ECB AI-aanvallen

AI-cyberdreiging zet banken én cryptoplatformen onder scherp toezicht

Europa08 jul , 9:28
Een hack hoeft straks minder tijd te kosten dan een compliancevergadering. De ESRB, ECB en ESMA trekken AI-cyberrisico uit de IT-hoek en zetten het neer als gevaar voor financiële stabiliteit.
Voor banken is dit direct. Voor cryptodienstverleners onder MiCA en DORA is de boodschap minder formeel, maar niet zachter.
De European Systemic Risk Board waarschuwt dat frontier AI-modellen het Europese financiële systeem kwetsbaarder kunnen maken. Frontier AI betekent hier: zeer krachtige AI die cyberaanvallen of cyberverdediging merkbaar kan versnellen.

Van IT-probleem naar systeemrisico

De ESRB noemt dit geen gewone technische storing. De raad spreekt over systeemrisico voor de financiële sector.
Dat is zware toezichtstaal. Een systeemrisico raakt niet één instelling, maar kan vertrouwen, betalingen en marktwerking tegelijk verstoren.
Volgens de ESRB kunnen frontier AI-modellen de snelheid, schaal en verfijning van cyberaanvallen vergroten. Het risiconiveau voor cyberdreigingen ging in juni naar “severe”, na “elevated” in maart.
De kern is simpel. AI helpt aanvallers sneller zoeken naar zwakke plekken. Daarna kan dezelfde technologie helpen bij het bouwen van aanvalscode.
Een exploit is zo’n aanvalsmethode. Het is code of een werkwijze waarmee een fout in software wordt misbruikt.

Toezichthouders kiezen dezelfde lijn

De drie Europese toezichthouders EBA, EIOPA en ESMA sluiten zich aan bij de waarschuwing. In hun gezamenlijke reactie schrijven zij dat AI-aanvallen de operationele weerbaarheid van financiële partijen kunnen ondermijnen.
Operationele weerbaarheid betekent: systemen moeten blijven werken, ook bij storingen, hacks of aanvallen.
Dat raakt banken, verzekeraars en marktplaatsen. Maar het raakt ook partijen die op dezelfde digitale bouwstenen draaien.
Denk aan cloudomgevingen, API’s, open-sourcecode, externe software en identitysystemen. Juist daar werkt een zwakke plek vaak door naar meerdere partijen tegelijk.
De nieuwe toezichtsvraag is niet of een platform veilig oogt, maar of het snel genoeg reageert wanneer AI de aanval versnelt.

ECB maakt er een deadline van

De ECB liet het niet bij waarschuwen. In een brief aan significante banken schrijft Banking Supervision dat AI-modellen kwetsbaarheden kunnen vinden en werkende exploits kunnen maken met ongekende snelheid.
Daarmee wordt de tijd tussen ontdekking en misbruik korter. Oude patchprocessen kunnen dan te traag worden.
Patchmanagement betekent: fouten in software snel vinden, prioriteren en repareren.
De ECB wil dat banken zonder uitstel hun cyberweerbaarheid herbeoordelen. Zij moeten een actieplan maken met maatregelen, middelen, rollen en tijdlijnen.
Dat plan moet uiterlijk 31 oktober 2026 naar het Joint Supervisory Team.

De opdracht is concreet

De ECB noemt meerdere lijnen. Banken moeten sneller patchen, beter monitoren en AI ook defensief leren gebruiken.
Daarnaast vraagt de ECB extra aandacht voor derde partijen. Dat zijn ICT-leveranciers, softwaremakers, cloudproviders en andere partijen in kritieke ketens.
Ook open-sourcecomponenten komen in beeld. Dat is logisch, want veel financiële software draait op code die door bredere ontwikkelaarsgroepen wordt onderhouden.
Voor crypto klinkt dat bekend. Exchanges, custodians en walletproviders bouwen zelden alles zelf.
Een custodian bewaart crypto voor klanten. Een hot wallet is een wallet die online gekoppeld is aan een platform en daardoor aantrekkelijk is voor aanvallers.

Waarom crypto meekijkt

De ECB-brief richt zich formeel op grote banken. Toch is de waarschuwing relevant voor cryptobedrijven.
Crypto werkt met directe afwikkeling, online wallets en wereldwijde toegang. Een fout kan sneller geld kosten dan bij traditionele systemen, omdat transacties vaak niet terug te draaien zijn.
Daar komt DORA bij. ESMA schrijft op haar DORA-pagina dat deze EU-regel de ICT-beveiliging van financiële partijen moet versterken.
DORA gaat ook over testen, incidentmeldingen, risicobeheer en toezicht op kritieke ICT-dienstverleners. Dat maakt cyberweerbaarheid een bestuurstaak, geen losse technische bijlage.
Voor crypto onder MiCA wordt dat verschil steeds scherper. Een vergunning zegt weinig als de digitale keten te langzaam reageert op aanvallen.

De zwakke plek zit vaak buiten het platform

De ESAs wijzen expliciet naar kritieke ICT-dienstverleners. Zij voeren onder DORA toezicht op partijen die belangrijke digitale diensten leveren aan de financiële sector.
Dat raakt crypto via de achterdeur. Veel platforms leunen op externe cloud, dataleveranciers, compliance-tools en beveiligingssoftware.
Een aanval op zo’n leverancier kan meerdere instellingen tegelijk raken. Dan wordt een leveranciersrisico ineens een marktrisico.
Voor toezichthouders is dat precies de reden om breder te kijken dan één bank of één exchange.
Wie digitale assets bewaart of verhandelt, moet dus meer aantonen dan uptime. Het gaat ook om herstel, noodplannen en zicht op alle schakels.

Geen nieuwe dreiging, wel een kortere lont

De toezichthouders zeggen niet dat AI alle cyberrisico’s nieuw maakt. De dreiging bestond al.
Het verschil zit in tempo en schaal.
Een aanvaller die vroeger dagen nodig had om zwakke plekken te vinden, kan straks sneller testen. Een team dat handmatig aanvalspaden bouwde, krijgt AI als versneller.
Dat dwingt financiële partijen tot een andere klok. Maandelijkse controles voelen dan ineens oud.
Voor crypto is dat een harde boodschap. De sector is gewend aan snelheid aan de voorkant: handel, deposits, withdrawals en listings.
Nu moet de achterkant even snel worden. Monitoring, patches, toegangsbeheer en incidentrespons moeten hetzelfde tempo aankunnen.

Toezicht verschuift naar bewijs

De Europese lijn wordt duidelijk. Cyberweerbaarheid is niet langer een technische belofte.
Het wordt een bewijsdossier.
Welke systemen staan open naar buiten? Welke software is verouderd? Welke leverancier kan uitvallen? Wie beslist bij een aanval? Hoe snel kan een hot wallet worden afgesloten?
Dat zijn geen vragen voor na een hack. Dat zijn vragen voor bestuurders, compliance-teams en toezichthouders vóórdat er iets misgaat.
AI maakt cyberaanvallen niet magisch. Het maakt zwakke plekken duurder.
Voor cryptoplatformen is dat de les van vandaag. Niet de grootste coin, maar het traagste systeem kan straks het probleem worden.

Stop met te veel betalen voor je crypto. Bij de Amsterdamse exchange Finst handel je tegen de laagste tarieven van Nederland, zonder verborgen kosten.

👀 Bekijk Finst nu

Let op: Beleggen in crypto brengt risico’s met zich mee. Handel alleen met geld dat u kunt missen.

Ga verder met lezen
loading
Dit vind je misschien ook leuk
Laat mensen jouw mening weten

Loading