El principal supervisor bancario de la eurozona, el BCE, pidió el martes a los principales bancos europeos que elaboren planes de acción para abordar los riesgos de ciberseguridad que plantean los cada vez más potentes sistemas de inteligencia artificial.
La aparición de modelos de IA como Mythos de Anthropic, que es particularmente eficaz para identificar debilidades en los sistemas informáticos, ha generado preocupación entre los gobiernos y responsables políticos europeos.
El consejo de supervisión del BCE envió una carta a los 110 bancos que supervisa directamente, argumentando que los últimos modelos de IA representan un “cambio a largo plazo en el panorama de amenazas en lugar de un fenómeno temporal”.
“Si bien estos acontecimientos no introducen riesgos completamente nuevos, amplifican significativamente la velocidad y la escala con la que se materializan”, escribió Claudia Buch, presidenta del Consejo de Supervisión del BCE.
El BCE está pidiendo a los principales prestamistas, incluidos Deutsche Bank, BNP Paribas y Santander, que presenten antes del 31 de octubre un plan que detalle las medidas inmediatas y a largo plazo que pretenden tomar para fortalecer su resiliencia contra los ciberataques.
Dijo que los planes deberían priorizar una gestión más rápida de vulnerabilidades y parches de software, sistemas de monitoreo y detección más sólidos habilitados por IA y un escrutinio más cercano de los proveedores de tecnología de terceros y los riesgos de la cadena de suministro.
Estos esfuerzos deben dirigirse desde los niveles más altos de estas instituciones, subrayó el BCE.
Para dar a los bancos más tiempo para centrarse en la nueva amenaza, el BCE dijo que pospondría su Cuestionario anual de riesgos de TI de septiembre de 2026 a febrero de 2027 y consideraría ajustar otras actividades de supervisión caso por caso.
Una vez vencido el plazo, el BCE analizará el plan de cada banco, lo discutirá con cada institución y realizará un análisis horizontal para identificar debilidades comunes y mejores prácticas en todo el sector bancario.
La carta también menciona otras tecnologías emergentes, incluida la computación cuántica, que, según decía, “tendrán un impacto significativo en el panorama de la ciberseguridad”. El BCE dijo que abordaría los riesgos planteados por la computación cuántica en una carta separada “a su debido tiempo”.
El riesgo cibernético sistémico se vuelve “grave”
La medida del consejo de supervisión va acompañada de una advertencia de la Junta Europea de Riesgo Sistémico (JERS), el organismo de la UE responsable de monitorear los riesgos financieros sistémicos.
La JERS advirtió el martes sobre “riesgos cibernéticos sistémicos derivados de modelos fronterizos de inteligencia artificial”.
La advertencia se produce tras la decisión de la Junta General de la JERS en junio de elevar su evaluación del riesgo cibernético sistémico a “grave” desde “elevado” en marzo.
El organismo de control dijo que los modelos fronterizos de IA representan un “cambio de paradigma” en ciberseguridad y se han convertido en una fuente de riesgo sistémico para el sistema financiero de la UE. Según el organismo de control, “la IA ya está siendo utilizada por actores maliciosos para mejorar los ciberataques”.
La ESRB advirtió que la IA podría reducir drásticamente el tiempo disponible para que los bancos identifiquen y parcheen las vulnerabilidades de software antes de que sean explotadas, aumentando el riesgo de incidentes cibernéticos simultáneos en todo el sector financiero.
La JERS también advirtió que la concentración de los principales desarrolladores de IA de frontera fuera de la Unión Europea expone al bloque a una dependencia estratégica y riesgos geopolíticos.
Anthropic, uno de los principales desarrolladores de IA del mundo, ha estado creando modelos de IA fronterizos cada vez más capaces. Inicialmente, la compañía retuvo la versión completa de Mythos por temor a que pudiera usarse indebidamente para identificar vulnerabilidades de software y ayudar a los piratas informáticos antes de lanzar una versión pública con medidas de seguridad integradas el mes pasado.



