ECB sender advarsel til bankene: AI endrer cybertrusselen raskere enn dere klarer

Beskjeden fra ECBs avtroppende visepresident Luis de Guindos onsdag denne uken var utvetydig: store språkmodeller kan i dag finne svakheter i bankenes utdaterte IT-systemer raskere enn bankene rekker å tette dem. "Det viktigste budskapet til alle er at cyber blir stadig viktigere. Vi må investere mer," sa de Guindos ifølge Reuters.

Bekymringen handler ikke om hypotetiske scenarier. En amerikansk bank som har hatt tilgang til Anthropics språkmodell Mythos, presenterte på ECB-møtet tirsdag, og de Guindos beskrev de økte cyberinvesteringene som "noe som kommer til å være ganske strukturelt i nær framtid".

For vanlige bankkunder betyr dette først og fremst at presset også flytter seg ned til kundeleddet. Når bankenes egne forsvar styrkes, finner kriminelle nye veier inn, og de veiene går nesten alltid via menneskene foran skjermene.

Nye svindeltyper du vil møte

Norske banker rapporterer at AI-verktøy har gjort sosial manipulering "mer overbevisende og langt vanskeligere å oppdage i tide", skriver Finans Norge i sin svindelrapport fra april.

Tre tendenser peker seg ut:

Stemmekloning. Svindlere bruker noen sekunder med lydopptak, gjerne hentet fra sosiale medier, til å lage en stemmekopi av et familiemedlem eller en sjef. Kopien ringer deg og ber om en hastebetaling.

Falske videomøter. Oppdiktede Teams- eller Zoom-møter der "sjefen" eller "rådgiveren din" sitter i den andre enden, men ansiktet og stemmen er AI-generert. Finans Norge nevner spesifikt falske nettmøter der svindlere bruker KI-generert stemme eller deepfake-video.

Skreddersydd nettfiske. Modellene leser sosiale profiler og datalekkasjer og lager meldinger som virker uhyggelig presise: rett navn, rett bank, riktig referanse til en ekte transaksjon.

Europol kaller utviklingen et industrialisert skifte i kriminaliteten. Cyberkriminelle utnytter avansert teknologi, særlig AI-verktøy, til å øke hastigheten, effektiviteten og omfanget av angrepene sine, ifølge IOCTA-rapporten som ble publisert i slutten av april.

Hva ECB venter at bankene gjør

De Guindos understreket at investeringene ikke bare gjelder de store husene. "Investeringene må være gjennomgripende. Det gjelder ikke bare de store bankene, men også de små," sa han.

I praksis venter ECB at bankene framskynder oppgraderinger av eldre kjernesystemer, kjører mer aggressive interne tester med samme typen AI-modeller som angriperne bruker, og strammer inn rutinene for verifikasjon når kunder ringer inn eller logger seg på.

For deg som kunde merker du dette neste gang du må bekrefte en større overføring. Flere banker har allerede begynt å innføre ekstra kontroller på betalinger over et visst beløp eller til nye mottakere, fordi det er nettopp der den AI-drevne svindelen rammer hardest.

Tre konkrete grep du kan ta nå

Selv om bankene investerer milliarder, ligger den siste forsvarslinjen hos deg.

Avtal et kodeord innad i familien. Ringer noen og ber om penger med en velkjent stemme, krev kodeordet. En klonet stemme har det ikke.

Aldri legitimer deg på telefon eller i et videomøte du ikke selv har startet. Legg på, ring tilbake via nummeret som står på baksiden av bankkortet eller i bankens egen app.

Vent ti minutter på det som haster. AI-drevet svindel lever av tidspress. Et ekte krav fra banken, politiet eller arbeidsgiveren din kan vente i ti minutter mens du sjekker.

ECB-advarselen er ikke bare en beskjed til bankenes IT-avdelinger. Den er en påminnelse om at terskelen for å gjennomføre overbevisende svindel har falt dramatisk, og at det vil bli verre før det blir bedre.