La Banca centrale europea ha dato alle principali banche dell’eurozona poco meno di quattro mesi per preparare un piano contro una minaccia che fino a pochi mesi fa sembrava soprattutto teorica: l’uso dell’intelligenza artificiale avanzata per scoprire vulnerabilità, scrivere exploit e accelerare attacchi informatici su larga scala. Nella lettera firmata il 7 luglio 2026 da Claudia Buch, presidente del consiglio di vigilanza della BCE, l’istituto parla di un cambiamento strutturale del panorama cyber, non di un rischio passeggero legato a un singolo strumento. I piani dovranno arrivare entro il 31 ottobre.
La mossa di Francoforte segna una differenza netta rispetto agli altri grandi regolatori occidentali. La Bank of England ha definito “sensato” l’avvertimento europeo, ma Andrew Bailey ha chiarito che Londra non intende procedere per ordini pubblici e scadenze imposte. La Federal Reserve, con Michelle Bowman, ha insistito su un’impostazione proporzionata e più leggera per gli usi a basso rischio dell’IA, pur riconoscendo che la cyber-sicurezza è diventata un punto critico per la vigilanza bancaria.
Indice degli argomenti:
Che cosa chiede la BCE alle banche
Il cuore della richiesta europea è operativo. La BCE vuole che gli istituti accelerino la gestione delle vulnerabilità e delle patch, rafforzino monitoraggio e capacità difensive assistite dall’AI, verifichino la tenuta del rischio di terza parte e proteggano con priorità i sistemi esposti su internet, i componenti software di fornitori esterni e i pacchetti open source. Nella fase successiva, Francoforte chiede anche misure strutturali: più difese multilivello, migliore igiene cyber, aggiornamento o sostituzione delle tecnologie legacy e piani più solidi di risposta, ripristino e gestione delle crisi.
Non è un dettaglio procedurale. La BCE collega esplicitamente queste richieste agli esiti delle ispezioni pregresse, delle review mirate e dello stress test sulla resilienza cyber del 2024. In altre parole, il supervisore teme che debolezze già note possano diventare più pericolose in un contesto in cui i tempi tra scoperta della falla e sfruttamento si riducono drasticamente. Per liberare risorse interne, la BCE ha anche rinviato a febbraio 2027 il questionario annuale sui rischi IT e si è detta pronta a ritarare altre attività ispettive.
Perché l’AI cambia il rischio informatico
La svolta non riguarda soltanto l’arrivo di nuovi software. Secondo la BCE, i modelli di frontiera sono ormai in grado di identificare vulnerabilità e generare exploit funzionanti a una velocità senza precedenti. L’ESRB, l’organismo macroprudenziale dell’Unione, va oltre: nel warning del 25 giugno 2026 scrive che questi modelli possono eseguire attacchi completamente automatizzati su sistemi complessi e comprimere i “cuscinetti temporali” che finora hanno permesso ai difensori di correggere le falle prima della loro industrializzazione da parte degli attaccanti.
Il rischio, per il sistema finanziario, è doppio. Da un lato aumenta il numero di vulnerabilità individuate e quindi il carico sulle procedure di patching, già spesso lente per ragioni di stabilità operativa. Dall’altro cresce la possibilità che un attacco si propaghi tramite fornitori comuni, cloud, software condivisi e infrastrutture critiche, colpendo più soggetti nello stesso momento.
L’ESRB segnala che la combinazione tra maggiore velocità offensiva, dipendenze tecnologiche concentrate e alta interconnessione del sistema finanziario europeo può trasformare un incidente operativo in un problema di fiducia sistemica.
Il nodo della fiducia: dai server ai depositi
Il punto che preoccupa i regolatori non è solo la perdita di dati o l’interruzione di un servizio digitale. Nello scenario delineato dall’ESRB, un attacco esteso potrebbe erodere la fiducia in banche, infrastrutture di pagamento o intermediari percepiti come più fragili, con effetti di contagio tra operatori e paesi. Il warning europeo richiama il rischio che interruzioni cyber gravi finiscano per incidere sulla continuità di funzioni critiche e, nei casi estremi, inneschino corse verso controparti considerate più sicure. Per le autorità di vigilanza, il rischio cyber non è più confinato all’IT: entra nella stabilità finanziaria. (Fonte: esrb.europa.eu)
Questa lettura spiega anche il tono più assertivo della BCE. Nel suo intervento al Parlamento europeo del 2 luglio 2026, Claudia Buch ha ricordato che oltre l’85% delle banche sotto supervisione europea usa già strumenti di AI e che più del 40% considera almeno un caso d’uso “altamente rilevante” per il business. L’adozione quindi è già ampia, mentre la capacità di difesa non è uniforme. La redditività oggi elevata del settore, ha osservato Buch, offre alle banche margini per investire in sistemi IT, personale specializzato e resilienza operativa.
