La Banca centrale europea ha dato alle grandi banche dell’area euro tempo fino al 31 ottobre 2026 per presentare un piano contro le minacce cyber abilitate dall’intelligenza artificiale.
La scadenza, fissata nella lettera inviata il 7 luglio da Claudia Buch ai ceo degli istituti vigilati, segna un cambio di passo nella supervisione: Francoforte non si limita a richiamare i rischi, ma chiede misure operative, risorse dedicate e responsabilità chiare.
Per la Bce, i nuovi modelli di AI non introducono un rischio del tutto inedito, ma aumentano drasticamente velocità e scala degli attacchi. La finestra tra scoperta di una vulnerabilità e suo sfruttamento si restringe. Questo, scrive la vigilanza, può avere effetti “profondi” su riservatezza, integrità e resilienza dei sistemi ict bancari.
”La scelta della BCE di muoversi d’anticipo, a differenza di Fed e Bank of England, e’ un condivisibile bagno di realtà”, commenta l’esperto cyber Gerardo Costabile a Cybersecurity360. “Nel dominio della cyber-intelligence, l’asimmetria temporale è tutto: i gruppi criminali e gli attori statali non aspetteranno i comodi tempi di adeguamento del settore finanziario per l’addestramento dei loro vettori d’attacco basati su AI”.
“Anticipare i tempi significa accettare che la cybersecurity bancaria sia correttamente inquadrata come un argomento di sicurezza nazionale ed economica. Meglio quattro mesi di pressione operativa oggi che una crisi sistemica domani”, aggiunge.
Conferma Claudio Telmon, esperto cyber per P4I: “Quella della BCE è una posizione condivisibile. Si rivolge ad un settore già maturo, per il quale la gestione dei rischi di cybersecurity è un requisito da molti anni, e per il quale nel 2024 la cybersecurity è stata oggetto di uno specifico stress test”.
“Non è un requisito al quale le banche non possano adempiere, per quanto le tempistiche lo rendano impegnativo. La minaccia da contrastare è concreta, e quindi la richiesta che un settore così critico la affronti prima che possano esserci conseguenze gravi, non è eccessiva. Si tratta comunque di pianificazione, quindi di avviare tempestivamente un percorso con misure di breve termine e misure più strategiche, che porti le banche ad essere resilienti a questa minaccia”, dice Telmon.
Indice degli argomenti
La lettera BCE alle banche per la minaccia cyber AI: la responsabilità è del vertice, non solo dell’it
L’aspetto più rilevante della lettera non è soltanto la deadline. È il fatto che la Bce attribuisce la responsabilità primaria della risposta ai management bodies delle banche. Investimenti ict, allocazione delle risorse e quadri di tolleranza al rischio devono essere rivisti ai livelli più alti della governance. Non è un dossier da lasciare ai tecnici o al ciso: entra nel perimetro delle decisioni strategiche del board.
Per chi segue la vigilanza bancaria europea, il segnale è chiaro. La cybersicurezza legata all’AI viene trattata come un tema di sana e prudente gestione, non come un adempimento tecnico separato dal governo dell’istituto. Questo cambia anche il metro con cui saranno giudicate le banche nei prossimi mesi: non solo policy e framework, ma capacità di mobilitare budget, personale e priorità esecutive.
La Bce lega la stretta alle criticità già emerse in vigilanza
La lettera non nasce nel vuoto. Già dopo l’arrivo di Mythos la Bce aveva lanciato l’allarme.
Francoforte aveva chiesto agli istituti di chiudere “senza ritardo” i rilievi aperti e le misure correttive già emerse in precedenti attività di supervisione, comprese ispezioni on-site, targeted review e il cyber resilience stress test del 2024. Il punto è importante perché mostra la continuità tra i nuovi rischi e debolezze che la vigilanza sostiene di avere già identificato.
Adesso, arriva l’escalation, del resto già preventivato dalla BCE nel primo messaggio.
