Podsumowanie
Europejski Bank Centralny (EBC) zwołał w tygodniu 25 maja 2026 roku banki strefy euro podlegające jego nadzorowi, aby omówić zagrożenia związane z cyberbezpieczeństwem wynikające z modeli AI - na czele z Mythos, narzędziem firmy Anthropic zintegrowanym z programem Project Glasswing. Do 22 maja 2026 r. negocjacje między Unią Europejską a Anthropic w sprawie dostępu europejskich banków do Mythos pozostają w impasie, jak donosi Crypto Briefing: banki nadzorowane przez Frankfurt są narażone na te same luki w oprogramowaniu, co ich amerykańscy konkurenci, nie posiadając narzędzia wykrywania, które EBC teraz żąda od nich zintegrowania z ich postawą cyber. Rozporządzenie DORA, obowiązujące od 17 stycznia 2025 roku, narzuca zharmonizowane ramy zarządzania ryzykiem TIC, ale nie przewiduje suwerennego dostępu do zewnętrznego narzędzia ofensywnego AI - europejski nadzór naciska na swoje banki, nie posiadając dźwigni, której żąda od nich użycia. „Istnieje cały szereg problemów z cyberbezpieczeństwem, nad którymi współpracowaliśmy z bankami od lat, które wszystkie są nadal aktualne, ale biorąc pod uwagę postępy w dziedzinie AI, muszą być one rozwiązywane szybciej” (wolne tłumaczenie), powiedział Frank Elderson, członek zarządu EBC i wiceprzewodniczący Rady Nadzoru Ostrożnościowego, w rozmowie z Financial Times. Narzędzie pozostaje zarezerwowane dla około czterdziestu organizacji, głównie amerykańskich - żaden europejski bank nie figuruje na liście.
Przyspieszenie cyklu eksploatacji luk
Pilność, na którą zwraca uwagę Elderson, polega na tym, że Mythos zmienia równowagę operacyjną między atakiem a obroną. Narzędzie jest w stanie wykryć tysiące luk typu zero-day w systemach bankowych, według elementów raportowanych przez The Next Web, opierających się na wywiadzie Eldersona dla FT. Wiceprzewodniczący Rady Nadzoru Ostrożnościowego zaznaczył, że poprawka do oprogramowania może teraz być poddana inżynierii wstecznej w ciągu około trzydziestu minut, w porównaniu do kilku tygodni wcześniej. Skrócenie czasu między publikacją patcha a bronią wykorzystującą poprawioną lukę zmienia jakościowo dynamikę napraw: okno, w którym instytucja pozostaje podatna po wydaniu poprawki, znacznie się skróciło. Jeśli chodzi o zakres, zgodnie z oficjalną listą Anthropic, partnerzy początkowi programu obejmują AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Linux Foundation, Microsoft, Nvidia i Palo Alto Networks - tuzin podmiotów głównie północnoamerykańskich. Reuters dokumentował, że amerykańskie banki posiadające dostęp dokonują napraw w trybie pilnym, co może prowadzić do przerw w świadczeniu usług dla ich klientów. Asymetria dostępu między zintegrowanymi instytucjami amerykańskimi a bankami strefy euro nieobecnymi w programie jest na tym etapie faktem - nie zarzutem.
Poprawka do oprogramowania może teraz być poddana inżynierii wstecznej w ciągu około trzydziestu minut - w porównaniu do kilku tygodni wcześniej.
Według Franka Eldersona, członka zarządu EBC, cytowanego przez Financial Times (przekazane przez The Next Web, 25 maja 2026).
