El BCE exige a la gran banca un plan urgente de protección frente a la IA

  • Seguridad
Oracle_Comision Europea

El supervisor europeo ha enviado una carta a los CEO de los grandes bancos para exigir un plan de acción contra los riesgos de ciberseguridad amplificados por la IA generativa. Las entidades españolas deberán entregar sus planes a los equipos conjuntos de supervisión antes del 31 de octubre.

El Banco Central Europeo (BCE) ha activado el primer gran movimiento regulatorio frente a los riesgos de la inteligencia artificial en el sector financiero. En una carta remitida a los consejeros delegados de todos los bancos bajo supervisión directa, la presidenta del Consejo de Supervisión, Claudia Buch, exige que las entidades presenten antes del 31 de octubre un plan detallado para mitigar los riesgos de ciberseguridad derivados de modelos de IA generativa como Mythos.

La misiva, descrita como de tono “inusualmente apremiante”, sitúa esta tarea como “prioridad absoluta” y coloca la responsabilidad directamente en los órganos de gestión de las entidades, no solo en las áreas técnicas. Buch advierte que los modelos de IA emergentes “son capaces de identificar vulnerabilidades de software a una velocidad sin precedentes, comprimiendo el tiempo entre el descubrimiento de la vulnerabilidad y su explotación masiva”. Para el supervisor, esto no es un riesgo tecnológico más, sino “un cambio estructural en el panorama de amenazas”.

 

La IA obliga a rediseñar la defensa digital de la banca

La carta establece tres líneas de defensa que todos los bancos deberán reforzar:

-     Seguridad por diseño, eliminando puntos débiles desde la fase de creación del software.

-     Corrección ultrarrápida, reduciendo drásticamente los plazos de subsanación, que ya no pueden ser de meses sino de días.

-     Defensa robusta y capacidad de reacción, con sistemas de detección de intrusiones y protocolos para aislar sistemas comprometidos y restablecer la operativa rápidamente.

Las entidades españolas significativas, como Santander y BBVA, deberán presentar sus planes a los equipos conjuntos de supervisión (JST) antes del 31 de octubre. Esto deja menos de cuatro meses para diseñar, aprobar y documentar estrategias que deberán pasar por los consejos de administración.

El BCE ha decidido aplazar hasta febrero de 2027 la recogida anual del Cuestionario de Riesgo Tecnológico para no distraer recursos de esta tarea prioritaria. Aun así, el supervisor advierte que utilizará todas las herramientas a su alcance, incluidas posibles multas o recargos de capital, si detecta deficiencias graves.