AI Regulatory Intelligence — by YRproject

feitelijke duiding · herleidbaar naar primaire bronnen

Compliance-platform Samenwerken LinkedIn NL·EN·DE
Analyse

Hoe de ECB AI in eurozonebanken beoordeelt: technologie-neutraal, bestaande kaders, focus op generatieve AI

Vastgesteld 2026-06-25 · ≈ 5 min lezen · Dirk Baaijen

Voor 2026-2028 plaatst de ECB AI onder de prioriteit operationele weerbaarheid; in februari 2026 zetten twee leden van de Raad van Toezicht de lijn uiteen: nu 85%+ van de banken AI gebruikt, beheers het binnen bestaande kaders, met scherpere aandacht voor generatieve AI.

De belangrijkste prudentiële toezichthouder van de eurozone heeft nu, in eigen woorden, uiteengezet hoe zij kunstmatige intelligentie wil beoordelen — en het antwoord is bewust ondramatisch. De Europese Centrale Bank (ECB) heeft, via het Gemeenschappelijk Toezichtsmechanisme (SSM) dat rechtstreeks toezicht houdt op de belangrijke banken van de eurozone, geen AI-reglement geschreven. Zij heeft AI ingevoegd in haar staande toezichtsmachinerie en banken verteld waar de druk zal vallen. De lijn kristalliseerde in de toezichtprioriteiten 2026-2028 en werd publiek uiteengezet in twee toespraken van leden van de Raad van Toezicht in februari 2026.

Dit doet ertoe omdat het SSM geen soft-law-orgaan is. Anders dan de FSB of de IOSCO, wier AI-instrumenten via overtuiging werken, heeft de ECB bindende toezichtsbevoegd­ heden over de banken die zij beoordeelt: zij kan wijzigingen in governance, kapitaal en risicobeheer afdwingen en voert inspecties ter plaatse uit. Wanneer de ECB zegt hoe zij AI-risico leest, heeft die lezing tanden, ook zonder één nieuwe AI-specifieke verordening.

Het kerngetal, en wat eruit volgt

Ruim 85% van de banken onder ECB-toezicht gebruikt al AI, en generatieve AI verspreidt zich van back-office-IT naar juridische analyse en klantgerichte functies. De toezichtsconclusie is niet dat AI moet stoppen, maar dat een zo alomtegenwoordige technologie niet langer als experiment kan worden behandeld. Zoals raadslid Patrick Montagner het op 3 februari 2026 formuleerde, moeten veel banken "hun risicobeheerkaders nog bijwerken" om AI-specifieke uitdagingen te adresseren — datakwaliteit, verklaarbaarheid, modelgovernance en verantwoording — ook waar zij menen AI te kunnen beheersen door voort te bouwen op bestaande capaciteiten.

"Technologie is neutraal, governance niet"

De helderste uiteenzetting kwam van Pedro Machado, de vertegenwoordiger van de ECB in de Raad van Toezicht, op 24 februari 2026, in een toespraak getiteld Technology is neutral, governance is not. Zijn betoog: de ECB stelt niet voor om voor elke nieuwe technologie maatwerk-bindende regels te schrijven. Zij past de bestaande governanceverwachtingen toe — bovenal de richtsnoeren voor interne governance van de Europese Bankautoriteit — en houdt vast dat AI wordt beheerst "als een kern-bedrijfs- en risicothema, niet als een technologisch bijproject." De verantwoording ligt bij het bestuur en de directie; AI krijgt geen governance-uitzondering omdat het nieuw of technisch ondoorzichtig is.

Dat is een technologie-neutrale, op-gebruik-en-risico-gerichte lijn, en het is dezelfde logica die de Britse Bank of England en FCA en de sound practices van de FSB volgen: reguleer het risico en de uitkomst, niet het algoritme. Het verschil is dat de ECB al een harde toezichthouder is van de betrokken instellingen, zodat de "bestaande kaders" waarnaar zij verwijst zelf bindend zijn.

Waar AI staat in de prioriteiten 2026-2028

In de toezichtprioriteiten voor 2026-2028 (uiteengezet in november 2025 voor de nieuwe driejaarscyclus) krijgt AI geen eigen prioriteit. AI valt onder Prioriteit 2 — operationele weerbaarheid en ICT-capaciteiten, gekoppeld aan een middellange-/langetermijnstrategie gericht op de digitale en in het bijzonder AI-gerelateerde strategieën, governance en risicobeheer van banken. De ECB kadert AI via gebruiksgevallen en risico's in plaats van AI-typen, en zondert generatieve AI af voor een "gerichtere aanpak", met de omschrijving "een significante technologische sprong voorwaarts, met een potentieel hoge impact op banken." Een specifieke zorg is dat AI-beveiligingsrisico's die vóór inzet worden onderschat kritieke kwetsbaarheden in de ICT-systemen van banken kunnen introduceren — precies waarom AI in de prioriteit operationele weerbaarheid leeft en niet in een aparte.

De geplande toezichtsactiviteiten zijn concreet: gerichte horizontale workshops met geselecteerde banken over generatieve-AI-toepassingen, doorlopende monitoring van algemeen AI-gebruik via specifieke datacollecties, en samenwerking met de markttoezichtautoriteiten die voor de EU-AI-verordening verantwoordelijk zijn. De ECB positioneert zich daarmee als een prudentiële toezichthouder die aansluit op de handhavingsarchitectuur van de AI-verordening, in plaats van die te dupliceren.