Londra e Washington scelgono una strada diversa
La Bank of England condivide la diagnosi, ma non la terapia regolatoria. Nelle osservazioni introduttive al Financial Stability Report del 7 luglio 2026, Andrew Bailey ha detto che i progressi dell’AI di frontiera accrescono in modo significativo i rischi per la stabilità finanziaria derivanti da vulnerabilità cyber e operative. Ha anche aggiunto che le imprese devono applicare le indicazioni diffuse a maggio con FCA e Tesoro britannico. Quel documento congiunto parla di “step change” nelle capacità cyber dei modelli di frontiera e sottolinea che gli attuali sistemi superano già, in velocità, scala e costo, il lavoro di un professionista qualificato. Ma Londra continua a preferire un metodo di confronto continuo con il settore, senza ultimatum pubblici.
Negli Stati Uniti, Michelle Bowman ha scelto un lessico ancora diverso. Nel discorso pubblicato il 1° maggio 2026, la vicepresidente della Fed per la supervisione ha sostenuto che l’AI può aumentare efficienza, velocità e qualità dei processi nelle banche di ogni dimensione. La vigilanza, secondo Bowman, deve valutare i singoli casi d’uso, evitare di ostacolare l’innovazione e mantenere flessibilità, soprattutto per gli istituti più piccoli. Anche nella testimonianza del 4 giugno 2026 al Congresso, Bowman ha parlato di collaborazione pubblico-privato, monitoraggio continuo e quadro regolatorio agile, senza proporre obblighi standardizzati paragonabili a quelli fissati dalla BCE. (Fonte: Federal Reserve)
DORA è già in vigore, ma per la BCE non basta
La stretta europea si appoggia a un impianto normativo già esistente. La BCE richiama apertamente il Digital Operational Resilience Act, il regolamento europeo sulla resilienza operativa digitale, applicabile dal 17 gennaio 2025. DORA impone a banche, assicurazioni, imprese di investimento e altri soggetti finanziari regole comuni su gestione del rischio ICT, incident reporting, test di resilienza e controllo dei fornitori critici di tecnologia. La BCE però sostiene che la nuova ondata di rischio legata ai modelli di IA richiede un’accelerazione ulteriore dentro quella cornice.
Il messaggio è semplice: essere formalmente conformi non garantisce di essere pronti a un salto di qualità della minaccia. Per questo Francoforte insiste su temi pratici come micro-segmentazione, zero trust, autenticazione multifattore, inventario degli asset, monitoraggio dei log, capacità di recovery testate e aggiornamento dei sistemi fuori supporto. Sono interventi costosi e spesso invisibili al cliente finale, ma pesano sul profilo di rischio quanto il capitale e la liquidità.
Che cosa cambia per le banche europee
Per gli istituti dell’eurozona la scadenza del 31 ottobre 2026 apre una fase di revisione concreta delle priorità di spesa. La BCE chiede ai board di riassumere direttamente il controllo del rischio ICT, rivedere tolleranze e budget, misurare la dipendenza da software e fornitori esterni, e preparare scenari di crisi in cui gli attacchi siano più rapidi, automatizzati e simultanei. Questo implica più investimenti in competenze tecniche, maggiore coordinamento tra sicurezza, operations e compliance, e una lettura diversa del rischio di outsourcing.
La pressione sarà probabilmente maggiore sulle banche con sistemi legacy, architetture stratificate e catene di fornitura complesse. La BCE non distingue solo tra grandi e piccoli gruppi: distingue tra chi è in grado di aggiornare rapidamente l’infrastruttura e chi invece è costretto a convivere con tecnologie datate, processi di patching lenti e visibilità parziale sugli asset esposti. In questo passaggio, la resilienza operativa diventa anche una questione competitiva. Chi aggiorna prima riduce il rischio e protegge margini, reputazione e costo del funding.
La posta in gioco per il mercato
La BCE ha scelto un approccio più severo perché legge l’AI avanzata come un moltiplicatore di minacce già esistenti, non come un dossier separato. La Bank of England e la Fed condividono la diagnosi di fondo ma, almeno per ora, lasciano più spazio all’autoregolazione guidata e alla proporzionalità. La differenza conta perché arriva in un settore in cui regole, costi tecnologici e modelli di business sono già sotto pressione. Se la nuova stagione della vigilanza europea funzionerà, le banche avranno infrastrutture più robuste e una disciplina cyber più vicina ai requisiti patrimoniali. Se invece l’adeguamento resterà formale, il primo vero test arriverà non da una circolare, ma dal prossimo incidente su scala sistemica.



Partecipa alla community