重點摘要:
- 歐洲央行要求歐元區銀行提交AI網路攻擊應變計畫
- 銀行面臨四個月期限以應對AI驅動的威脅
- 此指令針對可能擾亂支付與系統信心的風險
重點摘要:

歐洲中央銀行(ECB)週二給予歐元區銀行四個月時間,要求其制定針對AI驅動網路攻擊的應變計畫,此類攻擊可能擾亂支付系統並削弱金融體系信心。
歐洲央行表示,此項指令已發布給所有受其直接監管的銀行,要求各機構識別AI驅動威脅特有的弱點,並概述緩解策略。此舉是在《數位營運韌性法案》(Digital Operational Resilience Act)既有的營運韌性要求之上進一步加碼;該法案已於2025年1月全面生效,強制要求針對資訊與通訊技術風險進行標準化壓力測試。
歐元區銀行必須在四個月內提交計畫,涵蓋AI工具被用於自動化釣魚攻擊、操縱交易演算法或入侵支付基礎設施等情境。歐洲央行的監管部門已將AI驅動攻擊標示為日益嚴重的系統性隱憂,原因在於歐元區內支付與清算系統的高度集中。
該指令反映了更廣泛的監管趨勢,即處理人工智慧與金融穩定之間的交集。從英格蘭銀行到聯準會,各國央行均已針對AI驅動的網路風險發出類似警告,但歐洲央行是首批實施具體規劃期限並附帶違規後果的機構之一。
歐元區銀行已大量投資AI用於詐欺偵測、信用評分和客戶服務,但同一技術也日益被攻擊者武器化。歐洲央行的指令要求銀行區分防禦性AI部署與自身AI系統所創造的弱點,後者可能引入新的攻擊面。
以監管標準而言,四個月的期限相對較短,反映出歐洲央行對此議題的迫切性。歐洲央行在發給受監管實體的通知中表示,未能在期限內完成提交的銀行可能面臨更嚴格的監管審查。
對於該地區最大的幾家銀行——包括法國巴黎銀行、德意志銀行與裕信銀行——此項指令進一步加重了本已持續上升的合規負擔。歐洲央行下一輪監管審查預計將評估銀行的AI風險架構,作為其常規壓力測試週期的一部分,相關結果很可能影響營運風險的資本要求。
歐洲央行上一次實施類似加速合規期限是在2022年,當時要求銀行在三個月內提交管理俄羅斯制裁曝險的計畫。該指令發布後,多家合規架構不足的銀行被要求追加資本。
本文僅供資訊參考,不構成投資建議。