, że trzy największe banki Japonii z dużym prawdopodobieństwem otrzymają dostęp do Mythos w ciągu dwóch tygodni. Europa pozostaje jedynym dużym blokiem finansowym odciętym od narzędzia.

I oto 13 maja ukazuje się wywiad Eldersona. Opisuje on Mythos jako „punkt zwrotny w cyberbezpieczeństwie” – narzędzie zdolne do łączenia pozornie nieznaczących luk w poważne wektory ataków. I jednocześnie przyznaje, że europejskie banki nie tylko nie mogą używać Mythos do ochrony, ale nawet ocenić skali własnej podatności na niego.

Kto wygrywa, a kto przegrywa

Wygrywają amerykańskie banki – ale nie tak, jak mogłoby się wydawać na pierwszy rzut oka. JP Morgan i inni uczestnicy Project Glasswing otrzymują nie tylko narzędzie ochrony, ale asymetryczną przewagę informacyjną. Znają swoje luki, wiedzą, jak Mythos je znajduje – i mogą modelować wektory ataków. Europejskie banki są pozbawione tej informacji, co czyni je bardziej podatnymi na ataki ze strony cyberprzestępców, którzy – podkreślę to – mogą używać Mythos lub podobnych modeli, niezależnie od tego, czy banki mają do nich dostęp.

Google AdInline article slot

Przegrywają europejskie banki – strukturalnie i być może nieodwracalnie. Nie chodzi tylko o brak dostępu do konkretnego modelu. Dane Binance Research pokazują, że ataki wzmocnione AI przynoszą 4,5 razy więcej środków na jeden atak i generują 9 razy więcej aktywności transakcyjnej niż tradycyjne metody. W 2025 roku liczba przypadków podszywania się pod inną osobę wzrosła o 1400% rok do roku, 88% wszystkich przypadków oszustw deepfake było związanych z kryptoaktywami. Choć są to dane z branży krypto, metodologia ataków jest uniwersalna – a europejskie banki pozostają bez narzędzia, które mogłoby je wykrywać.

Przegrywa europejski regulator jako instytucja. Oświadczenie Eldersona to przyznanie się do strukturalnej słabości. EBC nie może zobowiązać Anthropic do udostępnienia dostępu. Nie może przeprowadzić własnych testów. Nie może ocenić skali zagrożenia. Jedyne, co może – to powiedzieć bankom „przygotujcie się”. To nie regulacja, to upominanie.

Czego media nie dopowiadają

Pierwsza i najbardziej krytyczna niedopowiedziana historia: ostrzeżenie EBC pojawiło się trzy miesiące po tym, jak we Francji doszło do masowego włamania na dane bankowe przez rejestr państwowy – 1,2 miliona kont zostało skompromitowanych przez skradzione dane uwierzytelniające urzędnika państwowego. To nie był atak wzmocniony AI, ale klasyczny atak z użyciem inżynierii społecznej i skompromitowanych danych logowania. Jeśli europejski system bankowy nie był w stanie obronić się przed atakiem na takim poziomie, jak przygotuje się na Mythos, który może „autonomicznie identyfikować i wykorzystywać luki z prędkością i skalą wykraczającą poza istniejące narzędzia”?

Drugi ukryty czynnik: problem nie leży tylko i wyłącznie w samych bankach, ale w ich podwykonawcach. Elderson szczególnie podkreślił, że ryzyko dotyczy infrastruktury krytycznej i zewnętrznych dostawców usług, z których korzystają banki. Oznacza to, że obwód podatności jest znacznie szerszy niż bilanse samych banków. Firmy przetwarzające płatności, dostawcy chmury, systemy bram SWIFT, centra danych – wszystkie mogą zostać skompromitowane przez luki, które AI podobne do Mythos znajdzie szybciej, niż ludzie zdążą je zamknąć. I o ile amerykańscy kontrahenci są testowani przez Mythos, o tyle europejscy pozostają „ślepi”.

