De financiële sector heeft de fase achter zich gelaten waarin de belangrijkste vraag was of AI geïmplementeerd moest worden. Het debat is verschoven naar de vraag „Hoe kunnen we systemen best beheren die al in productie zijn, autonomie winnen en beginnen te opereren op basis van gevoelige data, processen en beslissingen?“ Een nieuw rapport van de Cloud Security Alliance, in opdracht van Anjuna, toont aan dat banken, verzekeringsmaatschappijen en andere financiële diensten zich snel bewegen richting intelligente agent-AI, maar nog steeds een alarmerend gebrek aan zichtbaarheid over de risico’s ervaren.
De studie „State of Cloud and AI for Financial Services 2026“, gebaseerd op 340 antwoorden van professionals op het gebied van cloud, kunstmatige intelligentie, cybersecurity, compliance en risicomanagement in financiële organisaties wereldwijd, schetst een sector die AI niet meer als een laboratoriumexperiment ziet. Volgens het rapport heeft 62 % van de ondervraagde organisaties al AI-agenten uitgerold. Tegelijkertijd geeft 20 % aan incidenten met betrekking tot AI te hebben meegemaakt, en 21 % weet niet zeker of dat het geval is.
AI-agenten bevinden zich al binnen financiële instellingen
Het meest opvallende feit uit het rapport is dat de adoptie vordert. Slechts 27 % van de organisaties meldt geen gebruik te maken van AI-agenten. Meer dan een derde, 35 %, heeft ze al in productie, terwijl nog eens 9 % zich in een gevorderde adoptiefase bevindt. Daarnaast zegt bijna de helft, 49 %, bezig te zijn met exploratie of pilotprojecten.
De verschillen met voorgaande jaren zijn significant. AI wordt niet langer beperkt tot interne analyses, eenvoudige chatbots of laag-risico automatisering. Agenten verschijnen nu in klantenservice, cybersecurity-operaties, backoffice en fraudedetectie. Het zijn kerngebieden waar efficiëntieverbeteringen directe impact kunnen hebben, maar waar ook fouten ernstige gevolgen kunnen hebben voor klanten, operaties, gevoelige data of naleving van regelgeving.
| Rapportindicator | Belangrijkste gegevens |
|---|---|
| Organisaties met uitgerolde AI-agenten | 62 % |
| Organisaties zonder AI-agenten | 27 % |
| Actieve implementatie in productie | 35 % |
| Geavanceerde adoptie | 9 % |
| Exploratie of pilots | 49 % |
| Bekende beveiligingsincidenten met AI | 20 % |
| Organisaties die niet weten of ze incidenten hebben gehad | 21 % |
| Gebruik van cloudtechnologie | 98,3 % |
| Grotendeels of volledig cloud-gebaseerde architecturen | 33 % |
| Steun van het hogere management | 91 % |
Gebruiksscenario’s geven inzicht in waar de transformatie begint. Klantenservice staat bovenaan met 63 %. Daarna cybersecurity-operaties (47 %), backoffice (44 %) en fraudedetectie (41 %). Dit zijn processen waar automatisering tijd kan besparen, sneller kan reageren en grote hoeveelheden informatie kan verwerken, maar die ook controle en traceerbaarheid vereisen.
Het rapport benadrukt een bijzonder delicaat punt: 93 % van de organisaties die AI-agenten gebruiken, heeft ze een zekere mate van autonomie toegekend. Dit betekent niet dat alle agenten kritieke beslissingen autonoom kunnen nemen, maar dat de sector een fase ingaat waarin AI niet alleen aanbevelingen doet, maar ook binnen workflows begint te handelen.
Autonome betalingen: een nabijgelegen grens
Een van de meest opvallende conclusies is de verwachting rondom betalingen beheerd door AI-agenten. 85 % van de ondervraagden gelooft dat AI-agenten betalingen zullen starten en uitvoeren namens consumenten. Dit is geen onbeduidende hypothese. In de financiële sector vereist het toestaan dat een autonoom systeem geld verplaatst, dat autorisatie, identiteit, toestemming, limieten, auditing en verantwoordelijkheid worden herzien.
De meeste respondenten lijken zich bewust van de uitdagingen. 65 % meent dat autonome betalingen nieuwe autorisatie-modellen vereisen. Dit kan inhouden dat toestemming meer granulariteit krijgt, limieten worden vastgesteld, validaties contextafhankelijk worden, menselijke supervisie in bepaalde gevallen wordt toegepast, en dat er duidelijke mechanismen bestaan om te bepalen wie verantwoordelijk is als er iets misgaat.
De banksector is gewend te werken met strikte regels voor betalingen, fraude, versterkte authenticatie en transactiecontrole. Wat verandert, is dat AI-agenten in dynamischere omgevingen kunnen opereren. Ze kunnen instructies interpreteren, data raadplegen, tools combineren en acties uitvoeren namens de gebruiker. Deze flexibiliteit is handig, maar bemoeilijkt het controleproces.
Hierbij komt een fundamentele vraag in de financiële innovatie: hoe wordt AI geautoriseerd om te handelen? Het is niet voldoende dat de gebruiker zegt: “Betaal dit”, als het systeem mogelijk beslissingen kan interpreteren, prioriteren of automatiseren. Vertrouwen moet worden opgebouwd op basis van beleid, identiteit, verifieerbare registraties en goed afgebakende technische limieten.
De risico’s van AI zijn ook datagebonden
Het CSA en Anjuna rapport identificeren datalekken van gevoelige gegevens via interacties met AI als de belangrijkste beveiligingszorg, genoemd door 61 % van de ondervraagden. Dit resultaat is opmerkelijk, omdat het andere, vaak meer besproken angsten, zoals directe aanvallen op het model of adversarial techniques, overtreft.
