Publicado: julio 7, 2026, 4:08 pm

El Banco Central Europeo (BCE) se pone serio y exige a los principales bancos de la eurozona que tengan listo antes del 31 de octubre un «plan de acción integral» con medidas concretas para abordar las amenazas de ciberseguridad relacionadas con los modelos de inteligencia artificial, entre los que figura Mythos, desarrollada por Antropic. A través de una carta rubricada por la presidenta del Consejo de Supervisión del BCE, Claudia Buch, en la que se dirige a los consejeros delegados de las entidades más significativas de la región, la alemana advierte de que la capacidad de los modelos emergentes para identificar vulnerabilidades tiene consecuencias potencialmente profundas en aspectos como la confidencialidad, la integridad y la resiliencia de los sistemas bancarios.
«Se trata de un cambio estructural y de largo plazo en el panorama de las amenazas, y no de un fenómeno temporal ni de un riesgo asociado a una herramienta concreta», expone al tiempo que avisa de que la mayor velocidad y alcance de las ciberamenazas pone de manifiesto la importancia de reforzar las medidas existentes, además de acelerar los esfuerzos para mitigar esas vulnerabilidades. «Aunque estos avances no introducen riesgos completamente nuevos, sà amplifican de forma significativa la velocidad y la escala con las que dichos riesgos pueden materializarse», agrega. A este respecto, Buch remarca que la responsabilidad de responder a los ciberriesgos recae principalmente en los órganos de dirección de los bancos.
AsÃ, exige revisar decisiones estratégicas relacionadas con las TIC, incluida la inversión, la asignación de recursos, con el foco puesto en reforzar los sistemas de control y gobierno cuando sea necesario. Asimismo, insiste en que esta petición de evaluar el impacto de la evolución del panorama de amenazas debe hacerse sin demoras. «Dada la aceleración del panorama de amenazas, las debilidades existentes que permanezcan sin resolver pueden adquirir una importancia cada vez mayor y representar riesgos significativos para la resiliencia operativa», expresa en alusión al test de resistencia en materia de ciberriesgos llevado a cabo en 2024. En el documento también detallan que ese plan de actuación debe basarse en la estrategia de ciberriesgo ya existente y abordar tanto las prioridades inmediatas como los aspectos estratégicos a más largo plazo.
No obstante, a corto plazo el BCE cita varios elementos a los que prestar atención. Entre ellos figuran la necesidad de acelerar la gestión de las vulnerabilidades y la aplicación de parches a gran escala; el refuerzo de las capacidades de monitorización, detección y defensa basadas en la inteligencia artificial o verificar que la gestión de riesgo de terceros es adecuada para las circunstancias actuales teniendo en cuenta el papel de los proveedores de servicios en las cadenas de suministro crÃticas. Además de estas actuaciones, el organismo con sede en Fráncfort aconseja activar medidas estructurales como fortalecer la defensa en profundidad y cuidar la ciberhigiene, asà como «modernizar la infraestructura mediante la sustitución o actualización de tecnologÃas heredadas, sin soporte o que hayan alcanzado el final de su ciclo de vida».
Todo este conjunto de medidas deberán ser remitidas al Consejo de Supervisión del BCE a más tardar el próximo 31 de octubre. Con posterioridad, abordarán un diálogo con cada entidad para analizar el plan de actuación y supervisará su ejecución. Cabe recordar que el BCE ya se reunió con las entidades de cara a analizar las implicaciones de los modelos de IA en el sector, tras lo cual decidieron enviar una carta a todos los CEO de las entidades más significativas con el objetivo de solicitar la implementación de medidas proactivas que garanticen la seguridad de sus sistemas ante esta situación. «El BCE mantiene su compromiso de facilitar que las entidades supervisadas prioricen sus esfuerzos y concentren sus recursos en las áreas clave más relevantes», indica.
En este sentido, ampliará el plazo para la recopilación anual del Cuestionario sobre Riesgo Informático (IT Risk Questionnaire), que pasará de septiembre de 2026 a febrero de 2027. De su lado, los posibles ajustes de otras actividades supervisoras, como las inspecciones in situ o las revisiones en profundidad (deep dives), se evaluarán caso por caso. Estos podrán incluir actuaciones de subsanación relacionadas con las recomendaciones formuladas en actividades supervisoras anteriores, especialmente en ámbitos que no formen parte de las áreas de especial atención, pero que requieran una participación significativa de las funciones de gestión del riesgo de TIC de las entidades bancarias.
