Il Comitato europeo per il rischio sistemico (CERS) ha pubblicato un avvertimento sui rischi informatici sistemici derivanti dai modelli di intelligenza artificiale più avanzati (frontier AI models), e la BCE, in linea con tale avvertimento, ha inoltrato una lettera ai CEO delle principali banche dell’area euro direttamente vigilate, con le aspettative di vigilanza per affrontare le minacce informatiche legate all’IA.
L’avviso giunge dopo che il Comitato generale del CERS ha valutato il rischio informatico sistemico come “grave” a giugno, rispetto al livello “elevato” di marzo.
I modelli di intelligenza artificiale più all’avanguardia sono modelli di IA avanzati in grado di influenzare in modo significativo le operazioni informatiche offensive o difensive: rappresentano un cambio di paradigma per la sicurezza informatica.
A lungo termine, è probabile che questi modelli rafforzino la resilienza informatica; nel breve-medio termine, tuttavia, offrono un vantaggio agli attori delle minacce, consentendo loro di individuare vulnerabilità ed eseguire attacchi informatici con maggiore velocità, portata e sofisticazione.
Inoltre, la concentrazione dei principali fornitori di IA al di fuori dell’Unione europea espone l’UE a rischi di dipendenza strategica e geopolitici.
L’avviso del CERS:
- spiega come questi modelli stiano rimodellando il panorama delle minacce informatiche
- valuta i rischi sistemici che ne derivano
- delinea le implicazioni per le autorità pubbliche e le istituzioni finanziarie private.
Al fine di rafforzare il messaggio di avvertimento, il Comitato generale invita l’UE ad ampliare le proprie capacità, competenze e autonomia strategica in questo ambito critico: ciò richiede una risposta coordinata da parte di tutte le parti, inclusi i fornitori di IA, i fornitori di software, le società di sicurezza, i manutentori di progetti open source, le istituzioni finanziarie e le autorità sia a livello nazionale che a livello dell’Unione.
Il Comitato generale del CERS ha inoltre pubblicato la nota “Affrontare i modelli di intelligenza artificiale di frontiera con capacità informatiche da una prospettiva di stabilità finanziaria”, che fornisce un’ulteriore analisi dei rischi identificati.
La lettera della BCE ai CEO delle banche UE vigilate: le aspettative di vigilanza BCE
La BCE, in tale contesto, ha indirizzato in data odierna una lettera agli amministratori delegati delle principali banche dell’area euro dalla Vigilanza bancaria della BCE, con le aspettative di vigilanza per affrontare il panorama in continua evoluzione delle minacce informatiche legate all’IA.
La BCE ricorda nella lettera pubblicata, infatti, che la responsabilità di rispondere al contesto in continua evoluzione del rischio informatico ricade principalmente sugli organi direttivi delle banche: le decisioni strategiche relative alle tecnologie dell’informazione, inclusi gli investimenti, l’allocazione delle risorse e i quadri di tolleranza al rischio relativi al rischio informatico, potrebbero dover essere rivisti.
In particolare, si prevede che i sistemi di governance e di controllo debbano essere rafforzati ove necessario.
La BCE sottolinea l’importanza di affrontare senza indugio le criticità e le misure di vigilanza ancora attuali relative alle aree TIC oggetto di attenzione e i rischi per la sicurezza individuati nelle precedenti attività di vigilanza, quali ispezioni in loco, revisioni mirate e stress test sulla resilienza informatica del 2024.
Dato il rapido evolversi del panorama delle minacce, le debolezze esistenti che rimangono irrisolte potrebbero diventare sempre più rilevanti e rappresentare rischi significativi per la resilienza operativa.
I requisiti stabiliti da DORA restano senz’altro validi alla luce dell’imminente cambiamento del panorama della sicurezza informatica; in linea con tali requisiti, la BCE invita le istituzioni più importanti a valutare senza indugio l’impatto del panorama delle minacce in continua evoluzione e a sviluppare un piano d’azione completo, che:
- delinei misure concrete per rafforzare i controlli pertinenti
- allochi le risorse necessarie
- definisca i ruoli e le responsabilità in modo chiaro
- stabilisca tempistiche di attuazione.
Il piano d’azione – prosegue la BCE – dovrebbe basarsi sulla strategia di rischio informatico esistente della banca e affrontare sia le priorità immediate che gli aspetti strategici a lungo termine.
Nel breve periodo, particolare attenzione dovrebbe essere rivolta alle seguenti aree:
- accelerare la gestione delle vulnerabilità e delle patch su larga scala
- potenziare le capacità di monitoraggio, rilevamento e difesa basate sull’intelligenza artificiale
- verificare che la gestione del rischio di terze parti sia adeguata alla situazione attuale, alla luce del ruolo dei fornitori di servizi ICT nelle catene di approvvigionamento critiche.
Nell’ambito delle misure a breve termine, è fondamentale, per prepararsi all’aumento delle minacce informatiche basate sull’IA, dare priorità alla protezione delle tecnologie perimetrali e delle risorse ICT esposte a Internet e all’esterno, inclusi software di terze parti e componenti open source.
