El Banco Central Europeo ha dado a los mayores prestamistas de la eurozona hasta finales de octubre para explicar cómo reforzarán sus defensas frente a ataques informáticos de sistemas de IA cada vez más capaces.
La máxima autoridad de supervisión bancaria de la eurozona, el Banco Central Europeo (BCE), instó este martes a los grandes bancos europeos a elaborar planes de actuación para hacer frente a los riesgos de ciberseguridad que plantean unos sistemas de inteligencia artificial cada vez más potentes.
El auge de modelos de IA como Mythos, de Anthropic, especialmente eficaz a la hora de identificar debilidades en los sistemas informáticos, ha despertado la preocupación de los Gobiernos y los responsables políticos europeos.
El consejo de supervisión del BCE remitió una carta a los 110 bancos que supervisa directamente, en la que sostiene que los últimos modelos de IA representan "un cambio estructural a largo plazo en el panorama de amenazas, más que un fenómeno pasajero".
"Aunque estos avances no introducen riesgos completamente nuevos, amplifican de forma significativa la velocidad y la escala a la que dichos riesgos se materializan", escribió Claudia Buch, presidenta del Consejo de Supervisión del BCE.
El BCE pide a los grandes bancos, entre ellos Deutsche Bank, BNP Paribas y Santander, que presenten antes del 31 de octubre un plan en el que detallen las medidas inmediatas y a más largo plazo que prevén adoptar para reforzar su resiliencia frente a los ciberataques.
Según el BCE, los planes deben dar prioridad a una gestión más rápida de las vulnerabilidades y de las actualizaciones de software, a sistemas de supervisión y detección más robustos basados en IA y a un control más estricto de los proveedores tecnológicos externos y de los riesgos de la cadena de suministro.
Estos esfuerzos deben estar dirigidos desde los máximos niveles de estas entidades, subrayó el BCE.
Para dar más tiempo a los bancos a centrarse en la nueva amenaza, el BCE anunció que aplazará su cuestionario anual sobre riesgo informático de septiembre de 2026 a febrero de 2027 y que estudiará ajustar otras actividades de supervisión caso por caso.
Tras el plazo, el BCE analizará el plan de cada banco, lo discutirá con cada entidad y llevará a cabo un análisis horizontal para identificar debilidades comunes y buenas prácticas en el conjunto del sector bancario.
La carta también menciona otras tecnologías emergentes, incluida la computación cuántica, de la que afirma que "tendrá un impacto significativo en el panorama de la ciberseguridad". El BCE señaló que abordará los riesgos asociados a la computación cuántica en una carta aparte "más adelante".
El riesgo cibernético sistémico se eleva a nivel "grave"
La iniciativa del consejo de supervisión se acompaña de una advertencia de la Junta Europea de Riesgo Sistémico (ESRB), el organismo de la UE encargado de vigilar los riesgos financieros sistémicos.
El ESRB advirtió este martes sobre "riesgos cibernéticos sistémicos derivados de modelos de inteligencia artificial de vanguardia".
El aviso llega después de que en junio el Consejo General del ESRB decidiera elevar su evaluación del riesgo cibernético sistémico a "grave" desde "elevado" en marzo.
El organismo de control señaló que los modelos de IA de vanguardia son "un cambio de paradigma" en materia de ciberseguridad y que se han convertido en una fuente de riesgo sistémico para el sistema financiero de la UE. Según el supervisor, "la IA ya está siendo utilizada por actores maliciosos para potenciar los ciberataques".
El ESRB advirtió de que la IA podría reducir de forma drástica el tiempo del que disponen los bancos para identificar y corregir vulnerabilidades de software antes de que sean explotadas, lo que aumenta el riesgo de incidentes cibernéticos simultáneos en todo el sector financiero.
El ESRB alertó además de que la concentración de los principales desarrolladores de modelos de IA de vanguardia fuera de la Unión Europea expone al bloque a una dependencia estratégica y a riesgos geopolíticos.
Anthropic, uno de los principales desarrolladores de IA del mundo, ha estado creando modelos de IA de vanguardia cada vez más capaces. La empresa decidió inicialmente no divulgar la versión completa de Mythos por temor a que pudiera utilizarse para identificar vulnerabilidades de software y ayudar a los piratas informáticos, antes de publicar el mes pasado una versión abierta al público con salvaguardas de seguridad incorporadas.