Sumar
Banca Centrală Europeană (BCE) a convocat, săptămâna din 25 mai 2026, băncile din zona euro supravegheate pentru a aborda riscurile de securitate cibernetică legate de modelele de bază ale IA - în prim-plan Mythos, instrumentul Anthropic integrat în programul Project Glasswing. Până la 22 mai 2026, negocierile dintre Uniunea Europeană și Anthropic privind accesul băncilor europene la Mythos rămân blocate, așa cum a raportat Crypto Briefing: instituțiile supravegheate de Frankfurt sunt expuse la aceleași vulnerabilități software ca și concurentele lor americane fără a avea la dispoziție instrumentul de detectare pe care BCE le cere acum să îl integreze în postura lor de securitate cibernetică. Regulamentul DORA, aplicabil din 17 ianuarie 2025, impune un cadru armonizat de gestionare a riscurilor TIC, dar nu prevede niciun acces suveran la un instrument de IA ofensivă terț - supravegherea europeană își presează băncile fără a deține levierul pe care le cere să-l acționeze. „Există o serie de probleme de securitate cibernetică asupra cărora am lucrat cu băncile de ani de zile, care sunt toate încă valide, dar având în vedere progresele IA, ele trebuie tratate mai rapid” (traducere liberă), a declarat pentru Financial Times Frank Elderson, membru al directoratului BCE și vicepreședinte al Consiliului de Supraveghere Prudențială până pe 14 decembrie 2028. Instrumentul rămâne rezervat pentru aproximativ patruzeci de organizații, majoritatea americane - nicio bancă europeană nu se află pe listă.
O accelerare a ciclului de exploatare a vulnerabilităților
Urgenta adusă de Elderson este datorată faptului că Mythos schimbă echilibrul operațional între atac și apărare. Instrumentul este capabil să detecteze mii de vulnerabilități de tip zero-day în sistemele băncilor, conform elementelor raportate de The Next Web care se bazează pe interviul Elderson pentru FT. Vicepreședintele Consiliului de Supraveghere Prudențială a precizat că un remediu software poate acum să fie reinginerat în aproximativ treizeci de minute, comparativ cu săptămâni înainte. Această scurtare a intervalului între publicarea patch-ului și arma care exploatează vulnerabilitatea corectată modifică calitativ dinamica de remediere: fereastra în care o instituție rămâne vulnerabilă după difuzarea unui remediu s-a contractat semnificativ. Pe partea de acoperire, conform listei oficiale Anthropic, partenerii de lansare ai programului includ AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Linux Foundation, Microsoft, Nvidia și Palo Alto Networks - o duzină de actori esențial nord-americani. Reuters a documentat că băncile americane cu acces procedează la corecții de urgență, susceptibile să provoace întreruperi de servicii pentru clienții lor. Asimetria de acces între instituțiile americane integrate și băncile din zona euro absente din program este, în acest moment, un fapt - nu un reproș.
Un remediu software poate acum să fie reinginerat în aproximativ treizeci de minute - comparativ cu săptămâni înainte.
Conform lui Frank Elderson, membru al directoratului BCE, citat de Financial Times (relatat de The Next Web, 25 mai 2026).