La Bce, in sostanza, dice alle banche che i ritardi accumulati su remediation, aggiornamento delle infrastrutture e controllo delle esposizioni tecnologiche diventano più gravi in un contesto in cui le capacità offensive accelerate dall’AI comprimono i tempi di reazione.
DORA resta il quadro di riferimento, ma ora i tempi si accorciano
Nella lettera c’è un altro passaggio utile a chiarire il perimetro regolatorio. La Bce precisa che i requisiti del Digital Operational Resilience Act restano “highly relevant and valid”. La nuova iniziativa non crea dunque un binario parallelo rispetto a DORA, ma rafforza l’urgenza di attuazione di obblighi già esistenti su governance, gestione del rischio ict, risposta agli incidenti e controllo della supply chain digitale.
Il valore aggiunto della lettera è che traduce quel quadro in una lista molto concreta di priorità, distinguendo tra misure di breve termine e interventi strutturali.
Perimetro, patching, monitoraggio: la lista delle urgenze
Nel breve periodo, la Bce chiede tre cose. La prima è accelerare il vulnerability e patch management “at scale”. La seconda è rafforzare monitoraggio, detection e capacità difensive basate su AI. La terza è verificare se la gestione del rischio di terze parti sia adeguata alla situazione attuale, dato il ruolo dei fornitori ict nelle catene critiche di approvvigionamento.
Gli allegati operativi rendono ancora più esplicita la richiesta. Le banche devono identificare gli asset ict, compresi software di terzi e componenti open source, monitorare in modo continuo gli asset internet-facing ed esternamente esposti, gli ambienti cloud e le connessioni vpn verso terzi, e dare priorità alle tecnologie di perimetro. La vigilanza aggiunge anche un elemento spesso trascurato: i vettori di attacco possono arrivare non solo dall’esterno, ma anche da sorgenti interne.
Qui si vede il taglio scelto dalla Bce. Non un richiamo generico alla prudenza, ma una richiesta di revisione immediata della superficie d’attacco e dei tempi di remediation.
“L’approccio prescrittivo della BCE è in linea con l’approccio della UE in materia di tecnologie ICT usate in ambito finanziario”, aggiunge l’esperto cyber Alessandro Curioni a Cybersecurity360.
“Una linea stabilità con forza dal Regilamento DORA che si focalizza proprio sulla resilienza digitale. L’IA appartiene pur sempre a questo ambito. In particolare il fatto che venga stressata la prevenzione di attacchi basati sulle IA indica altresi la consapevolezza di non avere alcun tipo di sovranità e controllo sull’IA”.
“Questo significa che alla BCE forse prendono in seria considerazione una piu alta esposizione a rischi di attacchi a sfondo geopolitico”, conitnua.
L’AI difensiva sì, ma con controlli, supervisione umana e risk management
Un punto interessante della lettera è che Francoforte non rifiuta l’uso di strumenti difensivi basati su AI. Al contrario, ammette che possano aiutare nel vulnerability scanning, nel monitoraggio e nella detection. Ma pone condizioni chiare: valutazione preventiva di benefici e rischi, salvaguardie adeguate, supervisione umana e robusto risk management.
Questo passaggio merita attenzione perché evita due semplificazioni frequenti. La prima è che l’AI sia solo un acceleratore del rischio. La seconda è che basti introdurre più automazione per compensare il problema. La Bce dice invece che gli strumenti AI possono essere utili, ma devono entrare in un perimetro di governance forte e verificabile.
Supply chain e outsourcing: per la Bce la banca resta pienamente responsabile
Tra i punti più sensibili per il settore c’è quello sui fornitori. La lettera ricorda che gli istituti restano esposti ai rischi derivanti dai servizi ict esternalizzati e ne restano “fully accountable”. La vigilanza chiede alle banche di verificare se i fornitori siano preparati a gestire disclosure e patching accelerati e se gli accordi contrattuali e gli sla consentano remediation rapide sui sistemi più critici.
Per un settore che dipende in modo crescente da software di terzi, open source e servizi cloud, è uno dei passaggi più pesanti. La lettera sposta il baricentro del controllo dalla sola infrastruttura interna alla catena di dipendenze tecnologiche che attraversa l’intera operatività bancaria.
