El Banco Central Europeo (BCE), en su función de supervisor único, ha ordenado a las principales entidades financieras de la zona euro que remitan “antes del 31 de octubre de 2026” un plan de actuación detallado con medidas específicas para hacer frente a las nuevas amenazas de ciberseguridad ligadas a los modelos de IA de última generación, como Mythos, desarrollado por Anthropic.
En una misiva enviada por Claudia Buch, presidenta del Consejo de Supervisión del BCE, a los consejeros delegados de los bancos significativos de la eurozona, la responsable alemana alerta de que la capacidad de los modelos emergentes de IA para detectar vulnerabilidades y crear 'exploits' operativos tiene consecuencias potencialmente muy profundas para la confidencialidad, la integridad y la capacidad de resistencia de los sistemas de tecnologías de la información y la comunicación (TIC) de las entidades.
“Se trata de un cambio a largo plazo en el panorama de amenazas, más que un fenómeno temporal o un riesgo vinculado a una sola herramienta”, subraya en la carta, difundida este viernes por el propio BCE.
A finales de mayo, el BCE mantuvo un encuentro con las entidades europeas para estudiar el impacto de los modelos de IA de vanguardia en el negocio bancario. Tras esa reunión, Frank Elderson, representante neerlandés en el comité ejecutivo del BCE y vicepresidente del Consejo de Supervisión, ya avanzó que el organismo remitiría una comunicación formal a todos los CEO de los bancos significativos para exigir la adopción de medidas preventivas destinadas a garantizar la robustez y la seguridad de sus infraestructuras ante este nuevo escenario.
En esta línea, Claudia Buch reclama en su carta que las entidades de mayor relevancia evalúen sin dilación el efecto del nuevo entorno de amenazas y elaboren “un plan de acción integral que describa medidas concretas” para reforzar los controles necesarios, dotar los recursos oportunos, delimitar con precisión las funciones y responsabilidades y fijar calendarios claros de ejecución.
Ese plan de acción, que deberá remitirse al correspondiente Equipo Conjunto de Supervisión (ECS) antes del 31 de octubre de 2026, tendrá que apoyarse en la estrategia de ciberriesgo ya vigente en cada banco y contemplar tanto las actuaciones urgentes como los elementos estratégicos a largo plazo.
En el corto plazo, el BCE reclama acelerar la gestión masiva de vulnerabilidades y parches; potenciar las capacidades de monitorización, detección y defensa basadas en IA; y comprobar que la gestión del riesgo de terceros resulta adecuada en el contexto actual, considerando el peso de los proveedores de servicios TIC dentro de las cadenas de suministro críticas.
Junto a estas actuaciones inmediatas, el BCE recalca que la resiliencia operativa y cibernética debe apuntalarse con medidas estructurales, como el refuerzo de la defensa en profundidad y de la higiene cibernética, así como la modernización de la infraestructura tecnológica mediante la sustitución o actualización de sistemas obsoletos, sin soporte o próximos al final de su vida útil.
Al mismo tiempo, el organismo ha anunciado que llevará a cabo un análisis transversal de los planes de acción remitidos por las entidades con el fin de detectar patrones comunes, retos y áreas susceptibles de mejora, y que compartirá las conclusiones con los bancos para respaldarles en el refuerzo de su resiliencia en materia de TIC.
Más allá de los modelos de IA de vanguardia, el BCE pone el foco también en otras tecnologías emergentes, entre ellas la computación cuántica, que, a su juicio, alterará de forma notable el mapa de la ciberseguridad. En este sentido, adelanta que abordará el riesgo incipiente que supone para los métodos de cifrado tradicionales en una nueva carta que se hará pública próximamente.
“Si bien estos avances no introducen riesgos completamente nuevos, sí amplifican significativamente la velocidad y la escala con la que se materializan”, concluye Buch, quien advierte de que las vulnerabilidades ya existentes que sigan sin corregirse podrían ganar peso y convertirse en riesgos de gran calado para la resiliencia operativa de las entidades financieras.