Центральные банки и финансовые регуляторы всё чаще оказываются в роли догоняющих: им сложнее отслеживать риски, которые несут современные модели искусственного интеллекта, включая разработки уровня «фронтирных» систем. К такой оценке приходят авторы исследования, опубликованного во вторник, где проблема описана как заметный разрыв между тем, как быстро финансовый сектор внедряет ИИ, и тем, насколько быстро надзорные органы выстраивают механизмы контроля.
ИИ в банках растёт быстрее, чем надзор
Согласно результатам исследования, финансовые организации используют технологии ИИ более чем в два раза быстрее, чем их контролирующие структуры. В отчёте подчеркивается: лишь две из десяти регуляторных организаций сообщают о том, что уже внедряют или всерьёз осваивают продвинутые подходы к применению искусственного интеллекта в своей работе.
При этом качество «обратной связи» между рынком и надзором оказывается ограниченным. Только 24% ведомств, принявших участие в опросе, собирают данные о том, как именно отрасль внедряет ИИ. Ещё 43% регуляторов прямо указывают, что в ближайшие два года у них нет планов начинать такие процессы.
Почему это важно: «слепое пятно» в данных
Авторы исследования называют сложившуюся ситуацию эмпирическим «слепым пятном». Идея проста: если у регулятора нет фактов и измеримых данных о том, какие модели ИИ используются в индустрии, с какой целью и с какими рисками, он не может эффективно ни оценивать безопасность, ни добиваться управляемости.
В тексте отчёта отмечается, что ожидания оптимистичного сценария могут не оправдаться: надзорные органы не смогут ни «взять ИИ под контроль», ни наладить наблюдение за рисками, если они вынуждены действовать в условиях, где нет твёрдой статистики и проверяемых сведений.
Контекст: что такое продвинутый ИИ и почему он сложен для надзора
Под «продвинутыми» и «фронтирными» моделями обычно понимают системы ИИ, которые демонстрируют высокую степень автономности и могут выполнять сложные задачи — от анализа больших массивов данных до генерации кода и сценариев. Для финансового сектора это означает, что модель способна влиять на процессы быстрее, чем традиционные процедуры комплаенса и ИТ-контроля успевают адаптироваться. В результате риск может переходить из разряда теоретических в практические — например, при неверной настройке моделей, утечках данных или использовании уязвимостей в программном обеспечении.
Кто проводил исследование и сколько данных обработали
Работа была подготовлена совместно с Банком международных расчётов (Bank for International Settlements), Международным валютным фондом (International Monetary Fund) и другими многосторонними институтами. В основу исследования легли опросы и сопоставление информации по широкому кругу участников.
Всего было задействовано:
- 350 традиционных финансовых организаций и финтех-компаний;
- более 140 поставщиков (вендоров) решений на базе ИИ;
- 130 центральных банков и финансовых органов власти;
- охват: 151 страна.
Такой масштаб позволяет оценивать не только технический прогресс, но и готовность регуляторной инфраструктуры: наличие стратегий, сбор статистики, сроки запуска инициатив и уровень практического применения ИИ в надзорных процессах.
Mythos как пример угрозы «в масштабе»
Отдельно в исследовании приводится в качестве иллюстрации система Mythos от компании Anthropic. Ранее в апреле этот продукт был представлен, и эксперты по кибербезопасности указывали, что он может создавать вызовы для банковской отрасли, особенно с учётом зависимости многих организаций от «наследуемых» (legacy) ИТ-систем — то есть старых платформ и архитектур, которые сложно быстро обновлять.
В отчёте отмечается, что регуляторы в разных странах обсуждали с банками, насколько их базовая инфраструктура и контуры безопасности подготовлены к появлению и распространению подобных «фронтирных» моделей.
Какой именно риск подчёркивают авторы
Исследование обращает внимание на сценарий, при котором системы уровня Mythos в будущем могут оказаться способны задействовать программные уязвимости не точечно, а массово. Такой подход может ослабить эффективность существующих механизмов человеческого управления и надзора — когда контроль строится преимущественно на ручных процедурах, разрозненных проверках или медленных циклах реагирования.
Если атаки или вредоносные действия становятся возможными «в масштабе», то даже хорошо выстроенные внутренние политики могут перестать успевать за темпом и характером угроз. Именно поэтому вопрос мониторинга со стороны регуляторов становится не второстепенным, а системным.
Что это может означать для банков и надзорных органов
По сути, вывод исследования сводится к тому, что финансовому сектору и государственному надзору придётся выравнивать скорости. Пока внедрение ИИ опережает сбор данных и построение надзорных инструментов, регуляторы рискуют действовать без опоры на измеримые факты. В результате повышается вероятность запаздывания реакции на новые типы уязвимостей — особенно в связке «продвинутый ИИ + наследуемые ИТ-системы».