Trzeci niedoświetlony aspekt: ekonomika ataków AI sprawia, że obrona jest zasadniczo droższa niż atak. Binance Research odnotowuje: exploity wzmocnione AI kosztują obecnie około 1,22 dolara za kontrakt i oczekuje się, że koszt ten będzie spadać o 22% co dwa miesiące. To radykalnie asymetryczna ekonomika. Przy koszcie ataku wynoszącym 1,22 dolara bank musi wydawać miliony dolarów na ochronę. Przy spadającym koszcie ataku ta luka będzie tylko rosnąć. I o ile amerykańskie banki, testując Mythos, wiedzą przynajmniej, które luki zamykać w pierwszej kolejności, europejskie są zmuszone bronić się przed wszystkim naraz – co jest niemożliwe.

Prognoza: następne 30 dni i 90 dni

30 dni (do połowy czerwca 2026):

Wyzwalaczem będzie uzyskanie dostępu do Mythos przez japońskie banki – spodziewane jest to w ciągu najbliższych dwóch tygodni. Gdy Mitsubishi UFJ, Sumitomo Mitsui i Mizuho rozpoczną testy, pojawi się pierwszy rzeczywisty benchmark: ile luk Mythos znajduje w dużych azjatyckich bankach. Ta informacja najprawdopodobniej będzie niejawna, ale rynek pozna skalę poprzez pośrednie oznaki – awaryjne aktualizacje systemów, nieplanowane audyty, wzrost wydatków na cyberbezpieczeństwo.

EBC, zgodnie z planem z kwietnia, rozpocznie formalne zbieranie informacji od nadzorowanych banków o ich gotowości na ataki AI. Spodziewam się, że wyniki tego badania będą niepokojące i regulator może wydać dodatkowe dyrektywy. Prawdopodobne jest również, że EBC zintensyfikuje wysiłki dyplomatyczne w celu uzyskania dostępu do Mythos dla europejskich banków – ale nie nastąpi to szybko.

90 dni (do połowy sierpnia 2026):

Pod koniec lata ujawni się strukturalna nierówność, która obecnie jest tylko zarysowana. Banki z dostępem do zaawansowanych narzędzi AI (amerykańskie i prawdopodobnie japońskie) będą miały zasadniczo inny profil ryzyka cybernetycznego niż europejskie. Agencje ratingowe mogą zacząć uwzględniać ten czynnik przy ocenie ratingów kredytowych – zwłaszcza jeśli dojdzie do przynajmniej jednego głośnego incydentu z atakiem AI na europejski bank.

Raport Quorum Cyber za 2026 rok już odnotowuje, że średnie żądania okupu w sektorze usług finansowych wzrosły o 179%, a liczba nowych grup ransomware zwiększyła się o 30%. Jeden z aktorów państwowych wykazał zdolność do automatyzacji do 90% procesu włamania za pomocą AI. Jeśli te trendy się utrzymają, do sierpnia któryś z europejskich banków niemal nieuchronnie padnie ofiarą – i wtedy pojawi się pytanie, które EBC stara się teraz uprzedzić swoim ostrzeżeniem: dlaczego bank nie przygotował się na zagrożenie, o którym regulator ostrzegał już w maju.

Wnioski z wewnątrz: oświadczenie Eldersona z 13 maja to nie tyle zalecenie, co stworzenie regulacyjnego alibi. Kiedy (nie jeśli) europejski bank padnie ofiarą udanego ataku z użyciem narzędzi AI klasy Mythos, EBC będzie mógł powiedzieć: ostrzegaliśmy, bank powinien był się przygotować. Ale głęboki problem pozostaje nierozwiązany: europejski system bankowy został odcięty od kluczowego narzędzia obronnego w momencie, gdy ekonomika cyberataków radykalnie przesunęła się na korzyść atakujących. To nie luka technologiczna – to strukturalna podatność wbudowana w architekturę globalnej regulacji finansowej.

— Editorial Team

Advertisement 728x90

Czytaj dalej

Wiadomości partnerów