Waarom financieel talent nieuwe vaardigheden nodig heeft om AI-gedreven cyberdreigingen te bestrijden
In april 2026 riep de Europese Centrale Bank een spoedvergadering bijeen. Aanleiding was een AI-model dat zo krachtig bleek dat het kritieke kwetsbaarheden in cybersecuritysystemen blootlegde, nog voordat verantwoordelijke teams zich daarvan bewust waren.
Het model, Mythos van Anthropic, werd als eerste beschikbaar gesteld aan JPMorgan Chase, Microsoft, Google en CrowdStrike. Deze organisaties kregen daarmee een voorsprong in het opsporen en verhelpen van kwetsbaarheden, voordat kwaadwillenden er misbruik van konden maken. Europese banken vielen buiten deze eerste groep en waren daardoor juist op het moment dat het dreigingslandschap verschoof extra kwetsbaar.
Tijdens mijn tijd bij Mollie hielp ik bij het opschalen van innovatieve betaaltechnologieën in internationale markten. Daarbij werd steeds duidelijker dat groei ook verantwoordelijkheid met zich meebrengt – zeker in een sector waar vertrouwen centraal staat en klantgegevens optimaal beschermd moeten worden.
Tegenwoordig kan AI software-updates binnen enkele minuten analyseren en reverse-engineeren. Daardoor wordt de tijd tussen het dichten van een kwetsbaarheid en het misbruiken ervan door cybercriminelen drastisch verkort. Zelfs relatief onervaren aanvallers kunnen banken vandaag de dag eenvoudiger en goedkoper aanvallen dan ooit tevoren.
Hoewel regelgeving zoals DORA belangrijke richtlijnen en verplichtingen heeft geïntroduceerd, blijft de vraag welke combinatie van technologie, regelgeving en menselijke vaardigheden financiële instellingen nodig hebben om zich te beschermen tegen steeds geavanceerdere AI-gedreven aanvallen.
Menselijke fouten blijven dominant
In de praktijk zie ik dat teams binnen financiële instellingen nieuwe vaardigheden moeten ontwikkelen om AI-gedreven cyberdreigingen effectief het hoofd te bieden.
In het afgelopen jaar kreeg 87% van de organisaties wereldwijd te maken met een cyberaanval waarbij AI werd ingezet. De drempel voor geavanceerde aanvallen blijft dalen. Tegelijkertijd is nog altijd circa 60% van de beveiligingsincidenten terug te voeren op menselijke fouten: verkeerde configuraties, onjuiste beslissingen, ongecontroleerde inzet van AI-tools of het onbedoeld delen van gevoelige data.
Uit onderzoek van de ECB in 2025 blijkt bovendien dat ongeveer de helft van de ondervraagde banken nog geen specifiek AI-beleid of toezichtsstructuur had ingericht.
Professionals die verantwoordelijk zijn voor cyberrisicobeheer — zoals risk officers, CISO’s, compliance managers en operationele leidinggevenden — opereren vaak in organisaties waar AI-geletterdheid nog geen kerncompetentie van leiderschap is. Juist die kloof tussen technische kennis en besluitvorming vergroot de kans op cyberrisico’s.
De vaardigheden die nu het verschil maken
Na de introductie van Mythos lag de focus begrijpelijkerwijs vooral op technologie: betere detectiesoftware, snellere patchprocessen en AI-ondersteunde monitoring. Die investeringen zijn noodzakelijk, maar de ontwikkeling van menselijke vaardigheden krijgt aanzienlijk minder aandacht – terwijl die minstens zo bepalend is.
Vanuit mijn ervaring in de fintechsector en mijn huidige rol binnen een AI-gedreven werkomgeving zie ik een aantal vaardigheden die snel aan belang winnen.
De bevindingen van de ECB, de incidentresponsvereisten van DORA en data over cybercrime-trends laten een consistent beeld zien: een van de zwakste schakels in de verdedigingslinie van banken blijft de mens — en dan met name de vaardigheden die ontbreken.
Oordeelsvorming onder dreiging: Medewerkers moeten kunnen onderscheiden welke signalen daadwerkelijk een risico vormen. Dat vraagt om kritisch denken, prioritering onder druk en het nemen van verdedigbare beslissingen op basis van onvolledige informatie. Veel banken trainen deze vaardigheden nog onvoldoende op schaal.
AI-geletterdheid met een ethische component: Professionals moeten begrijpen wat AI-systemen wel en niet kunnen, waar menselijke controle noodzakelijk blijft en wanneer het gebruik van AI juridische of reputatierisico’s met zich meebrengt. De Europese AI Act classificeert diverse toepassingen in de bancaire sector als hoog risico — dat vraagt om meer dan een standaard compliance-training.
Leiderschap tijdens incidenten: Bij cyberincidenten zijn heldere communicatie, effectief teammanagement en het behouden van vertrouwen cruciaal. Juist wanneer systemen onder druk staan of uitvallen, maken leiderschaps- en communicatievaardigheden het verschil.
Beheersing van Shadow AI-risico’s: Werknemers gebruiken steeds vaker AI-tools buiten de officiële IT-omgeving. Managers moeten ongeautoriseerd gebruik kunnen herkennen, duidelijke kaders stellen rond datagebruik en een cultuur creëren waarin medewerkers risico’s durven melden. Dat vereist zowel psychologische veiligheid als sterk leiderschap.
Cross-functionele samenwerking: Cyberincidenten raken zelden alleen IT-teams. Juridische afdelingen, communicatie, operations en compliance worden vaak gelijktijdig betrokken. Medewerkers die effectief kunnen schakelen tussen technische en niet-technische stakeholders vormen een cruciale — maar vaak onderontwikkelde — verdedigingslaag.
Wat AI-cybersecurity echt vraagt
DORA verplicht banken om consistente processen in te richten voor ICT-risicobeheer en incidentrespons. Wat regelgeving echter niet kan afdwingen, is de kwaliteit van menselijke besluitvorming binnen die processen.
Een risicoregister is slechts zo sterk als degene die het invult. Een incidentresponsplan is alleen effectief als teams onder druk juist handelen. En beleid rond Shadow AI werkt alleen als managers het kunnen toepassen zonder innovatie onnodig te remmen.
Binnen de financiële sector zie ik momenteel een duidelijke scheefgroei in investeringen: veel budget gaat naar technologie, terwijl de ontwikkeling van menselijke vaardigheden achterblijft. Het resultaat is een beter uitgeruste organisatie die nog steeds dezelfde beoordelingsfouten maakt.
De introductie van Anthropic’s Mythos is daarmee vooral een waarschuwing. De technologische reactie is inmiddels in gang gezet. De vraag is of ook de menselijke infrastructuur — in de vorm van beoordelingsvermogen, AI-kennis en leiderschap — op tijd meebeweegt.
Uiteindelijk wordt de veerkracht van systemen bepaald door de kwaliteit van de mensen die ermee werken.
Investeren in technologie blijft essentieel. Maar investeren in menselijk vermogen bepaalt welke organisaties daadwerkelijk bestand zijn tegen de cyberdreigingen van morgen.
Een artikel van Raymond Lansheuvel, Head of Growth Benelux bij Lepaya en voormalig medewerker van Mollie.
