ECB ชี้ AI กำลังเปลี่ยนภูมิทัศน์ภัยไซเบอร์ของภาคธนาคารเชิงโครงสร้าง
แฟรงก์ เอลเดอร์สัน (Frank Elderson) กรรมการบริหารธนาคารกลางยุโรป (ECB) และรองประธานคณะกรรมการกำกับดูแลสถาบันการเงิน กล่าวในงาน Goldman Sachs European Financials Conference 2026 ที่นครซูริก เมื่อวันที่ 3 มิถุนายน 2026 ว่า ปัญญาประดิษฐ์รุ่นใหม่กำลังเปลี่ยนสมดุลระหว่างฝ่ายป้องกันกับฝ่ายโจมตีในโลกไซเบอร์อย่างมีนัยสำคัญ และเรียกร้องให้ธนาคารในยุโรปเร่งยกระดับ "ความยืดหยุ่นเชิงปฏิบัติการ" (operational resilience) ให้ทันกับภัยคุกคามที่เปลี่ยนรูปไป
เอลเดอร์สันวางประเด็นนี้ไว้ในบริบทใหญ่ที่ยุโรปกำลังเผชิญ คือสภาพแวดล้อมภูมิรัฐศาสตร์ที่แตกเป็นเสี่ยงมากขึ้น และการพึ่งพาผู้ให้บริการจากภายนอกทั้งด้านพลังงาน เทคโนโลยี ความมั่นคง และโครงสร้างพื้นฐานทางการเงินอย่างระบบการชำระเงินและตลาดทุน เขาระบุว่าการเปลี่ยนผ่านสู่เศรษฐกิจสีเขียว ดิจิทัล และการป้องกันประเทศ จะต้องใช้เงินลงทุนเพิ่มราว 1.2 ล้านล้านยูโรต่อปีจนถึงปี 2031 ซึ่งส่วนใหญ่ต้องมาจากภาคเอกชน ทำให้ธนาคารที่แข็งแกร่งและแข่งขันได้กลายเป็นหัวใจของการขับเคลื่อนเศรษฐกิจจริง
"ความยืดหยุ่น" ไม่ได้วัดแค่เงินทุน — บทเรียนจากเหตุการณ์จริง
เอลเดอร์สันชี้ว่า เมื่อพูดถึงความยืดหยุ่น คนจำนวนมากนึกถึงความแข็งแกร่งทางการเงินเป็นอันดับแรก แต่ในโลกที่เหตุการณ์ไซเบอร์ การล่มของระบบเทคโนโลยี และการพึ่งพาบุคคลที่สามเกิดบ่อยและซับซ้อนขึ้น ธนาคารที่มีเงินกองทุนและสภาพคล่องเพียงพอก็ยังอาจไม่สามารถดำเนินงานได้หากขาดการเตรียมพร้อมและแผนสำรองที่รัดกุม ความยืดหยุ่นในวันนี้จึงไม่ใช่แค่การรองรับผลขาดทุน แต่คือการรักษาบริการสำคัญให้เดินต่อได้แม้อยู่ภายใต้แรงกดดันด้านปฏิบัติการอย่างหนัก
เขายกตัวอย่างเหตุการณ์จริงหลายกรณี กรณีแรกคือการโจมตีด้วยมัลแวร์เรียกค่าไถ่ (ransomware) ที่เล่นงานสาขานิวยอร์กของธนาคารไอซีบีซี (ICBC) ของจีนเมื่อปี 2023 ซึ่งเป็นธนาคารใหญ่ที่สุดในโลกเมื่อวัดจากสินทรัพย์ แม้มีฐานะการเงินแข็งแกร่ง แต่เหตุการณ์ดังกล่าวกระทบการชำระราคาธุรกรรมในตลาดพันธบัตรรัฐบาลสหรัฐฯ จนธนาคารต้องหันไปใช้วิธีแก้ปัญหาแบบแมนนวล รวมถึงมีรายงานว่าต้องส่งพนักงานถือ USB ข้ามย่านแมนฮัตตันเพื่อปฏิบัติตามภาระผูกพัน
