Blogi
Yhteistyöllä tekoälyn voimistamia kyberuhkia vastaan
Euroopan järjestelmäriskikomitea (ESRB) antoi 7. heinäkuuta 2026 varoituksen kehittyneiden tekoälymallien aiheuttamista järjestelmätason kyberriskeistä. Varoituksen viesti on selkeä: tekoälyn voimistamat kyberuhat eivät ole enää vain tietoturvan ongelma. Ne voivat muodostua koko rahoitusjärjestelmän vakauden kannalta merkittäväksi riskiksi.
Tämä on uusi vaihe rahoitusvakauden ajattelussa. Perinteisesti huomio on kohdistunut pankkien vakavaraisuuteen, velkaantumiseen ja rahoitusmarkkinoiden toimintaan. Nämä ovat edelleen rahoitusvakauden kovaa ydintä. Mutta maailma pankkien ympärillä on muuttunut.
Rahoitusjärjestelmä nojaa yhä enemmän digitaalisiin palveluihin, pilvipalveluihin, ohjelmistoihin, dataan ja tekoälyyn. Maksut, arvopaperikauppa, luotonanto ja monet muut palvelut toimivat yhteisten digitaalisten järjestelmien varassa. Kun kaikki toimii, tätä riippuvuutta tuskin huomataan. Kun jokin kriittinen järjestelmä häiriintyy, vaikutukset voivat levitä nopeasti koko talouteen.
Juuri tässä on uuden ajan systeemisen riskin ydin. Kriisi ei enää välttämättä ala pankin taseesta. Se voi alkaa ohjelmistovirheestä, kyberhyökkäyksestä, pilvipalvelun häiriöstä tai tekoälymallin löytämästä haavoittuvuudesta. Jos monet rahoituslaitokset käyttävät samoja teknologia-alustoja tai samoja tekoälymalleja, paikallinen ongelma voi muuttua nopeasti koko järjestelmää koskevaksi häiriöksi.
Rahoitusjärjestelmä on maailmanlaajuinen verkosto. Raha, tieto ja riskit liikkuvat nopeasti yli rajojen. Siksi tekoälyyn, digitaaliseen infrastruktuuriin tai kyberturvallisuuteen liittyvät häiriöt eivät ole vain yhden maan ongelma. Ne eivät ole vain Euroopan tai Yhdysvaltojen asia. Ne ovat globaali kysymys.
Tästä seuraa myös selvä johtopäätös. Uusia järjestelmätason riskejä ei voida hallita vain kansallisesti. Tarvitaan kansainvälistä yhteistyötä, yhteisiä pelisääntöjä ja jatkuvaa tiedonvaihtoa viranomaisten ja finanssialan välillä.
Juuri tällaista eurooppalaista yhteispeliä olemme nyt näkemässä. ESRB tarkastelee asiaa koko rahoitusjärjestelmän vakauden näkökulmasta. Samaan aikaan EKP:n pankkivalvonta (SSM) on pyytänyt suuria pankkeja laatimaan syksyyn mennessä toimintasuunnitelmat siitä, miten ne vahvistavat omia järjestelmiään ja hallitsevat tekoälyyn liittyviä riskejä. Myös Euroopan komissio on käynnistänyt toimia, joilla vahvistetaan kehittyneiden tekoälymallien turvallisuusarviointia ja Euroopan valmiuksia vastata uusiin kyberuhkiin. Kun ESRB arvioi järjestelmäriskiä, pankkivalvonta vahvistaa pankkien toimintakykyä ja komissio kehittää yhteistä sääntely- ja toimintakehystä, kokonaisuus on enemmän kuin osiensa summa.
Tekoäly voi luonnollisesti myös vahvistaa puolustusta. Se auttaa havaitsemaan poikkeamia, tunnistamaan hyökkäyksiä ja löytämään haavoittuvuuksia aiempaa tehokkaammin. Mutta sama teknologia antaa uusia välineitä myös hyökkääjille. Kehittyneet tekoälymallit voivat löytää ohjelmistojen heikkouksia, rakentaa toimivia hyökkäyskeinoja ja lyhentää ratkaisevasti aikaa haavoittuvuuden löytymisestä sen hyväksikäyttöön.
