Cơ quan Quản lý Thận trọng Australia (APRA) cảnh báo các ngân hàng và công ty tài chính tại nước này đang tăng tốc ứng dụng trí tuệ nhân tạo (AI), nhưng năng lực quản trị, bảo mật và kiểm soát rủi ro đối với công nghệ này chưa theo kịp.

Theo Finextra ngày 30/4 giờ địa phương, trong thư gửi toàn ngành, APRA cho biết quy mô, tốc độ và mức độ phức tạp của AI đang tăng nhanh, trong khi khung quản trị, quản lý rủi ro, cơ chế kiểm định và khả năng chống chịu hoạt động vẫn chưa đầy đủ.

Đánh giá này được đưa ra sau một đợt giám sát chuyên đề mà APRA thực hiện vào cuối năm ngoái. Sau khi rà soát cách các tổ chức tài chính triển khai và kiểm soát AI, cơ quan này nhận định các công nghệ AI ngày càng tinh vi đang tạo ra những điểm yếu mới về tài chính và vận hành.

APRA nhấn mạnh hệ thống an ninh thông tin hiện không bắt kịp tốc độ thay đổi của công nghệ. Theo cơ quan này, tốc độ phát hiện và khắc phục lỗ hổng cũng cần được đẩy nhanh để tương xứng với mức độ đe dọa gia tăng do AI tạo ra.

Cơ quan quản lý cũng lưu ý các mô hình AI tiên tiến có thể làm tăng rủi ro tấn công mạng. APRA dẫn ví dụ các mô hình như Claude của Anthropic có thể giúp nâng cao khả năng dò tìm lỗ hổng của các đối tượng xấu, từ đó làm tăng xác suất, tốc độ và quy mô của các cuộc tấn công mạng.

Ở cấp quản trị, APRA cho rằng mức độ sẵn sàng của hội đồng quản trị tại nhiều ngân hàng vẫn còn hạn chế. Nhiều hội đồng quan tâm lớn tới lợi ích tiềm năng của AI, nhưng lại thiếu hiểu biết kỹ thuật cần thiết để chất vấn ban điều hành một cách thực chất về các rủi ro và yêu cầu giám sát liên quan.

Ủy viên APRA Therese McCarthy Hockey cho rằng không thể xem nhẹ rủi ro từ một công nghệ có sức ảnh hưởng lớn như AI. Theo bà, rủi ro không chỉ đến từ việc các tổ chức tự triển khai công nghệ này trong nội bộ, mà còn đến từ những bên ngoài có ý đồ xấu.

APRA cũng ghi nhận các lỗ hổng trong chuỗi cung ứng và vận hành. Một số tổ chức tài chính đang phụ thuộc quá mức vào một nhà cung cấp duy nhất cho nhiều trường hợp sử dụng AI, trong khi phương án dự phòng vẫn còn thiếu.

Một vấn đề khác được cơ quan này nêu ra là mức độ minh bạch suy giảm khi các tính năng AI được tích hợp sẵn vào các nền tảng phần mềm hoặc công cụ phát triển. Trong những trường hợp đó, tổ chức sử dụng khó nắm rõ mô hình được huấn luyện và cập nhật ở đâu, theo cách nào và chịu những ràng buộc nào, từ đó hạn chế khả năng đánh giá và quản lý rủi ro một cách đầy đủ.

Theo APRA, các cơ chế quản lý hiện hành và phương thức kiểm định cũng chưa đáp ứng được yêu cầu mà AI đặt ra. Hệ thống quản trị còn phân mảnh có thể khiến tổ chức không đạt được mức độ kiểm chứng cần thiết đối với các ứng dụng AI.

Bà Therese McCarthy Hockey cho biết vấn đề cốt lõi được ghi nhận trong quá trình giám sát là tốc độ triển khai AI tiếp tục tăng, nhưng hệ thống và quy trình để kiểm soát an toàn lại không theo kịp. Bà nhấn mạnh doanh nghiệp cần đẩy nhanh đáng kể việc nhận diện lỗ hổng và vá lỗi để ứng phó với các mối đe dọa ngày càng tăng do AI thúc đẩy.

Dù vậy, APRA chưa phát tín hiệu sẽ bổ sung quy định mới ở giai đoạn hiện nay. Thay vào đó, cơ quan này kỳ vọng các tổ chức tài chính sẽ nhanh chóng thu hẹp khoảng cách giữa năng lực của công nghệ đang sử dụng và khả năng giám sát, kiểm soát chính công nghệ đó.

Theo APRA, các ưu tiên của ngành ngân hàng trong thời gian tới gồm nâng cao hiểu biết kỹ thuật ở cấp hội đồng quản trị, giảm rủi ro tập trung vào nhà cung cấp và tăng cường rà soát các phần mềm có tích hợp AI.