歐洲央行要求110家銀行四個月內制定AI網路攻擊應對計劃

Claire Weston
Published todayAbout 3 min read

歐洲央行7月7日致函歐元區110家銀行CEO,限期10月31日前提交應對AI驅動網絡威脅的綜合行動計劃——這是歐洲銀行業監管首次將AI網絡攻擊從營運問題升級為系統性金融穩定議題。

01

歐洲央行到底要銀行做甚麼?

監管委員會主席克勞迪婭·布赫致函110家銀行CEO,要求提交「綜合行動計劃」,內容涵蓋管控措施、資源分配、職責劃分和實施時間表四項。
信函明確指出,前沿AI模型(能力已遠超傳統AI的新一代模型)已對銀行IT系統的保密性、完整性和韌性產生「潛在深遠影響」。
這意味著→ 這不是一般的合規通知,而是帶着明確截止日期和交付清單的監管指令
02

點解突然將AI網絡攻擊當成系統性風險?

歐洲系統性風險委員會(ESRB,歐盟專門監測金融系統風險的機構)同日發佈獨立警告,將AI網絡威脅定性為「金融系統系統性風險來源」。
ESRB指出,最新AI能以「遠超以往的速度、規模和精準度」發現並利用漏洞,IT弱點可能在數分鐘或數小時內被武器化——這被定義為網絡安全領域的「範式轉變」。
簡單來說= 過去黑客搵到一個銀行系統漏洞可能要數星期,而家AI幾分鐘就做到,仲可以同時攻擊多個目標。
03

信入面暗指嘅係邊類AI模型?

據《金融時報》報道,信函雖未點名具體模型,但明確指向「前沿人工智能模型」,市場普遍將其與Anthropic旗下Mythos等模型關聯。
此類模型的網絡攻擊能力已強至部分訪問權限受到限制,目前歐元區銀行被排除在訪問範圍之外。
這反映出 監管層的擔憂不只是「AI可能被壞人利用」,而是AI本身的能力已經構成威脅,即使在受限條件下也需要防範。
04

風險到底能蔓延到甚麼程度?

ESRB列舉了從小型銀行喪失市場信任國家支持的間諜活動,再到針對支付、清算和結算系統的協同攻擊等多種情景。
關鍵傳染路徑:金融行業共用的技術服務商和軟件可能令事件迅速蔓延,大規模中斷甚至可能引發對被認為安全性較低的機構或國家的「擠兌」
簡單來說= 銀行用嘅底層技術供應商高度重疊,一家被攻破,恐慌可能好似銀行擠兌咁向「睇落更弱」嘅同行蔓延。
05

四個月夠唔夠?監管做咗甚麼配套?

為緩解資源壓力,歐洲央行推遲了原定9月提交的年度IT風險問卷,銀行現可延至明年2月提交。
歐洲央行同時表示,將對現場檢查等其他監管活動作出個案調整
這意味著→ 監管層好清楚四個月嘅時限好緊,所以騰出了其他合規任務的空間——但行動計劃本身的截止日期冇得傾

Content is for reference only, not financial advice.

歐洲央行要求110家銀行四個月內制定AI網路攻擊應對計劃 · nashnova