DORA impune datoria, nu levierul
Cadrul pe care BCE îl activează este stabilit de regulamentul european 2022/2554 din 14 decembrie 2022 privind reziliența operațională digitală a sectorului financiar, denumit DORA, intrat în aplicare pe 17 ianuarie 2025 fără perioadă de tranziție pentru aproximativ douăzeci de categorii de entități financiare. Articolele sale 5 până la 16 impun un cadru armonizat de gestionare a riscurilor legate de tehnologiile informaționale și de comunicații (TIC); articolul 26 organizează threat-led penetration testing (TLPT), teste de penetrare bazate pe informații despre amenințări. Nicio dispoziție a regulamentului nu prevede totuși un acces suveran european la un instrument de IA ofensivă terț - acest punct poate fi documentat prin lectura textului în sine. Mecanismul de Supraveghere Unică (MSU) dispune, conform raportului anual 2025 al supravegherii bancare BCE, de măsuri coercitive atunci când sunt constatate slăbiciuni TIC materiale: raportul amintește că în astfel de cazuri, supraveghetorul poate solicita planuri de remediere însoțite de jaloane, termene și resurse dedicate. Pe partea de teste ofensive, cadrul TIBER-EU (Threat Intelligence-Based Ethical Red-teaming, dispozitiv european de teste ofensive de echipe roșii), actualizat pentru a se alinia cu DORA, reglementează desfășurarea testelor de penetrare aliniate cu articolul 26 DORA. Rămâne că aceste instrumente reglementează desfășurarea băncilor fără a le furniza instrumentul de detectare pe care BCE le cere astăzi să îl integreze în postura lor de securitate cibernetică.
Un precedent american de șase săptămâni, un tăcere a autorităților sectoriale europene
Convocarea BCE intervine la șase până la șapte săptămâni după o inițiativă echivalentă de peste ocean. Conform Reuters relatat de AOL, pe 7 aprilie 2026, secretarul Trezoreriei Scott Bessent și președintele Rezervei Federale Jerome Powell au convocat la Washington o reuniune de urgență neanunțată reunind conducătorii băncilor sistemice americane - Jane Fraser pentru Citigroup, Ted Pick pentru Morgan Stanley, Brian Moynihan pentru Bank of America. Avansul american nu se datorează unui cadru de reglementare superior: NIST Cyber AI Profile, bazat pe AI Risk Management Framework 1.0, rămâne un cadru voluntar și sectorul bancar american nu are un „drept de acces” statutar la Mythos. Asimetria între Washington și Frankfurt ține de o decizie comercială a Anthropic privind acoperirea Project Glasswing, nu de o ierarhie a normelor. Din partea autorităților sectoriale europene, Autoritatea Bancară Europeană (EBA) și Agenția Uniunii Europene pentru Securitate Cibernetică (ENISA) nu au publicat, până în prezent, linii directoare specifice privind IA ofensivă de tip Mythos în 2025-2026 - guidelines EBA privind gestionarea riscurilor TIC, revizuite în 2025 pentru a se alinia cu DORA, nu tratează specific IA ofensivă de tip Mythos. Blocajul se află în articolul 26 al regulamentului 2022/2554: acesta organizează testele de penetrare bazate pe informații despre amenințări (TLPT) dar nu impune supraveghetorilor să asigure entităților testate accesul suveran la instrumentele necesare pentru a le conduce - lacună pe care nici DORA, nici normele tehnice de reglementare adoptate în 2024 de autoritățile europene de supraveghere (AES) nu o completează.
Ochiul ActuIA:
Frankfurt deține un cadru, nu un instrument. Aceasta este lectura impusă de convocarea din 25 mai: BCE poate solicita planuri de remediere, jaloane, teste de penetrare aliniate cu TIBER-EU - nu poate livra băncilor supravegheate detectorul de vulnerabilități la care Anthropic rezervă accesul pentru aproximativ patruzeci de actori nord-americani. Presiunea prudențială este reală; levierul operațional este în altă parte. Diagnosticul nu este nou: ENISA Threat Landscape 2025, publicat în octombrie 2025, documenta deja profesionalizarea IA ofensivă (Xanthorox AI și alții) și accelerarea ciclului de exploatare a vulnerabilităților la scară europeană - fără ca un răspuns industrial suveran să urmeze. Pentru direcțiile de risc și securitate cibernetică ale instituțiilor supravegheate, munca de efectuat înainte de raportul FSB așteptat în iunie 2026 este concretă: documentarea de pe acum a diferenței dintre capacitățile de detectare efectiv disponibile pe partea europeană și așteptările prudențiale BCE - aceasta este diferența, și doar ea, care va proteja în caz de inspecție.