La BCE chiede alle banche dell'eurozona di rafforzare la sicurezza informatica mentre l'IA cambia il quadro delle minacce.

La BCE chiede alle banche dell'eurozona di rafforzare la sicurezza informatica mentre l'IA cambia il quadro delle minacce.

      La Banca Centrale Europea ha formalmente comunicato alle banche dell'Eurozona che devono rafforzare la loro postura di cyber-sicurezza in risposta agli strumenti di attacco guidati dall'IA, in una dichiarazione di follow-up rilasciata mercoledì che trasforma le precedenti indicazioni private in qualcosa di più vicino a un'aspettativa di vigilanza. Il vicepresidente della BCE per il Meccanismo di Vigilanza Unico, Frank Elderson, ha inquadrato il cambiamento di linguaggio che segnala una postura normativa più rigida piuttosto che un documento di discussione. Il fattore scatenante rimane Mythos di Anthropic, il modello di IA ad accesso ristretto che può scoprire e sfruttare autonomamente le vulnerabilità informatiche a velocità di macchina. Mythos ha dimostrato di combinare debolezze minori in attacchi più gravi e di ingegnerizzare a ritroso le patch in difetti sfruttabili più velocemente delle catene di strumenti più vecchie. L'accesso è stato limitato da Anthropic a circa 40-50 organizzazioni, tra cui un pugno di banche statunitensi; nessuna istituzione dell'Eurozona è presente nella lista. La posizione della BCE, secondo le parole di Elderson all'inizio di questo mese, è che "la mancanza di accesso non è una scusa per l'inazione." La dichiarazione di mercoledì estende quel quadro. Ora ci si aspetta che le banche assumano che gli attaccanti avranno accesso a strumenti di IA di capacità comparabile, indipendentemente dal fatto che i difensori lo abbiano o meno. Il 💜 della tecnologia UE Gli ultimi rumori dalla scena tecnologica dell'UE, una storia del nostro saggio fondatore Boris e alcune opere d'arte IA discutibili. È gratuito, ogni settimana, nella tua casella di posta. Iscriviti ora! L'implicazione di vigilanza è che i tradizionali cicli di patching software mensili non sono più adeguati, che le relazioni con i fornitori devono essere verificate per la stessa esposizione e che l'intera postura istituzionale attorno alla gestione delle vulnerabilità deve essere compressa ai tempi degli attaccanti IA. La BCE ha indicato che incorporerà la prontezza alla cyber-sicurezza IA nei dialoghi di vigilanza con le singole banche. Anche il contesto politico e commerciale è cambiato. BNP Paribas sta ora lavorando pubblicamente con Mistral su una risposta sovrana europea a Mythos, in quello che è funzionalmente un hedge a livello continentale. Bruxelles è stata in trattative bloccate con Anthropic per diverse settimane per espandere l'accesso a Mythos alle istituzioni europee; la Spagna ha descritto quelle trattative come bloccate. La dichiarazione della BCE è, di fatto, il lato di vigilanza dello stesso problema: i regolatori non possono aspettare che la questione dell'accesso si risolva prima di insistere su una postura difensiva. La domanda più difficile è quale cambiamento concreto ci si aspetta che le banche facciano. La BCE non ha pubblicato un elenco specifico di controlli tecnici, in parte perché la superficie di minaccia si sta evolvendo più velocemente di quanto qualsiasi checklist statica possa catturare. La cosa più vicina a un manuale operativo è l'aspettativa implicita che le banche ora trattino qualsiasi vulnerabilità non patchata come un obiettivo scoperto e che il tempo medio per la patch per i sistemi critici crolli da settimane a giorni o ore. Le banche più piccole dell'Eurozona, che storicamente si sono affidate a fornitori di infrastrutture esternalizzati per il livello tecnico, sono in una posizione più debole per rispettare quella tempistica rispetto alle tre grandi banche universali. La BCE ha anche segnalato l'esposizione dei fornitori come il problema asimmetrico. La maggior parte delle banche dell'Eurozona ha una lunga lista di fornitori di software di terze parti la cui disciplina di patch è irregolare; un attaccante guidato dall'IA che scopre una vulnerabilità in un singolo prodotto di un fornitore ampiamente distribuito può pivotare in più ambienti bancari attraverso quella relazione con il fornitore. L'esposizione della catena di fornitura in stile Solarwinds che ha definito la fine degli anni 2010 è ora in fase di rielaborazione in forma di attaccante IA. Il quadro di Elderson è che i supervisori terranno le banche responsabili per la sicurezza dei loro fornitori, non solo per la propria. Le banche dell'Eurozona hanno tempo fino alla fine del 2026 per dimostrare la prontezza contro la nuova postura della BCE, con dialoghi di vigilanza formali che inizieranno durante l'estate. Mythos stesso, secondo le attuali segnalazioni pubbliche, non è stato dimostrato in azione contro un'istituzione europea.

