Uutinen · 17.7.2026 klo 06.15

EU:n järjestelmäriskikomitea varoittaa kehittyneiden tekoälymallien riskeistä finanssialalle

EJRK:n mukaan tekoälymallit voivat tuottaa käyttövalmiita hyökkäysmenetelmiä minuuteissa tai tunneissa. Komitea kiinnittää huomiota myös puolustautumiskykyyn, teknologiariippuvuuksiin ja viranomaisten varautumiseen.

Palvelinsali ja eurooppalainen finanssikeskus symboloivat tekoälyn kyberriskejä ja niihin varautumista.

Euroopan järjestelmäriskikomitea EJRK varoittaa, että kyberoperaatioihin kykenevien kehittyneiden tekoälymallien käyttö voi johtaa laajoihin häiriöihin finanssialalla. Vaikutukset voivat levitä nopeasti rahoituslaitosten kriittisiin toimintoihin, aiheuttaa järjestelmätason häiriöitä ja heikentää luottamusta rahoitusjärjestelmään.

EJRK antoi varoituksen 25. kesäkuuta 2026. Se julkaistiin Euroopan unionin virallisessa lehdessä 16. heinäkuuta.

Varoitus koskee yleisesti rahoitusjärjestelmään kohdistuvia systeemisiä kyberriskejä. Siinä ei arvioida yksittäisten suomalaisten pankkien, maksujärjestelmien tai viranomaisten valmiuksia.

EJRK tarkoittaa kehittyneillä tekoälymalleilla yleiskäyttöisiä malleja, jotka voivat vaikuttaa merkittävästi kyberhyökkäysten toteuttamiseen tai torjuntaan. Komitea katsoo kyberhyökkäyksiin kykenevien mallien kehityksen olevan rahoitusjärjestelmään kohdistuvien systeemisten riskien lähde.

Varoituksen mukaan kehittyneet tekoälymallit pystyvät havaitsemaan haavoittuvuuksia, luomaan toimivia menetelmiä niiden hyödyntämiseen ja toteuttamaan itsenäisesti täysimittaisia kyberhyökkäyksiä. Niiden nopeus, laajuus ja tarkkuus ylittävät aiempien tekoälymallien kyvyt.

Rahoitusjärjestelmän laaja digitalisaatio ja keskinäiset kytkökset voivat voimistaa häiriöiden vaikutuksia. EJRK:n mukaan kyberturvallisuuteen kohdistuvat haitat voivat levitä nopeasti rahoituslaitosten kriittisiin ja tärkeisiin toimintoihin. Varoitus ei kuitenkaan tarkoita, että yksittäinen häiriö leviäisi väistämättä koko finanssijärjestelmään.

EJRK nostaa esiin neljä erityistä riskialuetta: käytettävissä olevan ajan, puolustautumiskyvyn, palveluntarjonnan keskittymisen ja viranomaisten valmiudet.

Ensimmäinen muutos koskee haavoittuvuuksien hyödyntämiseen soveltuvien käyttövalmiiden menetelmien kehittämistä. EJRK:n mukaan niiden tekeminen vei ihmisasiantuntijoilta aiemmin päiviä tai viikkoja, mutta kehittyneet tekoälymallit voivat selviytyä tehtävästä muutamassa minuutissa tai tunnissa.

Nopeutuminen lyhentää korjaustoimiin käytettävissä olevaa aikaa. Sitä tarvitaan kriittisten ja tärkeiden toimintojen jatkuvuuden turvaamiseen haavoittuvuuksien korjaamisen aikana.

Jos vaikutuksiltaan kriittisiä haavoittuvuuksia havaitaan lyhyessä ajassa paljon, tarvittavien korjausten määrä voi kasvaa huomattavasti. Tällöin rahoituslaitos voi joutua valitsemaan, jättääkö se järjestelmän alttiiksi merkittävälle kyberriskille vai tinkii korjauspäivitysten testaamisesta. Testauksen vähentäminen voi puolestaan lisätä toimintahäiriöiden ja käyttökatkosten vaaraa.

