استدعى البنك المركزي الأوروبي (BCE) الأسبوع الذي يبدأ في 25 مايو 2026، بنوك منطقة اليورو الخاضعة للإشراف لمعالجة مخاطر الأمن السيبراني المرتبطة بنماذج الذكاء الاصطناعي التأسيسية - في مقدمتها Mythos، الأداة التابعة لشركة Anthropic المتكاملة في برنامج Project Glasswing. حتى 22 مايو 2026، ما زالت المفاوضات بين الاتحاد الأوروبي وAnthropic بشأن وصول البنوك الأوروبية إلى Mythos في طريق مسدود، كما أفاد Crypto Briefing: المؤسسات الخاضعة لإشراف فرانكفورت تتعرض لنفس الثغرات البرمجية التي تتعرض لها منافساتها الأمريكية دون أن تملك أداة الكشف التي يطلب البنك المركزي الأوروبي الآن دمجها في موقفها السيبراني. يفرض تنظيم DORA، الذي يطبق منذ 17 يناير 2025، إطارًا موحدًا لإدارة مخاطر تكنولوجيا المعلومات والاتصالات، لكنه لا يوفر أي وصول سيادي إلى أداة هجومية تعتمد على الذكاء الاصطناعي من طرف ثالث - الإشراف الأوروبي يضغط على بنوكه بدون أن يمتلك الرافعة التي يطلب منهم استخدامها. «هناك مجموعة كاملة من مشاكل الأمن السيبراني التي عملنا عليها مع البنوك لسنوات، والتي لا تزال جميعها صالحة، ولكن بالنظر إلى تقدم الذكاء الاصطناعي، يجب معالجتها بشكل أسرع» (ترجمة حرة)، حسبما صرح لFinancial Times فرانك إلدرسون، عضو المجلس التنفيذي للبنك المركزي الأوروبي ونائب رئيس مجلس الإشراف الاحترازي حتى 14 ديسمبر 2028. تظل الأداة محجوزة لأربعين منظمة، معظمها أمريكية - ولا تضم أي بنك أوروبي ضمن القائمة.
تسريع دورة استغلال الثغرات
يرجع إلحاح إلدرسون إلى أن Mythos يغير التوازن التشغيلي بين الهجوم والدفاع. الأداة قادرة على اكتشاف آلاف الثغرات من نوع zero-day في أنظمة البنوك، وفقًا لما ذكره The Next Web بالاعتماد على مقابلة إلدرسون مع FT. أوضح نائب رئيس مجلس الإشراف الاحترازي أن التصحيح البرمجي يمكن أن يخضع الآن للهندسة العكسية في حوالي ثلاثين دقيقة، مقابل عدة أسابيع سابقًا. يؤدي تقصير الفترة بين نشر patch واستغلال الثغرة التي تم تصحيحها إلى تغيير نوعي في ديناميكية الحل: تقلصت النافذة التي تبقى خلالها المؤسسة عرضة للخطر بعد توزيع التصحيح بشكل ملحوظ. من ناحية النطاق، وفقًا لالقائمة الرسمية لـAnthropic، تشمل شركاء إطلاق البرنامج AWS، Apple، Broadcom، Cisco، CrowdStrike، Google، JPMorgan Chase، Linux Foundation، Microsoft، Nvidia وPalo Alto Networks - وهي مجموعة من الجهات الفاعلة، معظمها أمريكية شمالية. وثقت Reuters أن البنوك الأمريكية التي لديها وصول تقوم بإجراء تصحيحات طارئة، مما قد يؤدي إلى انقطاعات في الخدمة لعملائهم. عدم التوازن في الوصول بين المؤسسات الأمريكية المدمجة والبنوك في منطقة اليورو الغائبة عن البرنامج هو في هذه المرحلة، حقيقة - وليس شكوى.
يمكن الآن للهندسة العكسية لتصحيح برمجي أن تتم في حوالي ثلاثين دقيقة - مقارنة بعدة أسابيع سابقًا.
وفقًا لفرانك إلدرسون، عضو المجلس التنفيذي للبنك المركزي الأوروبي، نقلاً عن Financial Times (نقلاً عن The Next Web، 25 مايو 2026).
