Европейската централна банка даде на банките в еврозоната четири месеца да изготвят конкретни планове срещу кибератаки, подпомагани от изкуствен интелект. Решението беше оповестено на 7 юли 2026 г. след поредица предупреждения от банковия надзор на ЕЦБ за нарастващ риск за банковите системи и плащанията.

Според ЕЦБ банките трябва да покажат как ще защитят критичните си информационни и комуникационни системи. Регулаторът разглежда AI подпомаганите атаки като риск за разплащанията, клиентските данни и доверието във финансовата система.

ЕЦБ иска изпълними мерки, а не общи обещания. Фокусът е върху по-бърза защита, по-добър контрол и готовност при инцидент.

Какво изисква ЕЦБ

Според писмото до главните изпълнителни директори банките трябва да представят планове за ограничаване на AI подпомаганите заплахи за своите системи. ЕЦБ предупреждава, че последствията могат да засегнат поверителността, целостта и устойчивостта на банковата инфраструктура.

На 3 юни 2026 г. Франк Елдерсон, член на Изпълнителния борд на ЕЦБ и заместник-председател на Надзорния съвет, заяви, че институцията ще изпрати т.нар. dear CEO letter до всички наблюдавани банки и ще поиска проактивни мерки. На 19 юни 2026 г. той каза, че ЕЦБ вече работи с всички банки под свой надзор по темата за operational resilience в условията на frontier AI models.

Защо срокът е важен

ЕЦБ не третира темата като обичаен технологичен ъпдейт. Надзорът приема, че AI променя самия профил на киберриска.

Според оценката на регулатора тези инструменти могат:

  • да откриват уязвимости по-бързо,
  • да комбинират отделни слабости в по-големи атаки,
  • да съкращават времето за реакция на защитните системи.

В реч на 3 юни 2026 г. Елдерсон посочи, че над 85% от значимите банки под европейски надзор вече използват изкуствен интелект. Това носи ползи за управлението на риска и сигурността. Същевременно дава по-силни инструменти и на нападателите.

Рискът за плащанията

Темата има значение и за България, въпреки че страната не е в еврозоната. Българските банки, търговци и клиенти зависят от европейската платежна инфраструктура, от трансграничните преводи в евро и от общите правила на ЕС за киберустойчивост.

Ако голяма банка или ключов доставчик бъде засегнат, ефектът може да излезе извън една държава. Най-чувствителните области са:

  • картови плащания и онлайн банкиране,
  • междубанкови преводи в евро,
  • доставчици на cloud услуги и външни IT услуги,
  • обработка на клиентски данни и защита от измами.

На 31 март 2026 г. Евросистемата постави устойчивите и автономни европейски плащания в центъра на новата си стратегия. Според документа платежната система трябва да остане надеждна, бърза, конкурентна и устойчива на технологични сътресения.

Какво следва за банките

След изтичането на четиримесечния срок ЕЦБ се очаква да прегледа плановете на всяка банка поотделно. Това означава, че процесът няма да приключи с общо писмо.

Надзорните екипи вероятно ще търсят конкретни действия, включително:

  • по-бързо управление на уязвимости,
  • по-строг контрол върху външни доставчици,
  • планове за реакция при инцидент,
  • по-активна роля на ръководството.

ЕЦБ вече разчита и на по-строга регулаторна рамка. Digital Operational Resilience Act, DORA, влезе в сила през 2025 г. и изисква от финансовите институции постоянни подобрения в управлението на IT и киберриска, както и по-строг контрол върху критични външни доставчици.

Какво означава това за България

Сигналът към пазара е ясен. Европейският надзор вече третира AI киберзаплахите като въпрос на финансова стабилност, а не само на технологична защита.

Това може да ускори инвестициите в киберсигурност, одитите на външни доставчици и изискванията към платежните услуги в целия ЕС. За клиентите ефектът обикновено остава невидим. Проблемът става видим, ако плащанията бъдат прекъснати. Точно такъв сценарий ЕЦБ се опитва да предотврати.