Home Fondamenti Storia dell'AI Reti Neurali Backpropagation Architetture Token Modelli AI Case Studies Tecniche RAG RAG Avanzato GraphRAG MCP Orchestrazione LangChain LangGraph Prompt Engineering Usare l'AI ChipsBot News

La BCE chiede alle banche un piano urgente contro le minacce cyber potenziate dall’AI

Agenda Digitale 7 luglio 2026

La Banca centrale europea (BCE) ha emanato un comunicato formale indirizzato ai vertici di tutte le banche significative dell’area euro in cui richiama a prendere immediatamente in seria considerazione le minacce generate dall’uso dell’intelligenza artificiale su sistemi informatici. La BCE ha fissato una data limite precisa: entro il 31 ottobre 2026 le banche dovranno depositare un piano d’azione concreto, con misure definite, risorse dedicate, responsabilità assegnate e un cronoprogramma chiaro.

Un tema che arriva al vertice degli istituti

Un’azione di questo tipo, diretta a tutti i gruppi di vertice della banche europee su un tema specifico e con un termine di consegna, rientra nell’eccezionalità. La BCE vuole far capire quanto critica sia la questione e che non può più essere delegata esclusivamente ai reparti tecnici. Il messaggio che arriva è chiaro: la gestione delle minacce informatiche generate dall’AI deve diventare un’area centrale del piano strategico e opera diretta dei consigli di amministrazione.

Minacce accelerate dell’AI

Ai piedi dell’invito c’è una motivazione tecnica. Ogni software contiene errori: alcuni sono innocui, altri si rivelano vulnerabilità che possono essere sfruttate. Prima, trovare queste falla richiedeva ore di lavoro di esperti rari, e creare l’“exploit”, il codice che trasforma le falla in porte d’ingresso agli hacker, richiedeva livelli di competenza molto elevati. Oggi, grazie agli ultimi modelli di intelligenza artificiale, la scoperta e l’approfittamento delle vulnerabilità avvengono con velocità senza precedenti.

Facciamo un esempio pratico: il CERT-EU ha intitolato uno studio “AI is changing the economics of vulnerability discovery”, sottolineando come i modelli di AI non solo stiano riconoscendo falli software con maggiore precisione, ma lo stiano facendo in tempi molto ridotti. La finestra di tempo che separa la scoperta da una vulnerabilità e il suo sfruttamento è diventata quasi inesistente.

Sicurezza informatica e tempo limitato

Questa accelerazione crea un problema strutturale. La sicurezza informatica ha sempre rischiato a causa della velocità asimmetrica: chi cerca le falla (l’attaccante) deve trovare una sola falla; chi ne chiude tante (il difensore) deve proteggere tutte. Con l’aiuto dell’AI questo confronto si è ulteriormente inasprito. Prima le banche avevano tempo per reagire, per oggi non c’è margine.

Rischi esponenzialmente più gravi

La BCE ha chiarito in maniera precisa che non si tratta di nuovi rischi, bensì di quelli precedenti con una velocità di materializzazione molto più alta. Gli errori di sistemi obsoleti, la mancata aggiornamenti delle componenti o le infrastrutture protette male, che fino a poco tempo fa rappresentavano problemi conosciuti e gestibili, ora diventano pericolosi in modo esponenziale. La BCE si aspetta che i vertici affrontino queste criticità al momento, per evitare di rimettere in gioco dati di clienti, bilanci e operatività.

I due livelli del piano d’azione

Le banche dovranno consegnare un piano articolato su due orizzonti. Il primo riguarda azioni rapide e di corto periodo, mentre il secondo è concentrato su strategie strutturali.

Priorità immediate

    • Gestione accelerata delle vulnerabilità. Le banche devono anticipare l’applicazione di aggiornamenti, al passo con ritmi accelerati. L’obiettivo è di essere sempre un passo avanti alla scoperta delle falla.
    • Rafforzamento del monitoraggio. I vertici tecnici devono migliorare l'efficacia delle proprie misure preventive e di difesa con l’uso di intelligenza artificiale, ma sempre sorvegliato da processi controllati da uomini.
    • Fornitori e perimetro. Le banche dovranno verificare la capacità tecnica dei fornitori esterni ad affrontare la nuova velocità di correzioni e proteggere con priorità gli asset esposti a internet, compresa la gestione del software open-source.

Strategie strutturali

Come base, la BCE chiede adottare un atteggiamento proattivo, considerando che prima o poi qualcuno riuscirà a entrare nei sistemi. Su questa premessa si costruiscono strumenti di sicurezza che funzionano anche se il confine difensivo cede. Alcuni aspetti fondamentali di questo piano strutturale sono:

    • Segmentazione delle reti: isolare aree di sistema in comparti diversi, in modo che un attacco in un punto non comprometta l’intero ambiente digitale.
    • Prinicipi di zero trust: considerare ogni accesso un rischio e verificare costantemente la sua legittimità.
    • Manutenzione della sicurezza: un processo che include controllo quotidiano di dispositivi, accessi e attività in rete.
    • Obsolescenza tecnologica: sostituire sistemi non aggiornabili, tecnologie non supportate e software fragili.
    • Capacità di ripresa: testare regolarmente piani di emergenza per minacce ad alto impatto, ad esempio per incidenti ransomware o interruzioni cloud.

La responsabilizzazione del vertice

Un aspetto critico del messaggio è il trasferimento della responsabilità al piano strategico. La BCE richiede che i consigli di amministrazione riesamino investimenti, risorse, rischio e cultura organizzativa. Le decisioni sull’organizzazione del lavoro e la gestione degli investimenti informatici devono rispondere a un contesto accelerato, con capacità e infrastrutture aggiornate.

Chiede, inoltre, di rivedere le soglie di accettabilità del rischio, in un contesto dove la velocità della minacce aumenta. La sensibilità al rischio deve tenere conto non solo dell’uso interno dell’intelligenza artificiale, ma anche esposti indiretti ad essa.

Formazione e consapevolezza

Più di ogni altra cosa, il messaggio della BCE invita le banche a migliorere la formazione interna. Non solo per gli addetti ai lavori, ma per tutti i dipendenti. La consapevolezza sui rischi deve essere diffusa a livello culturale, diventando abitudine nell’organizzazione.

Leggi l'articolo originale →
← Torna alle news