DORA يفرض الواجب، وليس الرافعة
الإطار الذي يفعله البنك المركزي الأوروبي وضعه التنظيم الأوروبي 2022/2554 الصادر في 14 ديسمبر 2022 بشأن المرونة التشغيلية الرقمية للقطاع المالي، المعروف باسم DORA، والذي دخل حيز التنفيذ في 17 يناير 2025 بدون فترة انتقالية لحوالي عشرين فئة من الكيانات المالية. تفرض مواده من 5 إلى 16 إطارًا موحدًا لإدارة المخاطر المتعلقة بتكنولوجيا المعلومات والاتصالات (TIC)؛ تنظم المادة 26 threat-led penetration testing (TLPT)، اختبارات الاقتحام المبنية على معلومات التهديدات. لا توجد مادة في التنظيم تنص على الوصول السيادي الأوروبي إلى أداة هجومية تعتمد على الذكاء الاصطناعي من طرف ثالث - يمكن توثيق هذه النقطة بقراءة النص نفسه. يمتلك آلية الإشراف الموحد (MSU)، وفقًا لما ذكره التقرير السنوي 2025 للإشراف المصرفي للبنك المركزي الأوروبي، إجراءات إلزامية عند ملاحظة ضعف مادي في تكنولوجيا المعلومات والاتصالات: يذكر التقرير أنه في مثل هذه الحالة، يمكن للمشرف أن يطلب خطط علاجية مع معالم، ومواعيد نهائية وموارد مخصصة. من ناحية الاختبارات الهجومية، الإطار TIBER-EU (Threat Intelligence-Based Ethical Red-teaming، نظام أوروبي للاختبارات الهجومية عبر فرق حمراء)، تم تحديثه ليتماشى مع DORA، يحدد كيفية تنفيذ اختبارات الاقتحام المتوافقة مع المادة 26 من DORA. ومع ذلك، فإن هذه الأدوات تحدد كيفية عمل البنوك دون أن توفر لهم أداة الكشف التي يطلب البنك المركزي الأوروبي اليوم دمجها في موقفهم السيبراني.
سابقة أمريكية لمدة ستة أسابيع، صمت من السلطات القطاعية الأوروبية
تأتي استدعاء البنك المركزي الأوروبي بعد ستة إلى سبعة أسابيع من مبادرة مماثلة عبر الأطلسي. وفقًا لما نقلته Reuters نقلاً عن AOL، في 7 أبريل 2026، استدعى وزير الخزانة سكوت بيسنت ورئيس الاحتياطي الفيدرالي جيروم باول اجتماعًا طارئًا غير معلن في واشنطن يجمع قادة البنوك النظامية الأمريكية - جين فريزر لCitigroup، تيد بيك لMorgan Stanley، برايان موينيهان لBank of America. لا تعتمد المقدمة الأمريكية على إطار تنظيمي متفوق: لا يزال NIST Cyber AI Profile، المستند إلى AI Risk Management Framework 1.0، إطارًا طوعيًا والقطاع المصرفي الأمريكي ليس لديه «حق الوصول» القانوني إلى Mythos. عدم التوازن بين واشنطن وفرانكفورت يرجع إلى قرار تجاري من Anthropic بشأن نطاق Project Glasswing، وليس إلى تسلسل هرمي للمعايير. من ناحية السلطات القطاعية الأوروبية، لم تصدر هيئة البنوك الأوروبية (EBA) ووكالة الاتحاد الأوروبي للأمن السيبراني (ENISA) حتى الآن أي إرشادات محددة بشأن الذكاء الاصطناعي الهجومي من نوع Mythos في 2025-2026 - لا تعالج إرشادات EBA بشأن إدارة مخاطر تكنولوجيا المعلومات والاتصالات، التي تمت مراجعتها في 2025 لتتوافق مع DORA، الذكاء الاصطناعي الهجومي من نوع Mythos بشكل محدد. يكمن العائق في المادة 26 من التنظيم 2022/2554: تنظم اختبارات الاقتحام المبنية على معلومات التهديدات (TLPT) لكنها لا تلزم المشرفين بضمان الوصول السيادي للكيانات المختبرة إلى الأدوات اللازمة لإجرائها - وهو نقص لم يعالجه لا DORA ولا المعايير التقنية التنظيمية المعتمدة في 2024 من قبل السلطات الأوروبية للإشراف (AES).
عين ActuIA:
فرانكفورت تملك إطارًا، وليس أداة. هذا هو القراءة التي يفرضها الاستدعاء في 25 مايو: يمكن للبنك المركزي الأوروبي أن يطلب خطط علاجية، معالم، اختبارات اقتحام متوافقة مع TIBER-EU - لكنه لا يمكنه تسليم البنوك الخاضعة للإشراف كاشف الثغرات الذي يحتفظ Anthropic بالوصول إليه لعدد محدود من الجهات الفاعلة الأمريكية الشمالية. الضغط الاحترازي حقيقي؛ الرافعة التشغيلية في مكان آخر. التشخيص ليس جديدًا: ENISA Threat Landscape 2025، التي نشرت في أكتوبر 2025، وثقت بالفعل احترافية الذكاء الاصطناعي الهجومي (مثل Xanthorox AI وآخرين) وتسريع دورة استغلال الثغرات على المستوى الأوروبي - دون أن تتبعها استجابة صناعية سيادية. بالنسبة لإدارات المخاطر والسيبر للبنوك الخاضعة للإشراف، العمل المطلوب القيام به قبل التقرير المنتظر من FSB في يونيو 2026 ملموس: توثيق الفجوة بين قدرات الكشف المتاحة بالفعل على الجانب الأوروبي وتوقعات الإشراف الاحترازي الأوروبي للبنك المركزي - هذه الفجوة، و هي فقط، هي التي ستحمي في حالة التفتيش.