กรณีที่สองคือเหตุการณ์ CrowdStrike ในปี 2024 ที่ระบบซึ่งใช้แพลตฟอร์มปฏิบัติการหลักล่มและแสดง "จอฟ้าแห่งความตาย" กระทบธุรกิจหลายภาคส่วนรวมถึงบริการทางการเงิน และกรณีที่สามที่สะท้อนภัยจาก AI โดยตรง คือมีคนร้ายใช้อัตลักษณ์ปลอมที่สร้างด้วย AI สร้างลูกค้าปลอมหลายพันรายเพื่อขอสินเชื่อ ทำให้ธนาคารที่เกี่ยวข้องเสียหายหลายล้าน นอกจากนี้จำนวนการโจมตีไซเบอร์ที่ธนาคารภายใต้การกำกับของ ECB รายงานเข้ามาก็เพิ่มขึ้นในช่วงหลายปีที่ผ่านมา
ทำไม AI รุ่นใหม่จึงเป็น "การเปลี่ยนโครงสร้าง" ไม่ใช่แค่การพัฒนาทีละขั้น
ข้อมูลของ ECB ระบุว่า ธนาคารขนาดใหญ่ในยุโรปกว่า 85% ภายใต้การกำกับดูแลใช้ปัญญาประดิษฐ์แล้ว เอลเดอร์สันยอมรับว่า AI ที่ใช้อย่างรับผิดชอบช่วยเสริมการดำเนินงาน การบริหารความเสี่ยง และความมั่นคงด้านไอทีได้ แต่ในขณะเดียวกันก็ขยายขีดความสามารถให้ผู้ไม่หวังดีอย่างมาก จากเดิมที่การโจมตีไซเบอร์ระดับซับซ้อนต้องอาศัยความเชี่ยวชาญทางเทคนิคสูง การสำรวจเป้าหมาย และการลองผิดลองถูกเป็นสัปดาห์หรือเป็นเดือน
เขาระบุว่า ECB ประเมินว่าเครื่องมือ AI ขนาดใหญ่รุ่นใหม่ — โดยยกตัวอย่างเครื่องมืออย่างที่เรียกว่า "Mythos" — ไม่ได้เป็นเพียงการพัฒนาทีละขั้นตามปกติ แต่เป็นการเปลี่ยนโครงสร้างทางเศรษฐศาสตร์ของความเสี่ยงไซเบอร์ โดยก้าวหน้ากว่าเครื่องมือเดิมใน 3 ด้านสำคัญ
สามคุณสมบัติที่ทำให้ภัยรุนแรงขึ้น
หนึ่ง สามารถค้นพบและใช้ประโยชน์จากช่องโหว่ได้ด้วยความเร็วและขนาดที่เกินกว่าที่เคยเห็น สอง สามารถนำช่องโหว่เล็กๆ ที่ดูไม่สำคัญมาประกอบกันเป็นการโจมตีร้ายแรง และสาม สามารถถอดรหัสย้อนกลับจากแพตช์แก้ไขให้กลายเป็นช่องโหว่ที่ใช้โจมตีได้ ทั้งหมดนี้ทำได้ด้วยความเร็วที่ไม่เคยปรากฏมาก่อน
ผลที่ตามมาคือ "ค่าผ่านประตู" หรือต้นทุนในการโจมตีจะลดลง อาจถึงระดับหลายเท่าตัว ทำให้การโจมตีที่เคยต้องใช้ความเชี่ยวชาญ เวลา และทรัพยากรมาก สามารถทำได้เร็วขึ้น ในวงกว้างขึ้น และโดยผู้ไม่หวังดีจำนวนมากขึ้น โดยหลักฐานปัจจุบันชี้ว่าเครื่องมือเหล่านี้อาจได้ผลแม้กับระบบที่เคยถือว่าป้องกันได้ในระดับมาตรฐานสูงสุด เอลเดอร์สันใช้คำเปรียบเชิงดนตรีว่า จากจังหวะ andante ที่เคยพอเพียง ตอนนี้ต้องเร่งเป็น presto
เครื่องมือกำกับของ ECB — DORA, stress test และจดหมายถึง CEO
เอลเดอร์สันย้ำว่าภาคธนาคารและผู้กำกับไม่ได้เริ่มจากศูนย์ ในปี 2024 ECB ได้ทำการทดสอบภาวะวิกฤต (stress test) ด้านความยืดหยุ่นไซเบอร์กับธนาคาร 109 แห่ง โดย 28 แห่งถูกประเมินเชิงลึกเรื่องความสามารถในการตอบสนองและฟื้นตัวจากเหตุการณ์ไซเบอร์ที่รุนแรงแต่มีโอกาสเกิดได้จริง นับแต่นั้นข้อสังเกตจากการทดสอบเกือบสามในสี่ได้รับการแก้ไขแล้ว
