Italias sentralbank går i dialog med AI-labene om bankrisiko

Italias sentralbank er i kontakt med de ledende globale AI-utviklerne for å forberede hvordan nye modeller skal tas i bruk uten å svekke bankenes sikkerhet.

Budskapet kom i sentralbanksjef Fabio Panettas årlige merknader 29. mai. Han peker på at AI allerede påvirker investeringer, arbeidsliv og finansielle verdier, men vier også en konkret del til bankenes teknologi- og cyberrisiko.

Der blir tonen mer operativ. Banca d’Italia skriver at teknologisk innovasjon endrer både naturen og frekvensen i IT- og cyberrisiko. Økende avhengighet av tredjepartsleverandører gjør bankene mer sårbare, særlig når leverandørkjedene er konsentrert rundt få aktører.

Tallene i talen er skarpe nok. Mellom 2023 og 2025 økte totale ICT-relaterte hendelser hos italienske banker med 80 prosent sammenlignet med forrige treårsperiode. Cyberhendelsene doblet seg.

Samtidig legger sentralbanken til at AI gir et nytt lag med kompleksitet. Avanserte modeller kan finne sårbarheter i IT-systemer med høy hastighet og dybde. Det kan hjelpe forsvarerne med raskere patching. Det kan også gjøre angriperne mer effektive.

Regulatorene går nærmere modell-leverandørene

Den mest interessante setningen er at Banca d’Italia er i kontakt med sektorens ledende globale utviklere for å sikre riktig implementering av nye AI-modeller når de blir offentlig tilgjengelige. Målet er å beskytte både sentralbankens egne IT-systemer og de italienske finansforetakene.

Dette er et signal om en ny fase i AI-tilsynet. Regulatorer vurderer ikke bare hvordan banker bruker AI internt. De går også tettere på leverandørene bak modellene, fordi modellkapasitet nå påvirker operasjonell risiko, cyberforsvar og angrepsflate.

For banker er dette mer enn en italiensk sak. EU-regimet rundt operasjonell motstandskraft er allerede skjerpet gjennom DORA. NIS2 presser også flere virksomheter til å dokumentere leverandørstyring, hendelseshåndtering og styringsansvar. Når en sentralbank peker direkte på AI-modeller og tredjepartsrisiko, vil samme logikk raskt dukke opp i revisjoner, tilsynsdialoger og styrepapirer andre steder i Europa.

Panetta gjør også ansvaret personlig for ledelsen. Svaret kan ikke være rent teknologisk, sier han. Det krever at executive bodies etablerer solide styrings- og kontrollrammer, plasserer ansvar tydelig og lager planer for rask respons.

Oversatt til norsk bankhverdag betyr det at AI ikke kan ligge som et sideprosjekt i innovasjon eller IT. Modellbruk, agentbruk, kodegenerering, SOC-støtte og tredjeparts-AI må inn i risikostyring, beredskap og leverandørportefølje.

AI-adopsjon uten sikkerhetsgrep blir dyrt

Talen inneholder også en bredere økonomisk vurdering. Panetta sier at AI sprer seg raskere enn tidligere teknologiske skifter, og at vi ikke lenger er i en eksperimentell fase. Han peker på at utviklingen av frontmodeller og den tilhørende økonomiske og strategiske makten er konsentrert. Fem store amerikanske selskaper holder rundt tre firedeler av verdens beregningskapasitet, ifølge sentralbankens fremstilling.

Det er relevant for europeiske virksomheter. AI kan løfte produktivitet, men avhengigheten av få leverandører øker samtidig. For banker og andre regulerte virksomheter blir dette en klassisk konsentrasjonsrisiko. Hvis samme håndfull leverandører leverer modeller, sky, sikkerhetsverktøy og utviklerplattformer, kan en feil eller endring få bred effekt.

Panetta peker også på at gevinstene ikke kommer automatisk. Bedrifter trenger teknisk og ledelsesmessig kompetanse, bedre datagrunnlag og evne til å håndtere juridisk risiko og konfidensialitet. Det treffer små og mellomstore virksomheter hardt, men også banker som har gamle systemer, fragmenterte data og strenge kontrollkrav.

For norske ledere er lærdommen enkel: AI-adopsjon uten sikkerhetsarkitektur er ikke modernisering. Det er ny teknisk gjeld.

Hva bør inn i styrepakken nå

Første punkt er leverandørkartet. Hvilke AI-modeller, agentverktøy, kodeassistenter, SOC-verktøy og skyplattformer brukes faktisk? Hvilke av dem har tilgang til kundedata, kildekode, interne systemer eller hendelseslogger? Hvilke underleverandører ligger bak?

Andre punkt er beredskap. Hvis en modell får ny sårbarhet, endrer vilkår, mister tilgjengelighet eller blir brukt i et aktivt angrep, hvem eier responsen? Finnes det fallback? Er det testet?

Tredje punkt er styring av AI i cyberforsvaret. Mange virksomheter vil bruke AI til triage, logganalyse, sårbarhetsprioritering og kodegjennomgang. Det kan gi høyere fart. Det kan også gi falsk trygghet hvis kvaliteten ikke måles, hvis menneskelig kontroll fjernes for tidlig, eller hvis sensitive logger mates inn i tjenester uten tilstrekkelig avklaring.

Fjerde punkt er kompetanse. Panetta peker på at AI krever både teknisk og ledelsesmessig kapasitet. Det er ofte her gapet er størst. Styret trenger ikke forstå modellarkitektur, men det må forstå risikobildet, avhengighetene og hvilke beslutninger som ikke kan delegeres nedover uten kontroll.

Banca d’Italia gjør med andre ord AI til et spørsmål om finansiell stabilitet, ikke bare produktivitet. Det er riktig nivå. Bankene skal bruke teknologien, men de må kunne vise hvordan den styres.

Kilder og medier

Kilde: Banca d’Italia, The Governor’s Concluding Remarks for 2025, publisert 29. mai 2026: https://www.bancaditalia.it/pubblicazioni/interventi-governatore/integov2026/20260529-panetta/index.html?com.dotmarketing.htmlpage.language=1

Kildekreditering: Banca d’Italia.

Thumbnail: OpenAI Image 2 / hogby.ai