Toinen riskialue liittyy puolustautumiskykyyn. Rahoituslaitosten on pystyttävä testaamaan turvallisuutta sekä tekoälyn avulla että ilman sitä. Niiden on myös kyettävä suojautumaan tekoälyn vihamieliseltä käytöltä, havaitsemaan siitä johtuvia uhkia ja reagoimaan niihin.

EJRK arvioi, että kehittyneet tekoälymallit voivat vahvistaa myös rahoituslaitosten puolustusta. Hyötyjen odotetaan kuitenkin toteutuvan asteittain muutaman vuoden kuluessa. Siirtymäaikana laitosten on toimittava kohonneen riskin ja suuren epävarmuuden oloissa nopeasti muuttuvassa teknologisessa ympäristössä.

Torjuntavalmiudet eivät jakaudu tasaisesti. EJRK:n mukaan laitosten välisiä eroja voivat aiheuttaa suuret kiinteät kustannukset, resurssirajoitteet ja asiantuntijapula. Koska yhden toimijan heikko varautuminen voi vaikuttaa järjestelmän muihin osiin, ketjun heikoin lenkki saattaa vaarantaa järjestelmän vakauden.

Kolmas riskialue on palveluntarjonnan keskittyminen. Kehittyneitä tekoälymalleja tuottaa vain pieni joukko palveluntarjoajia, joten rahoitusjärjestelmä voi tulla riippuvaiseksi harvoista yhtiöistä.

Tekoälymallien tarjoajat ovat puolestaan riippuvaisia pilvipalveluista, avoimen lähdekoodin komponenteista ja muista laajasti käytetyistä ohjelmistoista. EJRK pitää näitä toisiinsa kytkeytyviä keskittymiä ja riippuvuuksia riskinä rahoitusjärjestelmälle.

Neljäs riskialue koskee viranomaisten valmiuksia. EJRK:n mukaan valvojien on mukautettava odotuksiaan, stressitestejään ja varautumistaan tekoälymallien kehitykseen. Tarkoituksena on estää toiminnallisten häiriöiden muuttuminen laajemmaksi epävakaudeksi.

Komitea painottaa erityisesti systeemisesti merkittävien maksu- ja selvitysjärjestelmien sekä rahoitusmarkkinoiden infrastruktuurien suojaamista kehittyneiden tekoälymallien käytöstä ja kehittämisestä aiheutuvilta haavoittuvuuksilta.

EJRK odottaa sekä julkisten että yksityisten toimijoiden arvioivan kyberturvallisuusjärjestelynsä perusteellisesti ja päivittävän niitä. Valvontaviranomaisten on puolestaan varmistettava toimillaan, että järjestelmät on suojattu asianmukaisesti.

Yksittäisten rahoituslaitosten omat torjuntatoimet eivät komitean mukaan riitä. Riskien hallinta edellyttää koordinoitua yhteistyötä tekoälyjärjestelmien ja ohjelmistojen tarjoajien, tietoturvayhtiöiden, avoimen lähdekoodin ylläpitäjien, rahoituslaitosten ja viranomaisten kesken. Yhteistyötä tarvitaan sekä kansallisesti että EU:n tasolla.

Euroopan keskuspankki on jo pyytänyt suoraan valvomiltaan merkittäviltä laitoksilta arviota muuttuvan uhkaympäristön vaikutuksista. Laitosten on laadittava 31. lokakuuta 2026 mennessä perusteellinen toimintasuunnitelma, jossa kuvataan konkreettiset toimet riskien hallitsemiseksi.

EJRK aikoo seurata kehittyneiden tekoälymallien käyttöä ja kehitystä sekä niiden vaikutuksia rahoitusalaan järjestelmäriskien näkökulmasta. Komitea arvioi tilanteen uudelleen hallintoneuvostonsa neljännesvuosittaisissa riskiarvioissa ja harkitsee tarvittaessa muita toimia.

Taustat

Mihin jutun tiedot nojaavat

Alla näkyvät lähteet, joihin jutun keskeiset tiedot on sidottu.