Altri articoli

L'ente di regolamentazione del mercato cinese multa Luxshare e Wingtech per il loro accordo di dismissione L'ente di regolamentazione del mercato cinese multa Luxshare e Wingtech per il loro accordo di dismissione L'agenzia SAMR della Cina ha multato Luxshare e Wingtech per violazioni procedurali nel loro accordo patrimoniale ora fallito, segnalando un'applicazione più rigorosa delle fusioni. Taiwan sospetta che i chip NVIDIA siano stati contrabbandati in Cina tramite una rotta di transhipment giapponese. Taiwan sospetta che i chip NVIDIA siano stati contrabbandati in Cina tramite una rotta di transhipment giapponese. I pubblici ministeri taiwanesi sospettano che almeno una spedizione di chip AI Nvidia soggetti a restrizioni negli Stati Uniti sia stata contrabbandata in Cina attraverso il Giappone, nel primo caso pubblico di deviazione di chip AI a Taiwan. La BCE chiede alle banche dell'eurozona di rafforzare la sicurezza informatica mentre l'IA modifica il quadro delle minacce. La BCE chiede alle banche dell'eurozona di rafforzare la sicurezza informatica mentre l'IA modifica il quadro delle minacce. La BCE ha detto alle banche dell'Eurozona che devono rafforzare la sicurezza informatica in risposta agli strumenti di attacco guidati dall'IA, in una dichiarazione formale di mercoledì dopo settimane di indicazioni riservate. L'ente di regolamentazione del mercato cinese multa Luxshare e Wingtech per il loro accordo di dismissione. L'ente di regolamentazione del mercato cinese multa Luxshare e Wingtech per il loro accordo di dismissione. L'SAMR cinese ha multato Luxshare e Wingtech per violazioni procedurali nel loro affare patrimoniale ora fallito, segnalando un'applicazione più rigorosa delle fusioni. Taiwan sospetta che i chip NVIDIA siano stati contrabbandati in Cina tramite una rotta di transhipment giapponese. Taiwan sospetta che i chip NVIDIA siano stati contrabbandati in Cina tramite una rotta di transhipment giapponese. I pubblici ministeri taiwanesi sospettano che almeno una spedizione di chip AI Nvidia soggetti a restrizioni negli Stati Uniti sia stata contrabbandata in Cina attraverso il Giappone, nel primo caso pubblico di deviazione di chip AI a Taiwan. L'accordo ASIC tra Qualcomm e ByteDance è progettato per aggirare i controlli sulle esportazioni statunitensi. L'accordo ASIC tra Qualcomm e ByteDance è progettato per aggirare i controlli sulle esportazioni statunitensi. Qualcomm ha stipulato un accordo per la fornitura di chip AI e servizi di produzione con ByteDance, la società madre di TikTok, progettato per rimanere entro i limiti di controllo delle esportazioni statunitensi.

La BCE chiede alle banche dell'eurozona di rafforzare la sicurezza informatica mentre l'IA cambia il quadro delle minacce.

La BCE ha detto alle banche dell'Eurozona che devono rafforzare la sicurezza informatica in risposta agli strumenti di attacco guidati dall'IA, in una dichiarazione formale di mercoledì dopo settimane di indicazioni riservate.