ขณะเดียวกันกฎหมายความยืดหยุ่นด้านปฏิบัติการดิจิทัล หรือ DORA (Digital Operational Resilience Act) ที่เริ่มมีผลบังคับใช้เมื่อปีก่อน ได้วางกรอบให้ธนาคารสร้างวัฒนธรรมการปรับปรุงต่อเนื่องในการบริหารความเสี่ยงไอทีและไซเบอร์ พร้อมยกระดับการกำกับผู้ให้บริการบุคคลที่สามที่สำคัญ เช่น ผู้ให้บริการคลาวด์ และให้อำนาจผู้กำกับทดสอบว่าสถาบันการเงินสามารถตรวจจับ ตอบสนอง และฟื้นตัวจากการโจมตีที่จำลองภัยจริงได้หรือไม่
ในส่วนของก้าวต่อไป เอลเดอร์สันเปิดเผยว่าสัปดาห์ก่อนหน้า ECB ได้เรียกธนาคารภายใต้การกำกับมาหารือถึงผลกระทบของโมเดล AI ระดับแนวหน้าต่อความยืดหยุ่นของธนาคาร และเตรียมส่ง "จดหมายถึงซีอีโอ" (dear CEO letter) ไปยังธนาคารทุกแห่ง เพื่อขอให้ดำเนินมาตรการเชิงรุกรับมือ พร้อมติดตามรายสถาบันแบบเจาะจง โดยมีเป้าหมายให้ธนาคารลงมือก่อนที่เทคโนโลยีเหล่านี้จะถูกผู้ไม่หวังดีนำไปใช้อย่างแพร่หลาย
การลงทุนเพื่อความยืดหยุ่น และความเหลื่อมล้ำระหว่างธนาคารใหญ่-เล็ก
เอลเดอร์สันวางความยืดหยุ่นเชิงปฏิบัติการให้เป็นส่วนหนึ่งของการแข่งขัน ไม่ใช่ประเด็นแยกต่างหาก โดยให้เหตุผลว่าหากธนาคารไม่สามารถรักษาความเชื่อมั่นของลูกค้าด้วยบริการที่เชื่อถือได้ ความสามารถในการแข่งขันในระบบการเงินที่เป็นดิจิทัลมากขึ้นก็จะถูกบั่นทอน การยกระดับความยืดหยุ่นจึงต้องอาศัยการลงทุนหลายปีทั้งในด้านบุคลากร ระบบ และธรรมาภิบาล ไม่ใช่การแก้ปัญหาเฉพาะหน้า และเขาเสนอว่าผลกำไรของธนาคารที่แข็งแกร่งในปัจจุบันเป็นโอกาสให้ลงทุนต่อเนื่อง
เขาตั้งข้อสังเกตว่าศักยภาพการป้องกันของแต่ละธนาคารไม่เท่ากัน ธนาคารขนาดใหญ่มีงบประมาณไอทีที่สอดรับกับขนาดของภารกิจ ขณะที่ธนาคารขนาดกลางและเล็กอาจทำได้ยากกว่า แต่ก็ไม่ใช่เหตุผลให้นิ่งเฉย เพราะในระบบธนาคารที่หลากหลาย ทุกขนาดต้องมีความยืดหยุ่นเชิงปฏิบัติการเพียงพอ ประเด็นนี้เชื่อมโยงกับการถกเรื่อง "สัดส่วนที่เหมาะสม" (proportionality) ในการกำกับ ซึ่งเอลเดอร์สันมองว่ามีพื้นที่ให้ปรับได้ในบางด้าน แต่ต้องไม่แลกมาด้วยการบริหารความเสี่ยงที่หย่อนยาน
เอลเดอร์สันสรุปว่าสารของผู้กำกับนั้นเรียบง่าย คือลงมือแต่เนิ่นๆ ลงทุนอย่างเด็ดขาดตั้งแต่ตอนนี้ และอย่ารอให้เหตุการณ์ครั้งถัดไปมาเปิดเผยจุดอ่อน เขาเน้นว่านี่ไม่ใช่การสร้างความตื่นตระหนก แต่เป็นการสร้างความรู้สึกเร่งด่วน เพราะระบบธนาคารที่ยืดหยุ่นและเข้มแข็งจะเป็นเงื่อนไขจำเป็นในการรับมือความท้าทายทั้งในวันนี้และในอนาคต
