Europejskiej Rada ds. Ryzyka Systemowego o nowych cyberzagrożeniach w sektorze finansowym
Chyba będę niedługo musiał przyznać się do błędu, bo jeszcze niedawno tonowałem emocje związane z (nie)udostępnieniem m.in. Fable jako zagrywki marketingowej i sprzedażowej dostawców. Nadal w sumie tak uważam, ale…
… dzisiaj (7.07.2026) pojawiło się ostrzeżenie Europejskiej Rady ds. Ryzyka Systemowego (miałem okazję odbyć tam nawet staż, ale wtedy takich ciekawych tematów nie było) odnośnie ryzyka systemowego.
Ryzyka systemowego związanego z dostępem tzw. modeli przełomowych, które mogą pomagać cyberprzestępcom w realizacji ich niecnych celów.
Ryzyka systemowe w sektorze finansowym
Problem jest widocznych z dwóch perspektyw:
(1) samych adwersarzy, którzy taniej i szybciej są w stanie przygotowywać spersonalizowane ataki na instytucje; tutaj dość oczywiste jest to, że dostęp do bardziej zaawansowanych modeli, które lepiej radzą sobie z wyszukiwaniem podatności i mogą nawet autonomicznie przeprowadzać ataki (case JADEPUFFER)
oraz
(2) instytucji finansowych i ich dostawców, które z jednej strony dostają też całkiem niezłe narzędzie do obrony, a z drugiej nie będą w stanie dostosowywać się elastycznie i szybko do zmian na rynku cyberzagrożeń -> co wynika m.in. z ich zasad change management czy ograniczeń regulacyjnych, a tym samym mogą pozostawać w tyle przed atakującymi.
W swoim ostrzeżeniu (wspartym też przez EBA i EBC) Rada pokazała nawet trzy scenariusze, które mogłyby się zrealizować w kontekście dostępu do modeli i jeden jest też szczególnie interesujący, a związany z suwerennością.
Czytaj także: Due diligence dostawcy AI? Dobre praktyki z DORA i NIS2
Problem uzależnienia od cyberdostawców z państw trzecich
Chodzi o to, że modele typu frontier (nie lubię tego określenia, bo jest moim zdaniem mylące) skoncentrowane są wokół jednego lub dwóch państw, które mogą wykorzystywać tę przewagę także w kontekście szpiegostwa czy po prostu bardziej zaawansowanej analityki, ale także wywierania wpływu na instytucje finansowe w Unii Europejskiej. Wszystko w dłuższej perspektywie.
Tak naprawdę to dość mocno podbija temat naszego uzależnienia od dostawców z państw trzecich i braku alternatywy na lokalnym rynku.
Pytanie czy to nie jest czas, aby poluzować gorset regulacyjny, żeby umożliwić stworzenia przeciwwagi / alternatywy. Dzisiaj nawet nasz NASK korzysta z rozwiązań AI.
Trudny temat, ale pokazuje też jak w świecie cyberzagrożeń ważna staje się zdolność do szybkiej adopcji i podejmowanie decyzji w czasie rzeczywistym, nawet – być może – z pominięciem pewnych procedur. Wszystko, rzecz jasna, dla dobra organizacji.
I dlatego takie „twory” jak ustawa o krajowym systemie cyberbezpieczeństwa (NIS2), DORA czy Cyberresilience Act są potrzebne, abyśmy jako całość wzmacniali naszą odporność i zdolność do odpierania ataków, które dopiero jeszcze przed nami.

Michał Nowakowski – doktor nauk prawnych i radca prawny z 13-letnim doświadczeniem w obszarze innowacji finansowych oraz nowych technologii. Specjalizuje się w zagadnieniach związanych z wdrażaniem przepisów i regulacji dotyczących danych, AI oraz budowaniu w organizacjach rozwiązań data governance i data management. Był prezesem zarządu PONIP. Pracował zarówno w sektorze publicznym, jak i prywatnym, gdzie zdobywał doświadczenie przy realizacji projektów uwzględniających szeroko rozumiane ryzyka ICT oraz outsourcing i ochronę prywatności. Był związany także z instytucjami finansowymi, w tym z bankami, gdzie doradzał m.in. zespołom R&D, bezpieczeństwa oraz IT. Autor książek, artykułów naukowych i prelegent na konferencjach i wydarzeniach branżowych. Prywatnie miłośnik kodowania i ML. Współzałożyciel i prezes zarządu spółki GovernedAI, zajmującej się tworzeniem i wdrażaniem bezpiecznego oprogramowania wykorzystującego systemy uczenia maszynowego i głębokiego, w tym tzw. generatywną sztuczną inteligencję.
Profil na LinkedIn: https://www.linkedin.com/in/mjnowakowski/?originalSubdomain=pl