
Volgens het comité veranderen deze modellen het cyberdreigingslandschap fundamenteel en kunnen ze leiden tot nieuwe systeemrisico's voor de financiële stabiliteit.
Volgens de waarschuwing beschikken de nieuwste generatie AI-modellen over geavanceerde cybercapaciteiten. Ze zijn in staat om kwetsbaarheden op te sporen, werkende exploits te ontwikkelen en grootschalige cyberaanvallen grotendeels autonoom uit te voeren. Daarbij overtreffen ze eerdere AI-modellen op het vlak van snelheid, schaal en nauwkeurigheid.
Het ESRB stelt dat hierdoor de tijd tussen het ontdekken van een kwetsbaarheid en het misbruiken ervan aanzienlijk korter wordt. De traditionele "defensieve tijdbuffers", waarin organisaties software konden herstellen voordat kwetsbaarheden werden uitgebuit, dreigen daardoor grotendeels weg te vallen.
Het comité wijst erop dat de huidige patchingpraktijken in de financiële sector (het installeren van software-updates en herstelbestanden (patches) om beveiligingslekken te dichten, bugs op te lossen of prestaties te verbeteren) voornamelijk reactief zijn. Wanneer AI ervoor zorgt dat veel meer kwetsbaarheden in korte tijd worden ontdekt, kunnen bestaande processen overbelast raken.
Financiële instellingen kunnen daardoor voor moeilijke keuzes komen te staan: kritieke software sneller implementeren met minder uitgebreide tests of langer wachten en daardoor een groter cyberrisico lopen. Beide opties kunnen gevolgen hebben voor de operationele weerbaarheid.
Door de sterke onderlinge afhankelijkheid van financiële instellingen, ICT-systemen en externe dienstverleners kunnen cyberincidenten zich snel verspreiden. Het ESRB waarschuwt dat aanvallen op gedeelde software, cloudomgevingen of veelgebruikte open-sourcecomponenten niet alleen individuele organisaties kunnen treffen, maar ook de stabiliteit van het volledige financiële stelsel kunnen beïnvloeden.
Hoewel de geavanceerde AI-modellen ook defensieve mogelijkheden bieden, bijvoorbeeld voor het opsporen van kwetsbaarheden en het ondersteunen van herstelmaatregelen, verwacht het ESRB dat de offensieve voordelen op korte tot middellange termijn zwaarder zullen doorwegen.
Volgens de waarschuwing verhogen FAIM's het ICT-risico binnen de financiële sector op vier belangrijke vlakken:
Daarnaast wijst het ESRB erop dat financiële instellingen een volledig zicht moeten behouden op waar en hoe AI binnen hun organisatie wordt ingezet.
Het ESRB benadrukt dat individuele maatregelen van financiële instellingen onvoldoende zullen zijn om deze risico's te beheersen. Een doeltreffende aanpak vereist samenwerking tussen AI-aanbieders, softwareontwikkelaars, beveiligingsbedrijven, beheerders van open-sourceprojecten, financiële instellingen en nationale en Europese autoriteiten.
Ook toezichthouders worden opgeroepen om de nieuwe risico's mee te nemen in hun toezicht, beleidsmaatregelen en risicobeoordelingen. Daarbij moeten financiële instellingen beschikken over duidelijke governance, verantwoordelijkheden en tijdig geplande maatregelen om AI-gedreven cyberrisico's te beperken.
Het ESRB geeft tot slot aan de verdere ontwikkeling van deze AI-modellen en de gevolgen ervan voor de financiële stabiliteit nauwgezet te blijven opvolgen en de risico's periodiek opnieuw te beoordelen.