In de praktijk is het meest prangende probleem niet altijd een gehackte AI, maar een AI die verbonden is met te veel data, ongeautoriseerde permits heeft of onvoldoende zichtbaarheid biedt. Een agent die dossiers samenvat, klantgegevens opvraagt, internssystemen raadpleegt of incidenten helpt oplossen, kan gegevens blootstellen als er geen solide controles bestaan over wat hij mag zien, doen en vastleggen.
Deze zorg sluit aan bij een ander resultaat uit de studie: 20 % van de organisaties meldt dat ze beveiligingsincidenten met AI hebben meegemaakt, terwijl 21 % niet weet of dat het geval is. Die tweede waarde is mogelijk nog zorgwekkender. In een gereguleerde sector is niet weten of er incidenten zijn geweest even problematisch als het incident zelf, omdat dit het onderzoek, herstel en bewijsvoering bemoeilijkt voor toezichthouders en klanten.
De risico’s van AI in de financiën lijken steeds meer op die van cloud-veiligheid uit het verleden, maar dan sneller. Eerst komt de adoptie, daarna ontstaan problemen met zichtbaarheid, identiteit, permissies, derde partijen en configuraties. Uiteindelijk worden governance-structuren noodzakelijk. Het verschil is dat AI-agenten veel autonomer kunnen handelen dan traditionele applicaties.
Cloud, derden en menselijke fouten blijven relevant
Het rapport bevestigt dat cloud al stevig verankerd is in de financiële dienstverlening. 98,3 % van de ondervraagde organisaties gebruikt cloudservices, en een derde zegt vooral of volledig afhankelijk te zijn van cloud-gebaseerde architecturen. Dit is relevant omdat bedrijfskundige AI steeds meer rust op cloudinfrastructuur, gedistribueerde data, managed services en hybride omgevingen.
Ook lijkt het hogere management de relatie tussen cloud, security en AI te begrijpen. 91 % van de respondenten geeft aan dat ze sterke of matige steun krijgen van de executive teams. Dit is cruciaal voor financiering, procesinnovatie en het omgaan met complexe regelgeving. Maar deze steun elimineert niet de operationele risico’s.
De belangrijkste menselijke securityrisico’s blijven prominente thema’s: derde partijen (55 %), slechte configuratie (52 %) en menselijke fouten (27 %). Dit wijst erop dat, ondanks verbeterde tools, gebrekkig beheer, integratieproblemen en slechte operationele governance nog steeds de belangrijkste zwakke punten blijven.
In de financiële sector worden deze risico’s nog versterkt doordat organisaties afhankelijk zijn van cloudproviders, dataplatformen, externe modellen, integrators, fintechs, API’s en digitale ketens. Een AI-agent die in dit ecosysteem opereert, heeft niet alleen controle over het model, maar ook over alles wat het model aanraakt en beïnvloedt.
Van adoptie naar governance: een nieuwe fase
Concluderend stelt het rapport dat AI in de financiële sector een meer volwassen fase ingaat. Het geven van een competitief voordeel door het snel inzetten van agenten geldt niet meer alleen, maar de daadwerkelijke waarde ligt in het kunnen tonen dat deze agenten binnen duidelijke grenzen opereren, traceerbaar zijn, veilig, identiteitsgoedgekeurd en voldoen aan continue compliance.
Dit vereist dat organisaties op meerdere fronten tegelijk werken: bepalen welke agenten aanwezig mogen zijn, welke data ze kunnen gebruiken, welke beslissingen ze mogen nemen, wanneer menselijke goedkeuring nodig is, hoe resultaten worden geaudit en hoe te handelen bij fouten. Ook moeten beleidssystemen voor derden, cloud-controles, identiteitsbeheer en compliance framework worden bijgewerkt, zodat autonomie niet sneller toeneemt dan toezicht.
De boodschap van CSA is vooral relevant voor een sector die op vertrouwen draait. Een bank kan AI snel adopteren, maar als ze niet kunnen uitleggen hoe ze haar agenten controleren, welke data ze gebruiken en welke beslissingen ze nemen, kan hun efficiëntieverbetering in reputatieschade en regulatory risico’s veranderen.
AI begint al te integreren in de operationele werkwijze van de financiële sector. De volgende stap is niet simpelweg meer agenten in productie brengen, maar het opbouwen van een controlearchitectuur die dat mogelijk maakt. Banken hebben eerder geleerd dat de cloud nieuwe regels vereiste. Nu moeten ze hetzelfde leren voor autonome AI.
Veelgestelde vragen
Wat is AI-agent-technologie in financiële diensten?
Het gebruik van AI-systemen die binnen financiële processen kunnen handelen, informatie kunnen raadplegen, tools kunnen gebruiken, taken kunnen automatiseren en in sommige gevallen autonome beslissingen kunnen nemen.
Hoeveel financiële instellingen gebruiken al AI-agenten?
Volgens het rapport van Cloud Security Alliance en Anjuna heeft 62 % van de ondervraagde financiële organisaties al AI-agenten uitgerold.
Wat is het grootste beveiligingsrisico?
Het grootste beveiligingsprobleem is datalekken van gevoelige gegevens via interacties met AI, genoemd door 61 % van de respondenten.
Wat zijn autonome AI-betalingen?
Betalingen die worden gestart of uitgevoerd door AI-agenten namens consumenten. 85 % van de respondenten gelooft dat dergelijke betalingen zullen plaatsvinden, hoewel de meeste aangeven dat nieuwe autorisatiemodellen nodig zullen zijn.