La Banque centrale européenne a donné mardi aux banques de la zone euro un délai de quatre mois pour élaborer des plans d'urgence contre les cyberattaques activées par l'IA qui pourraient perturber les paiements et saper la confiance dans le système financier.
La directive, adressée à tous les établissements de crédit placés sous la supervision directe de la BCE, exige que les institutions identifient les vulnérabilités spécifiques aux menaces pilotées par l'IA et décrivent leurs stratégies d'atténuation, a indiqué la banque centrale. Cette mesure s'ajoute aux exigences existantes en matière de résilience opérationnelle au titre du règlement sur la résilience opérationnelle numérique (DORA), entré pleinement en vigueur en janvier 2025 et imposant des tests de résistance standardisés pour les risques liés aux technologies de l'information et de la communication.
Les banques de la zone euro doivent soumettre leurs plans dans un délai de quatre mois, couvrant des scénarios dans lesquels des outils d'IA sont utilisés pour automatiser des campagnes d'hameçonnage, manipuler des algorithmes de négociation ou infiltrer des infrastructures de paiement. Le bras de supervision de la BCE a qualifié les attaques activées par l'IA de préoccupation systémique croissante, compte tenu de la concentration des systèmes de paiement et de compensation au sein de la zone monétaire.
Cette directive s'inscrit dans un mouvement réglementaire plus large visant à traiter l'intersection entre l'intelligence artificielle et la stabilité financière. Des banques centrales, de la Banque d'Angleterre à la Réserve fédérale, ont émis des avertissements similaires concernant les cyberrisques liés à l'IA, bien que la BCE figure parmi les premières à imposer un délai de planification spécifique assorti de conséquences en cas de non-conformité.
Les banques de la zone euro ont massivement investi dans l'IA pour la détection des fraudes, la notation de crédit et le service client, mais la même technologie est de plus en plus utilisée comme arme par des acteurs malveillants. La directive de la BCE exige que les prêteurs distinguent les déploiements défensifs de l'IA des vulnérabilités créées par leurs propres systèmes d'IA, lesquels peuvent introduire de nouvelles surfaces d'attaque.
Le délai de quatre mois est relativement court par rapport aux normes réglementaires, reflétant l'urgence que la BCE accorde à cette question. Les banques qui ne respecteront pas ce délai pourraient faire l'objet d'une surveillance renforcée, a indiqué la BCE dans sa communication aux entités supervisées.
Pour les plus grands établissements de la région — notamment BNP Paribas, Deutsche Bank et UniCredit — cette directive alourdit une charge de conformité déjà croissante. Le prochain examen de supervision de la BCE devrait évaluer les cadres de gestion des risques liés à l'IA des banques dans le cadre de son cycle régulier de tests de résistance, les résultats étant susceptibles d'influencer les exigences de fonds propres pour le risque opérationnel.
La dernière fois que la BCE a imposé un délai de conformité aussi accéléré remonte à 2022, lorsqu'elle avait exigé des banques qu'elles soumettent des plans de gestion de leur exposition aux sanctions russes dans un délai de trois mois. Cette directive avait précédé une série d'exigences de fonds propres supplémentaires pour les banques dont les cadres de conformité étaient jugés insuffisants.
Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil en investissement.