Oltre a queste azioni a breve termine, la resilienza operativa e informatica dovrebbe essere rafforzata attraverso misure strutturali, tra cui:
- il rafforzamento della difesa multilivello e dell’igiene informatica
- la modernizzazione delle infrastrutture mediante la sostituzione o l’aggiornamento delle tecnologie obsolete, non supportate o a fine ciclo di vita
- il miglioramento della resilienza operativa attraverso meccanismi di risposta e ripristino, inclusa la gestione delle crisi, nonché accordi di condivisione delle informazioni.
Tale piano d’azione dovrebbe essere presentato al rispettivo Joint Supervisory Team (JST) entro il 31 ottobre 2026; il JST si confronterà quindi ulteriormente con la banca per discutere il piano d’azione e ne monitorerà i progressi.
Inoltre, la BCE effettuerà un’analisi orizzontale dei piani d’azione presentati per individuare tendenze, sfide e aree di miglioramento, e condividerà le conclusioni di tale analisi con le istituzioni più importanti al fine di supportarle nel rafforzamento della loro resilienza in materia di ICT.
Al fine di consentire alle istituzioni vigilate di dare priorità ai propri sforzi e di concentrare le risorse sulle aree chiave pertinenti, la BCE ha inoltre deciso di prorogare la scadenza per la raccolta annuale del questionario sui rischi IT da settembre 2026 a febbraio 2027.
Alla luce di tali sviluppi sulle minacce informatiche legate all’IA e in linea con l’avvertimento del CERS sui “rischi informatici sistemici derivanti da modelli di intelligenza artificiale di frontiera“, la BCE si aspetta quindi che gli istituti significativi adottino misure immediate e proattive per affrontare l’aumento dei rischi.
Infine, la BCE sottolinea che altre tecnologie emergenti, come i progressi in corso verso il calcolo quantistico pratico, avranno un impatto significativo sul panorama della sicurezza informatica: l’adozione della crittografia post-quantistica potrebbe richiedere tempi più lunghi, ma deve iniziare ora e necessita di investimenti strategici e costanti nel tempo.
Anche le ESAs sostengono l’avvertimento del CERS sulle minacce informatiche legate all’IA
Si segnala che, sul tema, che anche le ESAs hanno accolto con favore e sostengono l’avvertimento odierno del CERS sui rischi informatici sistemici posti dai modelli di intelligenza artificiale più all’avanguardia, in quanto i recenti progressi hanno notevolmente migliorato la capacità dei modelli di intelligenza artificiale di identificare e sfruttare vulnerabilità di elevata gravità nei sistemi informatici in tempi brevissimi.
Anche le ESAs ricordano che, sebbene il quadro normativo dell’UE – DORA e AI Act – fornisca una solida base per la gestione dei rischi informatici e legati all’IA, la velocità e la portata di questi strumenti sollevano preoccupazioni sul fatto che gli attacchi informatici basati sull’IA possano compromettere la resilienza operativa degli enti finanziari.
Fin dal rilascio dei primi modelli di intelligenza artificiale più avanzati, le ESAs hanno sensibilizzato l’opinione pubblica sui rischi ICT derivanti dall’adozione diffusa di questi modelli e hanno collaborato con le autorità competenti dell’UE per garantire che gli enti finanziari adottino misure di mitigazione adeguate.
Le ESAs ricordano inoltre che, nella loro prima relazione annuale sui principali incidenti informatici ai sensi del DORA, hanno infatti incoraggiato in particolare gli enti finanziari a rafforzare le misure di cybersicurezza per mantenere la propria resilienza di fronte alla rapida evoluzione di strumenti basati sull’intelligenza artificiale altamente performanti.
In questo contesto, le ESAs:
- concordano con l’avvertimento del CESRB e sollecitano gli enti finanziari ad adottare misure adeguate per adeguare le proprie capacità di cybersicurezza
- invitano le autorità competenti a recepire questi sviluppi nelle proprie attività di vigilanza
- prendono atto dell’appello del CERS all’UE affinché potenzi le proprie capacità, competenze e autonomia strategica in questo settore critico, che richiede il coinvolgimento di tutte le parti, inclusi i fornitori di intelligenza artificiale, i fornitori di software, le società di sicurezza, i gestori di progetti open source, gli istituti finanziari e le autorità sia a livello nazionale che comunitario
- collaborano strettamente con la comunità di vigilanza dell’UE per garantire che gli enti finanziari in tutta l’UE identifichino e mitighino proattivamente questi rischi in linea con i requisiti DORA
- in qualità di autorità di vigilanza sui fornitori terzi di servizi ICT critici, stanno collaborando con tali fornitori sulle misure che stanno adottando per adattarsi alla situazione, al fine di gestire i rischi e garantire la continuità dei servizi forniti al settore finanziario dell’UE
- continueranno a monitorare attentamente l’utilizzo e lo sviluppo di modelli di intelligenza artificiale altamente capaci in ambito informatico e a valutarne il potenziale impatto sul settore finanziario
- per promuovere un approccio di vigilanza coerente, basato sul rischio e lungimirante in questo ambito, stanno collaborando con le autorità di vigilanza nazionali per chiarire le aspettative in materia di vigilanza e le comunicheranno in modo coerente agli enti finanziari per garantire la conformità con il quadro normativo vigente.
#Adessonews seleziona nella rete articoli di particolare interesse.
Se vuoi leggere l’articolo completo clicca sul seguente link
Valentina Rocca
Source link



