Pubblicato il 10 luglio 2026 su Punti di vista sul mercato

AI e cyber risk, l’allarme delle autorità UE: “I modelli di frontiera possono automatizzare attacchi alla finanza”

L’intelligenza artificiale promette di rafforzare nel tempo la sicurezza informatica del settore finanziario. Ma, nel breve periodo, rischia di fare soprattutto il contrario. È il monito lanciato il 7 luglio 2026 dall’European Systemic Risk Board (ESRB) , l’organismo europeo preposto alla vigilanza macroprudenziale. Secondo l’ESRB, i modelli AI di frontiera stanno raggiungendo capacità tali da poter condurre attacchi cyber completamente automatizzati contro i sistemi che sostengono l’infrastruttura finanziaria del Vecchio Continente.

Il livello di allerta sale a “grave”

L’avvertimento arriva dopo che il General Board dell’ESRB ha valutato il rischio cyber sistemico come “grave” (severe) a giugno 2026, innalzandolo dal precedente livello “elevato”. I modelli di frontiera – definiti come sistemi AI avanzati in grado di influenzare in modo sostanziale le operazioni cyber offensive o difensive – rappresentano “un cambiamento di paradigma per la cybersecurity”. Nel breve-medio termine, offrono un vantaggio significativo agli attori malevoli, consentendo loro di individuare vulnerabilità ed eseguire attacchi con velocità, scala e sofisticazione senza precedenti.

Un aspetto particolarmente preoccupante è la capacità di questi modelli di identificare e sfruttare vulnerabilità di elevata gravità nei sistemi IT in tempi molto brevi, comprimendo drasticamente l’intervallo tra la scoperta della falla e il suo sfruttamento. La presidente del Consiglio di Vigilanza della BCE, Claudia Buch, ha sottolineato che si tratta di “un cambiamento a lungo termine nel panorama delle minacce, non di un fenomeno temporaneo o di un rischio legato a un singolo strumento”.

L’appello congiunto delle autorità di vigilanza

L’allarme è stato immediatamente raccolto dalle tre Autorità europee di vigilanza (ESMA, EBA ed EIOPA) , che in una dichiarazione congiunta hanno sostenuto l’avvertimento dell’ESRB e invitato gli operatori del settore finanziario a “rafforzare le proprie difese informatiche”.

“Sebbene il quadro normativo dell’UE – tra cui il DORA (Digital Operational Resilience Act) e l’AI Act – fornisca una solida base per la gestione dei rischi informatici e legati all’AI, la velocità e la portata di questi strumenti sollevano preoccupazioni sul fatto che gli attacchi informatici basati sull’AI possano compromettere la resilienza operativa degli enti finanziari”, si legge nella nota delle ESA.

Le autorità hanno inoltre ricordato che, già nella loro prima relazione annuale sugli incidenti ICT ai sensi del DORA, avevano incoraggiato gli enti finanziari a rafforzare le misure di cybersecurity per mantenere la propria resilienza.

La lettera della BCE ai CEO delle banche: piani entro ottobre

Sul tema è intervenuta anche la Banca Centrale Europea. In una lettera indirizzata agli amministratori delegati degli istituti significativi, la presidente del Consiglio di Vigilanza Claudia Buch ha chiesto di valutare senza ritardo l’impatto del nuovo scenario di rischio e predisporre un piano d’azione organico entro il 31 ottobre 2026.

Per Buch, il rapido avanzamento dell’intelligenza artificiale rappresenta un cambiamento strutturale destinato a modificare per sempre il panorama delle minacce informatiche. “Pur non introducendo rischi completamente nuovi, queste tecnologie ne amplificano in maniera significativa non solo velocità ma anche scala, rendendo ancora più urgente il rafforzamento delle misure di resilienza ICT e l’accelerazione degli interventi sulle vulnerabilità”.

La lettera della BCE – inviata a 110 banche sotto la sua supervisione – individua tre aree critiche su cui gli istituti devono concentrarsi:

  • Accelerare la gestione delle vulnerabilità e delle patch su larga scala, riducendo i tempi tra l’identificazione delle falle e la loro correzione.
  • Potenziare le capacità di monitoraggio, rilevamento e difesa basate sull’intelligenza artificiale.
  • Verificare l’adeguatezza della gestione del rischio di terze parti, alla luce del ruolo dei fornitori ICT nelle catene di approvvigionamento critiche.

“Inoltre – ha sottolineato Buch – dare priorità alla protezione delle tecnologie perimetrali e delle risorse ICT esposte a Internet è fondamentale per prepararsi all’aumento delle minacce”.

I limiti delle difese attuali

Tra gli aspetti più critici evidenziati dall’ESRB figura l’inadeguatezza degli attuali sistemi di aggiornamento della sicurezza. Il settore finanziario continua ad affidarsi prevalentemente a pratiche reattive basate su aggiornamenti periodici e interventi successivi alla scoperta delle vulnerabilità. Un modello che non è più sufficiente in uno scenario nel quale il numero delle falle individuate dagli algoritmi cresce rapidamente e il tempo disponibile per intervenire si riduce drasticamente.

Da qui la constatazione: occorre ormai partire dal presupposto che una parte degli attacchi riuscirà inevitabilmente ad andare a segno e organizzare di conseguenza le strategie di difesa.

Una questione geopolitica

L’ESRB ha infine richiamato l’attenzione su un ulteriore elemento di rischio: la concentrazione dei principali sviluppatori di intelligenza artificiale in Paesi al di fuori dell’Unione europea. “La forte dipendenza da pochi operatori extracomunitari espone il sistema finanziario UE anche a rischi di natura strategica e geopolitica”, ha osservato il Comitato, “rafforzando la necessità di sviluppare capacità tecnologiche autonome e di integrare la sicurezza informatica tra le priorità della vigilanza prudenziale”.

Un invito all’azione coordinata

L’ESRB ha sottolineato che la risposta a questa minaccia richiede uno sforzo coordinato di tutte le parti coinvolte: fornitori di AI, sviluppatori di software, aziende di sicurezza, istituzioni finanziarie e autorità a livello nazionale e unionale. Le autorità di vigilanza, dal canto loro, continueranno a monitorare da vicino l’evoluzione dei modelli AI con capacità cyber e il loro potenziale impatto sul settore finanziario.

Il messaggio delle autorità è quindi chiaro: l’AI non rappresenta soltanto una nuova opportunità di innovazione per il settore finanziario, ma anche un fattore destinato a ridefinire profondamente il profilo del rischio operativo. Per banche, assicurazioni e operatori dei mercati, rafforzare la resilienza cyber non è più un obiettivo di medio periodo, bensì una priorità immediata.


Fonte: Link

I suggerimenti di Fundstore

Il capitale non investito è soggetto a svalutazione dovuto a inflazione e altri fattori. In attesa del momento giusto per investire, Fundstore ti mette a disposizione un Conto Corrente Web che remunera il tuo capitale a un tasso vantaggioso, senza vincoli e senza limiti. Inizia a risparmiare oggi, scopri di più cliccando Qui

Fundstore Team

Il nostro gruppo di lavoro. Pubblichiamo articoli inerenti il funzionamento e le novità di Fundstore e facciamo una selezione del materiale più interessante che riceviamo dalle società di gestione.

Investi con Fundstore

Grazie a Fundstore puoi investire in modo semplice, autonomo, veloce e a costo zero.