(Expansión, 28-05-2026) | Mercantil, civil y administrativo
El Banco Central Europeo (BCE) ha incrementado la presión sobre la banca para que acelere la adaptación de sus sistemas frente a los riesgos derivados de los nuevos modelos de inteligencia artificial, como Mythos, desarrollado por la firma estadounidense Anthropic. El supervisor reunió el pasado martes a unos 300 representantes de entidades financieras, asociaciones empresariales y organismos públicos en una cumbre extraordinaria centrada en esta amenaza.
La finalidad del encuentro fue concienciar tanto a los bancos como a las autoridades sobre la magnitud del problema, ya que estos modelos de IA han demostrado ser capaces de detectar y explotar rápidamente vulnerabilidades en los sistemas de las entidades financieras.
La reunión estuvo encabezada por Frank Elderson, miembro del Comité Ejecutivo del BCE y vicepresidente del Consejo de Supervisión bancaria. Fuentes próximas al encuentro aseguran que el organismo trasladó a los bancos su intención de empezar a remitir comunicaciones formales en las que solicitará, entre otras cuestiones, planes específicos de protección frente a posibles ciberataques impulsados mediante inteligencia artificial.
La iniciativa supone un nuevo avance dentro del proceso supervisor en torno a un asunto que se ha convertido en una de las mayores amenazas para la estabilidad financiera en muy poco tiempo. Durante la cumbre se compartieron experiencias sobre este tipo de ataques, así como información y retos comunes a los que se enfrenta el sector.
El BCE también trabaja en la recopilación de buenas prácticas relacionadas con la defensa frente a ataques potenciados por IA. La institución estudia elaborar una guía que pueda servir de referencia al resto de entidades para elevar sus estándares de seguridad, siguiendo una metodología similar a la aplicada anteriormente en ámbitos como la gestión de créditos dudosos. Según ha podido saber EXPANSIÓN, al encuentro acudieron todos los bancos españoles de gran y mediano tamaño. Asimismo, representantes de la Dirección General de Redes de Comunicación, Contenido y Tecnologías participaron en nombre de la Comisión Europea.
El BCE convocó principalmente a perfiles técnicos de las entidades, como responsables de sistemas y directores de tecnología, es decir, los ejecutivos encargados de la infraestructura digital y de desarrollar los mecanismos de defensa y los protocolos de protección frente a estos nuevos riesgos. El supervisor también insistió en la necesidad de reforzar las inversiones en ciberseguridad, una cuestión sobre la que ya había advertido tras publicar los resultados de los test de estrés de ciberresiliencia realizados recientemente.
Los principales directivos bancarios reconocen la preocupación existente por el impacto que puede tener Mythos en el ámbito de la inteligencia artificial. Marc Armengol, nuevo consejero delegado de Sabadell, afirmó en un encuentro organizado por IESE y FTI Consulting que la IA debe implantarse con una adecuada gobernanza y que habrá diferencias entre las entidades que gestionen correctamente esta transformación y las que lo hagan de manera improvisada. Por su parte, el presidente de Kutxabank, Antón Arriola, admitió que las entidades financieras se sienten especialmente expuestas ante este tipo de amenazas.
La inquietud entre bancos y reguladores europeos es aún mayor porque, por ahora, no tienen acceso a Mythos. El sector espera poder utilizar la herramienta a lo largo del verano mediante un sistema de pago. Fuentes financieras señalan que existe preocupación porque actualmente solo determinadas entidades, ninguna de ellas europea, pueden utilizar este sistema, lo que consideran una amenaza competitiva y de seguridad. También advierten de que, mientras no dispongan de esta tecnología, podría resentirse la calidad de los trabajos de protección frente a ciberriesgos debido a la aceleración de los tiempos y a la falta de capacidad para realizar pruebas adecuadas.
Aun así, la banca se muestra dispuesta a colaborar para afrontar este nuevo escenario, aunque teme que la amenaza derivada de la inteligencia artificial sirva de argumento para endurecer las exigencias regulatorias. Desde distintas asociaciones empresariales sostienen que el desafío debe abordarse principalmente desde la resiliencia operativa y la supervisión, más que mediante nuevas normas regulatorias. Por ello, consideran prioritario reforzar capacidades esenciales como la detección y respuesta ante incidentes, la gestión de actualizaciones de seguridad y la resiliencia cibernética.