El BCE exige a la banca un plan frente a los riesgos de la IA avanzada antes de final de octubre

Archivo - 30 April 2026, Hesse, Frankfurt/M.: View of the sign of the European Central Bank (ECB). In the afternoon, the ECB announces an interest rate decision after its regular Governing Council meeting. Photo: Florian Wiegand/dpa
Archivo - 30 April 2026, Hesse, Frankfurt/M.: View of the sign of the European Central Bank (ECB). In the afternoon, the ECB announces an interest rate decision after its regular Governing Council meeting. Photo: Florian Wiegand/dpa- Florian Wiegand/dpa - Archivo
Europa Press Economía Finanzas
Actualizado: martes, 7 julio 2026 12:49

MADRID 7 Jul. (EUROPA PRESS) -

El Banco Central Europeo (BCE), en su labor de supervisor bancario, ha instado a las principales entidades de la zona euro a presentar "antes del 31 de octubre de 2026" un plan de acción integral con medidas concretas para abordar las amenazas de ciberseguridad relacionadas con los modelos de IA de vanguardia, como Mythos, desarrollado por Anthropic.

   En una carta remitida por Claudia Buch, presidenta del Consejo de Supervisión del BCE, a los consejeros delegados de las instituciones bancarias significativas de la eurozona, la alemana advierte de que la capacidad de los modelos emergentes de IA para identificar vulnerabilidades y generar 'exploits' funcionales tiene implicaciones potencialmente profundas para la confidencialidad, la integridad y la resiliencia de los sistemas de tecnología de la información y la comunicación (TIC) de los bancos.

    "Se trata de un cambio a largo plazo en el panorama de amenazas, más que un fenómeno temporal o un riesgo vinculado a una sola herramienta", señala en la carta, publicada este martes por el BCE.

    A finales de mayo, el BCE se reunió con las entidades europeas para analizar las implicaciones de los modelos de IA de vanguardia para el sector, tras lo que Frank Elderson, representante neerlandés en el directorio del BCE y vicepresidente del Consejo de Supervisión de la institución, ya adelantó que la institución enviaría una carta a todos los CEO de los bancos significativos para solicitar la implementación de medidas proactivas para garantizar la solidez y la seguridad de sus sistemas ante estos cambios.

    En este sentido, Claudia Buch insta en su carta a las entidades clave a evaluar sin demora el impacto del panorama de amenazas y a desarrollar "un plan de acción integral que describa medidas concretas" para reforzar los controles pertinentes, asignar los recursos necesarios, definir claramente las funciones y responsabilidades, y establecer los plazos de implementación.

    Dicho plan de acción, que deberá presentarse al Equipo Conjunto de Supervisión (ECS) correspondiente antes del 31 de octubre de 2026, tendrá en cuenta la estrategia de ciberriesgo existente del banco y abordará tanto las prioridades inmediatas como los aspectos estratégicos a largo plazo.

    En concreto, en el corto plazo, el BCE pide acelerar la gestión de vulnerabilidades y parches a gran escala; mejorar la monitorización, la detección y las capacidades defensivas basadas en IA; y verificar que la gestión de riesgos de terceros sea adecuada en la situación actual, teniendo en cuenta el papel de los proveedores de servicios de TIC en las cadenas de suministro críticas.

    Además de estas acciones a corto plazo, el BCE señala que la resiliencia operativa y cibernética debe reforzarse mediante medidas estructurales, incluyendo el fortalecimiento de la defensa en profundidad y la higiene cibernética, y la modernización de la infraestructura mediante la sustitución o actualización de tecnologías obsoletas, sin soporte o al final de su ciclo de vida.

   Asimismo, el BCE ha indicado que realizará un análisis transversal de los planes de acción presentados por los bancos para identificar tendencias, desafíos y áreas de mejora, y compartirá sus conclusiones de con las entidades para apoyarlas en el fortalecimiento de su resiliencia en materia de TIC.

    Al margen de los modelos de IA de vanguardia, el BCE advierte también de que otras tecnologías emergentes, como la computación cuántica, tendrán un impacto significativo en el panorama de la ciberseguridad, señalando que abordará el riesgo emergente relacionado para los métodos de cifrado tradicionales en una carta aparte que se publicará próximamente.

   "Si bien estos avances no introducen riesgos completamente nuevos, sí amplifican significativamente la velocidad y la escala con la que se materializan", concluye Buch, para quien las vulnerabilidades existentes que permanezcan aún sin resolver podrían adquirir mayor relevancia y suponer riesgos significativos para la resiliencia operativa de los bancos.

   A finales de mayo, en la presentación del 'Informe de Estabilidad Financiera' que sirvió como su despedida como vicepresidente del BCE, Luis de Guindos ya advirtió de que la inversión en ciberseguridad pasará a ser prioritaria de manera generalizada para los mercados financieros, incluyendo intermediarios grandes y pequeños, ante el empuje de modelos de IA de vanguardia.

   Si bien esta cuestión ha sido desde hace años un tema identificado por el BCE, la presentación a principios de abril de Mythos, entonces el modelo más avanzado de IA de Anthropic, cuya capacidad para detectar vulnerabilidades de software llevó a la 'startup' dirigida por Dario Amodei a limitar cautelarmente su implementación, impulsó a reguladores nacionales, así como a instituciones europeas a recabar información sobre potenciales riesgos.

    A principios del pasado mes de junio, Anthropic amplió el acceso a Claude Mythos Preview a aproximadamente 150 nuevas organizaciones con sede en más de 15 países, incluyendo España, extendiendo así el alcance del 'Proyecto Glasswing', la iniciativa colaborativa implementada por la 'startup' desde principios de abril junto con 50 socios iniciales con acceso preferente a su modelo avanzado de IA, incluyendo las autoridades estadounidenses y empresas del país.

   

Contador

Últimas noticias sobre estos temas

Contenido patrocinado