El BCE emplaza a la banca hasta el 31 de octubre para diseñar un plan de acción ante el auge de la IA
El Banco Central Europeo (BCE) se pone serio y exige a los principales bancos de la eurozona que tengan listo antes del 31 de octubre un «plan de acción integral» con medidas concretas para abordar las amenazas de ciberseguridad relacionadas con los modelos de inteligencia artificial, entre los que figura Mythos, desarrollada por Antropic. A través de una carta rubricada por la presidenta del Consejo de Supervisión del BCE, Claudia Buch, en la que se dirige a los consejeros delegados de las entidades más significativas de la región, la alemana advierte de que la capacidad de los modelos emergentes para identificar vulnerabilidades tiene consecuencias potencialmente profundas en aspectos como la confidencialidad, la integridad y la resiliencia de los sistemas bancarios. «Se trata de un cambio estructural y de largo plazo en el panorama de las amenazas, y no de un fenómeno temporal ni de un riesgo asociado a una herramienta concreta», expone al tiempo que avisa de que la mayor velocidad y alcance de las ciberamenazas pone de manifiesto la importancia de reforzar las medidas existentes, además de acelerar los esfuerzos para mitigar esas vulnerabilidades. «Aunque estos avances no introducen riesgos completamente nuevos, sí amplifican de forma significativa la velocidad y la escala con las que dichos riesgos pueden materializarse», agrega. A este respecto, Buch remarca que la responsabilidad de responder a los ciberriesgos recae principalmente en los órganos de dirección de los bancos. Así, exige revisar decisiones estratégicas relacionadas con las TIC, incluida la inversión, la asignación de recuros, con el foco puesto en reforzar los sistemas de control y gobierno cuando sea necesario. Asimismo, insiste en que esta petición de evaluar el impacto de la evolución del panorama de amenazas debe hacerse sin demoras. «Dada la aceleración del panorama de amenazas, las debilidades existentes que permanezcan sin resolver pueden adquirir una importancia cada vez mayor y representar riesgos significativos para la resiliencia operativa», expresa en alusión al test de resistencia en materia de ciberriesgos llevado a cabo en 2024. En el documento también detallan que ese plan de actuación debe basarse en la estrategia de ciberriesgo ya existente y abordar tanto las prioridades inmediatas como los aspectos estratégicos a más largo plazo. No obstante, a corto plazo el BCE cita varios elementos a los que prestar atención. Entre ellos figuran la necesidad de acelerar la gestión de las vulnerabilidades y la aplicación de parches a gran escala; el refuerzo de las capacidades de monitorización, detección y defensa basadas en la inteligencia artificial o verificar que la gestión de riesgo de terceros es adecuada para las circunstancias actuales teniendo en cuenta el papel de los proveedores de servicios en las cadenas de suministro críticas. Además de estas actuaciones, el organismo con sede en Fráncfort aconseja activar medidas estructurales como fortalecer la defensa en profundidad y cuidar la ciberhigiene, así como «modernizar la infraestructura mediante la sustitución o actualización de tecnologías heredadas, sin soporte o que hayan alcanzado el final de su ciclo de vida».