Kredietscoring, fraudedetectie — en reward hacking

Twee gebruiksgevallen krijgen expliciete aandacht omdat ze de kern van het bankrisico raken: kredietscoring en fraudedetectie. De ECB hield workshops met banken die in beide AI inzetten. Onder de EU-AI-verordening is AI die de kredietwaardigheid van natuurlijke personen beoordeelt geclassificeerd als hoogrisico, zodat het prudentiële belang en het productregelgevingsbelang op dezelfde systemen samenvallen. Montagners februari-toespraak signaleerde ook een meer vooruitkijkende zorg uit frontier-AI-onderzoek: "reward hacking," waarbij geavanceerde systemen mazen in de meting van hun prestaties uitbuiten en "op onverwachte manieren beginnen te reageren" die hun beoogde doel ondermijnen — een governanceprobleem dat conventionele modelvalidatie mogelijk niet vangt.

De kaderstapel waarop de ECB leunt

De ECB is expliciet dat zij voortbouwt op instrumenten die eurozonebanken al binden, als "een gedeelde taal om risico's consistent te beheersen":

  • de EU-AI-verordening, voor de hoogrisicoclassificatie van krediet- en

andere in-scope-gebruiksgevallen en voor het raakvlak met de markttoezichtautoriteiten;

  • DORA (van toepassing sinds 17 januari 2025),

voor ICT- en derdenrisico — inclusief de cloud- en modelafhankelijkheden die generatieve AI creëert; de ECB-gids over uitbesteding van clouddiensten van juli 2025 adresseert deze al;

  • MiCAR, voor het crypto-activaperimeter waar AI-instrumentarium steeds vaker

opereert.

Waarom dit een pijler is, geen persbericht

Gelezen naast de rest van deze kennisbank dicht de SSM-lijn een gat. De internationale laag is gedekt — de FSB voor mondiale financiële stabiliteit, de IOSCO voor effectentoezichthouders, het Hiroshima-rapportagekader en de bewerking voor de Amerikaanse financiële sector van de NIST-aanpak. Wat ontbrak was de eigen harde prudentiële toezichthouder van de eurozone die zegt hoe zij AI daadwerkelijk gaat onderzoeken binnen de banken die zij controleert. Het antwoord — geen nieuw reglement, bestaande kaders met overtuiging toegepast, een aanscherpende focus op generatieve AI en een staande dialoog met de handhaving van de AI-verordening — vertelt Europese banken dat hun AI-governance wordt getoetst via de gewone toezichtcyclus, niet via een apart AI-regime. Het vult ook het nationale beeld aan: de nationale markttoezichtautoriteiten handhaven de AI-verordening zelf, terwijl de ECB toezicht houdt op de prudentiële gevolgen van diezelfde systemen.

Bronnen

  1. https://www.bankingsupervision.europa.eu/framework/priorities/html/ssm.supervisory_priorities202511.en.html
    ECB Toezichtprioriteiten 2026-2028 (18 nov. 2025): AI onder Prioriteit 2 (operationele weerbaarheid/ICT), technologie-neutraal; focus op generatieve AI.
  2. https://www.bankingsupervision.europa.eu/press/speeches/date/2026/html/ssm.sp260203~672ce5d5ff.en.html
    Toespraak P. Montagner (ECB-Raad van Toezicht), 3 feb. 2026: 85%+ van de banken gebruikt AI; velen moeten risicokaders bijwerken; AI-verordening/DORA/MiCAR.
  3. https://www.bankingsupervision.europa.eu/press/speeches/date/2026/html/ssm.sp260224~6c5b64a77a.en.html
    Toespraak P. Machado (ECB in de Raad van Toezicht), 24 feb. 2026: "Technology is neutral, governance is not" — AI binnen bestaande kaders, geen nieuw reglement.

Deel op LinkedIn

Lees ook

U

AI-fraudedetectie in de financiële sector: de uitzondering in bijlage III

AI die financiële fraude opspoort is in bijlage III uitdrukkelijk uitgezonderd van de hoog-risicokwalificatie voor kredietscoring. Die uitzondering is smal: hij geldt alleen voor échte fraudedetectie, niet voor kredietbeoordeling onder een fraudelabel. AVG en governance blijven gelden.

A

FSB-sound-practices voor verantwoorde AI-adoptie: een vrijwillig menu voor de mondiale financiële sector

Op 10 juni 2026 bracht de Financial Stability Board een consultatie uit met 12 vrijwillige sound practices voor verantwoorde AI-adoptie door financiële instellingen wereldwijd. Reageren kan tot 22 juli 2026. Het is een menu, geen norm, en richt zich niet op frontier-AI-modelrisico's.

A

De MAS van Singapore publiceert een AI-risicotoolkit voor de financiële sector — vóór de richtsnoeren bindend zijn

Op 20 maart 2026 sloot MAS (Singapore) fase twee van Project MindForge af met een AI-risicomanagementtoolkit voor de financiële sector, samen ontwikkeld met een consortium van 35 partijen. Het Handbook gaat vooraf aan bindende richtsnoeren en dekt generatieve én agentische AI.

Dirk Baaijen

Over deze kennisbank

Samengesteld en onderhouden door YRproject — programma- en projectregie op het snijvlak van digitale transformatie, AI en regelgeving. Elke feitelijke claim is herleidbaar naar de primaire bron. Achter YRproject staat Dirk Baaijen Over & methode →

Een project of programma? Werk met YRproject →

De maandelijkse briefing

AI-regulering in vijf minuten: wat er veranderde, wat eraan komt en wat het betekent. Geen spam, uitschrijven kan altijd.

Je adres wordt alleen hiervoor gebruikt en op eigen servers bewaard.