Washington roept bankbazen bijeen over AI-cyberrisico's: wat zegt dit over de ernst?

De Amerikaanse minister van Financiën Scott Bessent riep deze week de topbestuurders van de grootste Amerikaanse systeembanken bijeen in het Treasury-hoofdkwartier in Washington. Aanleiding: de groeiende zorgen over AI-gedreven cyberrisico's, mede aangewakkerd door de release van Anthropic's Claude Mythos-model. Het is een stap die de dreiging verschuift van technologisch zorgpunt naar systemisch financieel risico.

Van techsector-waarschuwing naar financieel-systeemoverleg

De bijeenkomst, eerst gerapporteerd door Bloomberg, was geen toevallig samenkomen. Aanwezig waren Jerome Powell van de Federal Reserve en de CEO's van de vijf grootste Amerikaanse banken: David Solomon (Goldman Sachs), Brian Moynihan (Bank of America), Jane Fraser (Citigroup), Ted Pick (Morgan Stanley) en Charlie Scharf (Wells Fargo). Jamie Dimon van JP Morgan was uitgenodigd maar kon niet aanwezig zijn.

Het is veelzeggend wie er aan tafel zaten. De gastenlijst richtte zich uitsluitend op hoofden van systeemrelevante banken, instellingen waarvan toezichthouders formeel hebben vastgesteld dat hun val de financiële stabiliteit als geheel in gevaar zou brengen. Dat deze kwalificatie de selectiecriteria bepaalde, is geen toeval: het geeft aan dat het Treasury-departement de AI-cyberdreiging niet behandelt als een operationeel IT-probleem van individuele banken, maar als een mogelijk systemisch risico.

Het escalatiepatroon van de afgelopen twee weken

De bijeenkomst is het voorlopige sluitstuk van een snelle opeenvolging van signalen. Op 7 april publiceerde Today in Finance een analyse van Anthropic's Project Glasswing, waarbij het AI-model duizenden softwarekwetsbaarheden vond maar door Anthropic zelf te gevaarlijk werd geacht voor publieke release. In dezelfde periode lekte code van Claude, waarop Anthropic in een blogpost waarschuwde dat AI-modellen inmiddels vrijwel alle menselijke experts hebben overtroffen "at finding and exploiting software vulnerabilities." De gevolgen, aldus Anthropic, "could be severe" voor economieën, publieke veiligheid en nationale veiligheid.

Vrijwel gelijktijdig publiceerde Jamie Dimon zijn jaarlijkse aandeelhoudersbrief, waarin hij cybersecurity bestempelde als "one of our biggest risks" en expliciet stelde dat "AI will almost surely make this risk worse." Dimon doet dit niet voor het eerst, maar de combinatie met het Anthropic-incident en de daaropvolgende Treasury-bijeenkomst maakt de timing opmerkelijk.

Het patroon is duidelijk: een waarschuwing vanuit de AI-sector, bevestigd door de CEO van de grootste bank ter wereld, gevolgd door een fysieke bijeenkomst op het hoogste beleidsniveau. Dat is escalatie.

Waarom juist systeembanken, en waarom nu?

De keuze voor systeemrelevante banken als gesprekspartner verdient nadere analyse. Grote financiële instellingen zijn om meerdere redenen kwetsbaar voor AI-gedreven cyberaanvallen. Ze verwerken dagelijks biljoenen dollars aan transacties via sterk geïnterconnecteerde systemen. Een succesvolle aanval op de kerninfrastructuur van één systeembank kan via tegenpartijrisico, betalingssystemen en vertrouwensverlies doorwerken naar de rest van het financiële stelsel.

Wat AI hieraan toevoegt, is schaal en snelheid. Traditionele cyberaanvallen vereisen hooggekwalificeerde menselijke aanvallers en zijn daarmee relatief schaars. Als AI-modellen die rol kunnen overnemen, of de inzet van minder ervaren aanvallers exponentieel kunnen versterken, verandert het dreigingslandschap fundamenteel. Anthropic's eigen waarschuwing dat hun model "bijna alle menselijke hackers" overtreft in het vinden en exploiteren van kwetsbaarheden, geeft die zorg een concrete onderbouwing.

De Federal Reserve en het Treasury-departement hebben na de bankencrisis van 2008 uitgebreide stresstestprogramma's ontwikkeld voor financiële risico's. Cyberrisico's zijn daar geleidelijk onderdeel van geworden, maar de integratie van AI als aanvalsvector is nieuw terrein. De bijeenkomst van deze week suggereert dat toezichthouders niet willen wachten tot de bestaande kaders organisch zijn bijgewerkt.

Welke regulatoire stappen kunnen volgen?

Concrete besluiten zijn niet naar buiten gekomen, maar de structuur van de bijeenkomst wijst op een aantal plausibele vervolgstappen.

Verplichte rapportage en stresstesten. De meest directe vervolgstap is het uitbreiden van bestaande stresstestprogramma's met expliciete AI-cyberscenario's. De Fed en het Office of the Comptroller of the Currency (OCC) hebben de infrastructuur hiervoor al deels liggen.

Coördinatie tussen financiële toezichthouders en AI-regulering. Op dit moment opereren financiële toezichthouders en het bredere AI-regulatoire debat grotendeels los van elkaar. De bijeenkomst bij het Treasury-departement plaatst financiële stabiliteit expliciet in het AI-regulatoire gesprek. Dat kan druk creëren voor gezamenlijke kaders, vergelijkbaar met hoe financiële en datatoezichthouders na de GDPR dichter naar elkaar toekwamen.

Internationale afstemming. Cyberrisico's zijn grensoverschrijdend. Als het Treasury-departement normen gaat stellen voor hoe systeembanken omgaan met AI-cyberrisico's, zullen Europese toezichthouders, waaronder de ECB via haar bankentoezichtrol en de EBA, nauwlettend meekijken. De Digital Operational Resilience Act (DORA), die begin 2025 in werking trad voor Europese financiële instellingen, biedt daar al een gedeeltelijk kader voor.

Vooruitblik

De bijeenkomst van deze week is een eerste gesprek, geen besluitvorming. Verwacht wordt dat Treasury en de Federal Reserve in de komende maanden concretere richtlijnen publiceren voor hoe systeembanken AI-gerelateerde cyberrisico's moeten beoordelen en rapporteren. Intussen blijft de Europese variant van dit debat zich ontwikkelen: de EBA publiceert naar verwachting later dit jaar aanvullende richtsnoeren onder DORA die raken aan het gebruik van AI in financiële operaties. Het gesprek dat deze week in Washington begon, is daarmee nog lang niet afgerond.

Bronnen: JP Morgan Chase (aandeelhoudersbrief 2025), Anthropic, Bloomberg, Federal Reserve

Dit artikel is uitsluitend bedoeld ter informatie en vormt geen financieel, beleggings- of fiscaal advies. Today in Finance is geen beleggingsonderneming en beschikt niet over een vergunning als bedoeld in de Wet op het financieel toezicht (Wft). Raadpleeg altijd een gekwalificeerd financieel adviseur voordat je financiële beslissingen neemt. Today in Finance is niet aansprakelijk voor beslissingen genomen op basis van deze informatie.