Зміст
Європейський центральний банк (ЄЦБ) викликав, на тижні 25 травня 2026 року, банки єврозони під наглядом для обговорення ризиків кібербезпеки, пов'язаних із фундаментальними моделями ІА, перш за все Mythos, інструментом компанії Anthropic, інтегрованим у програму Project Glasswing. Станом на 22 травня 2026 року переговори між Європейським Союзом та Anthropic щодо доступу європейських банків до Mythos залишаються у глухому куті, як повідомляє Crypto Briefing: установи під наглядом Франкфурта піддаються тим самим програмним вразливостям, що й їхні американські конкуренти, не маючи інструменту виявлення, який ЄЦБ тепер вимагає інтегрувати у їхню кіберпостуру. Регламент DORA, який застосовується з 17 січня 2025 року, встановлює гармонізовану рамку управління ІКТ-ризиками, але не передбачає жодного суверенного доступу до стороннього наступального ІА-інструменту – європейський нагляд тисне на свої банки, не маючи важеля, який вона наказує їм задовольнити. «Існує ціла низка проблем з кібербезпекою, над якими ми працювали з банками протягом багатьох років, які всі ще дійсні, але з огляду на прогрес ІА, їх слід вирішувати швидше», – заявив Financial Times Френк Елдерсон, член виконавчої ради ЄЦБ і заступник голови Ради з нагляду до 14 грудня 2028 року. Інструмент залишається зарезервованим для близько сорока організацій, переважно американських – жоден європейський банк не входить до цього списку.
Прискорення циклу експлуатації вразливостей
Нагальність, яку підтримує Елдерсон, полягає в тому, що Mythos змінює операційний баланс між атакою та захистом. Інструмент здатний виявити тисячі вразливостей типу zero-day у системах банків, згідно з даними, наданими The Next Web, які посилаються на інтерв’ю Елдерсона для FT. Заступник голови Ради з нагляду зазначив, що програмний патч тепер може піддатися зворотній інженерії приблизно за тридцять хвилин, у порівнянні з кількома тижнями раніше. Це скорочення часу між публікацією патча та зброєю, що експлуатує виправлену вразливість, якісно змінює динаміку виправлення: вікно, протягом якого установа залишається вразливою після випуску патча, значно скоротилося. Щодо периметра, згідно з офіційним списком Anthropic, партнери запуску програми включають AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Linux Foundation, Microsoft, Nvidia та Palo Alto Networks – здебільшого північноамериканські актори. Reuters задокументував, що американські банки, які мають доступ, здійснюють термінові виправлення, які можуть призвести до перерв у обслуговуванні для їхніх клієнтів. Асиметрія доступу між інтегрованими американськими установами та банками єврозони, які відсутні у програмі, на даний момент є фактом, а не скаргою.
Програмний патч тепер може піддатися зворотній інженерії приблизно за тридцять хвилин – у порівнянні з кількома тижнями раніше.
Згідно з Френком Елдерсоном, членом виконавчої ради ЄЦБ, цитованим Financial Times (передано The Next Web, 25 травня 2026 року).
DORA ставить обов'язок, а не важіль
Рамка, яку ЄЦБ активує, встановлена європейським регламентом 2022/2554 від 14 грудня 2022 року про цифрову операційну стійкість фінансового сектору, відомим як DORA, який вступив у дію 17 січня 2025 року без перехідного періоду для приблизно двадцяти категорій фінансових установ. Його статті 5-16 встановлюють гармонізовану рамку управління ризиками, пов’язаними з інформаційними та комунікаційними технологіями (ІКТ); стаття 26 організовує threat-led penetration testing (TLPT), тести на проникнення, засновані на загрозовій розвідці. Жодна з положень регламенту не передбачає суверенного європейського доступу до стороннього наступального ІА-інструменту – цей момент можна документувати шляхом читання самого тексту. Механізм єдиного нагляду (МЄН) має, як зазначено у щорічному звіті 2025 року з банківського нагляду ЄЦБ, примусові заходи, коли виявляються матеріальні ІКТ-слабкості: звіт нагадує, що в таких випадках наглядовий орган може вимагати планів виправлення з віхами, термінами та виділеними ресурсами. Щодо наступальних тестів, рамка TIBER-EU (Threat Intelligence-Based Ethical Red-teaming, європейська рамка для наступальних тестів «червоними командами»), оновлена для відповідності DORA, регулює проведення тестів на проникнення, узгоджених зі статтею 26 DORA. Проте ці інструменти регулюють діяльність банків, не надаючи їм інструменту виявлення, який ЄЦБ нині вимагає інтегрувати у їхню кіберпостуру.
Американський прецедент шість тижнів тому, мовчання європейських галузевих органів
Виклик ЄЦБ відбувся через шість-сім тижнів після аналогічної ініціативи за океаном. Згідно з Reuters, переданим AOL, 7 квітня 2026 року, секретар казначейства Скотт Бессент та голова Федерального резерву Джером Пауелл скликали у Вашингтоні неоголошену термінову зустріч з керівниками системних американських банків – Джейн Фрейзер для Citigroup, Тедом Піком для Morgan Stanley, Браяном Мойніганом для Bank of America. Американська перевага не полягає у вищій регуляторній рамці: NIST Cyber AI Profile, що спирається на AI Risk Management Framework 1.0, залишається добровільною рамкою, і американський банківський сектор не має «права доступу» до Mythos. Асиметрія між Вашингтоном та Франкфуртом є наслідком комерційного рішення Anthropic щодо периметру Project Glasswing, а не ієрархії норм. Щодо європейських галузевих органів, Європейське банківське управління (EBA) та Агентство Європейського Союзу з кібербезпеки (ENISA) на сьогодні не публікували специфічних рекомендацій щодо наступального ІА типу Mythos у 2025-2026 роках – рекомендації EBA з управління ІКТ-ризиками, переглянуті у 2025 році для відповідності DORA, не розглядають специфічно наступального ІА типу Mythos. Замок знаходиться у статті 26 регламенту 2022/2554: він організовує тести на проникнення, засновані на загрозовій розвідці (TLPT), але не вимагає від наглядачів гарантувати тестованим суб’єктам суверенний доступ до необхідних інструментів для їх проведення – прогалина, яку ані DORA, ані технічні норми регламентації, прийняті у 2024 році європейськими наглядовими органами (ЄНО), не заповнюють.
Погляд ActuIA:
Франкфурт тримає рамку, а не інструмент. Це читання, яке нав'язує виклик 25 травня: ЄЦБ може вимагати планів виправлення, віх, тестів на проникнення, узгоджених з TIBER-EU – він не може надати наглядовим банкам детектор вразливостей, доступ до якого Anthropic резервує для близько сорока північноамериканських акторів. Пресинг нагляду є реальним; операційний важіль знаходиться в іншому місці. Діагноз не новий: ENISA Threat Landscape 2025, опублікований у жовтні 2025 року, вже документував професіоналізацію наступального ІА (Xanthorox AI та інші) та прискорення циклу експлуатації вразливостей на європейському рівні – без суверенної промислової відповіді. Для управлінь ризиками та кібербезпекою наглядових установ, робота, яку потрібно виконати до очікуваного у червні 2026 року звіту FSB, є конкретною: задокументувати вже зараз розрив між фактично доступними можливостями виявлення з європейської сторони та наглядовими очікуваннями ЄЦБ – це цей розрив, і лише він, який захистить у разі інспекції.