Puolustajien lähtökohdat eivät myöskään ole samat kaikkialla. Johtavat tekoälykehittäjät sijaitsevat suurelta osin Euroopan ulkopuolella. Kaikki eurooppalaiset toimijat eivät saa uusimpia työkaluja käyttöönsä yhtä nopeasti. Samalla pankkien ja muiden finanssialan toimijoiden on noudatettava tiukkoja testaus-, muutoshallinta- ja valvontamenettelyjä. Hyökkääjillä tällaisia rajoitteita ei ole.
Tämä ei kuitenkaan tarkoita, että vanhat opit olisivat menettäneet merkityksensä. Päinvastoin.
Entinen Goldman Sachsin toimitusjohtaja Lloyd Blankfein totesi finanssikriisin jälkeen, että liian moni rahoituslaitos oli käytännössä ulkoistanut oman riskienhallintansa. Hänen viestinsä on edelleen ajankohtainen. Riskien analysoinnissa voidaan käyttää ulkopuolista osaamista ja tekoälyä, mutta vastuuta ei voi ulkoistaa. Jokaisen pankin, teknologiayrityksen ja viranomaisen on itse ymmärrettävä, mihin sen toiminta perustuu ja mitä seurauksia järjestelmien häiriöillä voi olla.
Myös taloustieteen toisinajattelijaan Hyman Minskyn tunnettu havainto on yhä ajankohtainen. Pitkät vakauden jaksot voivat synnyttää liiallisen turvallisuuden tunteen. Kun usko järjestelmien toimivuuteen kasvaa, varovaisuus helposti vähenee. Tekoälyn aikakaudella tämä opetus korostuu entisestään. Mitä enemmän yhteiskunta rakentuu yhteisten digitaalisten järjestelmien varaan, sitä tärkeämpää on tunnistaa myös niiden yhteiset haavoittuvuudet.
ESRB onkin kiinnittänyt erityistä huomiota niin sanottuihin frontier-tekoälymalleihin. Jos suuri osa rahoitusjärjestelmästä nojaa samoihin perustamalleihin, samoihin pilvipalveluihin ja samoihin teknologiatoimittajiin, myös haavoittuvuuksista voi tulla yhteisiä. Tällöin yksittäinen kyberhyökkäys voi pahimmillaan levitä maksu-, selvitys- tai arvopaperijärjestelmien kautta koko rahoitusjärjestelmään.
Rahoitusvakauden näkökulmasta johtopäätös on selvä. Innovaatioita tarvitaan, eikä Eurooppa voi jäädä teknologisessa kehityksessä sivustakatsojaksi. Mutta yhtä tärkeää on huolehtia siitä, että kykymme hallita uusia riskejä kasvaa samaa vauhtia kuin kykymme ottaa käyttöön uutta teknologiaa.
Lopulta kyse on luottamuksesta. Rahoitusjärjestelmä toimii vain niin kauan kuin ihmiset voivat luottaa maksujen kulkevan, säästöjen olevan turvassa ja markkinoiden pysyvän toimintakykyisinä myös häiriötilanteissa. Luottamus on helppo menettää, mutta vaikea rakentaa uudelleen.
Siksi tekoälyn uusia kyberuhkia vastaan tarvitaan ennen kaikkea toimivaa kansainvälistä ja eurooppalaista yhteistyötä. Järjestelmätason riski on yhä harvemmin yhden pankin, yhden markkinan tai yhden maan riski. Se on verkostojen riski. Juuri siksi myös sen hallinta on yhteinen tehtävä.
Kirjoittaja on Suomen Pankin pääjohtaja ja Euroopan järjestelmäriskikomitean (ESRB) ensimmäinen varapuheenjohtaja.