DORA stawia obowiązek, nie dźwignię
Ramy, które EBC uruchamia, są określone przez rozporządzenie europejskie 2022/2554 z 14 grudnia 2022 r. w sprawie cyfrowej odporności operacyjnej sektora finansowego, zwane DORA, które weszło w życie 17 stycznia 2025 r. bez okresu przejściowego dla około dwudziestu kategorii podmiotów finansowych. Jego artykuły 5-16 nakładają zharmonizowane ramy zarządzania ryzykami związanymi z technologiami informacyjnymi i komunikacyjnymi (TIC); artykuł 26 organizuje threat-led penetration testing (TLPT), testy penetracyjne oparte na wywiadzie zagrożeń. Żadne postanowienie rozporządzenia nie przewiduje jednak suwerennego dostępu europejskiego do zewnętrznego narzędzia ofensywnego AI - ten punkt można udokumentować poprzez lekturę samego tekstu. Mechanizm Nadzoru Jednolitego (MSU) dysponuje, jak wskazuje roczny raport nadzoru bankowego EBC za 2025 rok, środkami przymusu, gdy stwierdzone zostaną materialne słabości TIC: raport przypomina, że w takim przypadku nadzorca może wymagać planów naprawczych z kamieniami milowymi, terminami i dedykowanymi zasobami. Jeśli chodzi o testy ofensywne, ramy TIBER-EU (Threat Intelligence-Based Ethical Red-teaming, europejski system testów ofensywnych przez zespoły czerwone), zaktualizowane, aby dostosować się do DORA, regulują przeprowadzanie testów penetracyjnych zgodnie z artykułem 26 DORA. Pozostaje faktem, że te instrumenty regulują działania banków, nie dostarczając im narzędzia wykrywania, które EBC teraz wymaga od nich włączyć w ich postawę cyber.
Amerykański precedens z sześciu tygodni, milczenie europejskich władz sektorowych
Zwołanie EBC następuje sześć do siedmiu tygodni po podobnej inicjatywie za oceanem. Według Reuters przekazane przez AOL, 7 kwietnia 2026 r. sekretarz skarbu Scott Bessent i prezes Rezerwy Federalnej Jerome Powell zwołali w Waszyngtonie nieogłoszone spotkanie kryzysowe z udziałem liderów amerykańskich banków systemowych - Jane Fraser z Citigroup, Ted Pick z Morgan Stanley, Brian Moynihan z Bank of America. Amerykańska przewaga nie wynika z lepszych ram regulacyjnych: NIST Cyber AI Profile, oparty na AI Risk Management Framework 1.0, wciąż pozostaje ramą dobrowolną, a amerykański sektor bankowy nie ma „prawa dostępu” statutowego do Mythos. Asymetria między Waszyngtonem a Frankfurtem wynika z decyzji handlowej Anthropic dotyczącej zakresu Project Glasswing, a nie z hierarchii norm. Ze strony europejskich władz sektorowych, Europejski Urząd Nadzoru Bankowego (EBA) i Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) nie opublikowały do tej pory specyficznych wytycznych dotyczących ofensywnej AI typu Mythos w latach 2025-2026 - wytyczne EBA dotyczące zarządzania ryzykiem TIC, zrewidowane w 2025 roku, aby dostosować się do DORA, nie obejmują specyficznie ofensywnej AI typu Mythos. Blokada tkwi w artykule 26 rozporządzenia 2022/2554: organizuje on testy penetracyjne oparte na wywiadzie zagrożeń (TLPT), ale nie wymaga od nadzorców zapewnienia testowanym podmiotom suwerennego dostępu do narzędzi niezbędnych do ich przeprowadzenia - luki, której ani DORA, ani przyjęte w 2024 roku przez europejskie organy nadzoru (AES) normy techniczne regulacji nie wypełniają.
Oko ActuIA:
Frankfurt posiada ramy, ale nie narzędzie. To wniosek, który wymusza zwołanie z 25 maja: EBC może wymagać planów naprawczych, kamieni milowych, testów penetracyjnych zgodnych z TIBER-EU - nie może dostarczyć nadzorowanym bankom detektora luk, do którego Anthropic ogranicza dostęp do około czterdziestu północnoamerykańskich podmiotów. Presja ostrożnościowa jest realna; dźwignia operacyjna jest gdzie indziej. Diagnoza nie jest nowa: ENISA Threat Landscape 2025, opublikowany w październiku 2025 roku, już dokumentował profesjonalizację ofensywnej AI (Xanthorox AI i inni) oraz przyspieszenie cyklu eksploatacji luk na poziomie europejskim - bez suwerennej odpowiedzi przemysłowej. Dla działów ryzyka i cyber w nadzorowanych instytucjach, praca do wykonania przed oczekiwanym w czerwcu 2026 roku raportem FSB jest konkretna: dokumentować już teraz różnicę między rzeczywiście dostępnymi europejskimi zdolnościami wykrywania a oczekiwaniami ostrożnościowymi EBC - to ta różnica, i tylko ona, ochroni w przypadku inspekcji.