Legacy, zero trust, micro-segmentazione: la Bce entra nel merito della postura difensiva
Gli allegati mostrano anche il livello di dettaglio tecnico che la vigilanza si aspetta. La Bce indica tra le misure strutturali il rafforzamento della defence-in-depth, l’adozione di segmentazione e, dove possibile, micro-segmentazione, l’applicazione di principi zero trust, controlli di accesso robusti, least privilege, autenticazione multifattore, logging completo e pratiche di sviluppo secure-by-design. Chiede inoltre di sostituire o aggiornare tecnologie legacy, non supportate o giunte a fine vita, oppure di proteggerle con controlli aggiuntivi dove la sostituzione non sia immediatamente possibile.
Questo rende la lettera diversa da un semplice richiamo prudenziale. La Bce descrive una postura difensiva attesa, con priorità che toccano architettura, processi di change management e capacità di risposta.
Il risk appetite framework entra nel perimetro cyber
Un altro passaggio che può pesare nei rapporti tra vigilanza e banche riguarda il risk appetite framework. La Bce chiede di aggiornare metriche, soglie di tolleranza e controlli, comprese quelle legate alla frequenza del patch management, alla luce del nuovo profilo di rischio derivante sia dall’uso interno dei modelli sia dall’esposizione indiretta. E aggiunge che gli istituti dovrebbero valutare se il quadro complessivo di propensione al rischio continui a guidare in modo adeguato anche le decisioni di accettazione del rischio e le policy di origination.
È un passaggio che allarga il campo. Il tema non riguarda più solo la tenuta dei controlli tecnici, ma può riflettersi sulle scelte operative e commerciali della banca.
Non bastano i piani: servono test su scenari ad alta intensità
La Bce insiste anche su response e recovery. Chiede assetti robusti e testati per crisis management, incident response, backup, failover, restoration e recovery, in coerenza con DORA. E chiede esercitazioni su scenari di attacco ad alta velocità e alto volume, compromissioni tramite zero-day, ransomware, attacchi distruttivi e interruzioni della supply chain o dei servizi cloud.
Qui il punto è evidente: la vigilanza si aspetta che le banche smettano di ragionare su scenari ordinari e si preparino a condizioni in cui il numero di vulnerabilità, exploit e tentativi di intrusione cresce più rapidamente della capacità tradizionale di gestione.
Francoforte rinvia altri adempimenti per liberare risorse
Per dare peso alla richiesta, la Bce alleggerisce anche parte del carico di vigilanza. La raccolta annuale dell’IT Risk Questionnaire slitta da settembre 2026 a febbraio 2027, mentre eventuali aggiustamenti ad altre attività, come ispezioni o deep dive, saranno valutati caso per caso.
È un dettaglio che conta. Dice che Francoforte considera la risposta alle minacce AI-enabled abbastanza urgente da giustificare una riallocazione del tempo e delle risorse degli istituti.
La lettera BCE per minaccia cyber AI va oltre l’emergenza del momento
Nella parte finale, la Bce segnala anche un fronte successivo: il quantum computing e la necessità di iniziare fin da ora il percorso verso la post-quantum cryptography, che sarà oggetto di una lettera separata.
Questo allarga la prospettiva. La vigilanza europea non sta reagendo solo alla pressione del ciclo mediatico sull’AI, ma sta costruendo una linea più ampia sulle tecnologie emergenti che possono cambiare in profondità la sicurezza operativa del settore finanziario.
Il dato, alla fine, è che la Bce ha scelto un approccio più diretto di quello visto finora in altre grandi giurisdizioni. Ha dato una scadenza ravvicinata, ha indicato priorità molto concrete e ha spostato la responsabilità sul board. Per le banche europee, da qui a fine ottobre, il banco di prova non sarà la qualità delle dichiarazioni di principio, ma la capacità di mostrare un piano credibile su perimetro, patching, fornitori, resilienza operativa e modernizzazione dei sistemi.












Partecipa alla community