El BCE exige supervisión de la IA en la banca: carta a los CEO con planes de contingencia

Fráncfort utiliza el instrumento de máxima alerta tras comprobar que los modelos de IA de frontera detectan fallos en segundos. Los bancos españoles ya han presentado sus planes de contingencia y se someterán a un seguimiento mensual.

EN 30 SEGUNDOS

  • ¿Qué ha pasado? El Banco Central Europeo ha enviado una carta a los máximos ejecutivos de la banca europea para exigir planes de contingencia acelerados frente a los riesgos de ciberseguridad derivados de la inteligencia artificial.
  • ¿Quién está detrás? El BCE, que convocó una reunión el 26 de mayo de 2026 con las entidades, ha comprobado que los nuevos modelos de IA detectan vulnerabilidades en segundos.
  • ¿Qué impacto tiene? Los bancos españoles ya han presentado sus esquemas de contingencia, pero el supervisor exige un seguimiento mensual y podría publicar una guía de buenas prácticas a escala europea.

El Banco Central Europeo (BCE) ha elevado la presión sobre las entidades financieras. La institución con sede en Fráncfort ha remitido una carta a los consejeros delegados de los grandes bancos de la zona euro —el instrumento de máxima alerta que reserva para las amenazas más graves— en la que exige acelerar los planes de contingencia frente a los ciberriesgos que plantea la inteligencia artificial (IA) generativa. El movimiento, adelantado por Expansión y confirmado por fuentes del sector, llega después de que los modelos de frontera hayan demostrado su capacidad para detectar agujeros de seguridad en los sistemas bancarios en cuestión de segundos.

El movimiento no es casual. El pasado 26 de mayo de 2026, el BCE convocó a los bancos de la zona euro a una reunión en su sede para debatir los riesgos cibernéticos que entrañan los nuevos modelos de IA. Aquella cita ya encendió las alarmas: los algoritmos más avanzados eran capaces de encontrar vulnerabilidades en los cortafuegos digitales de una entidad en el tiempo que tarda un empleado en tomar un café.

La carta enviada ahora, según ha podido saber Expansión, reclama a los presidentes y primeros ejecutivos que involucren a toda la estructura de sus organizaciones —desde los equipos de tecnología hasta los comités de riesgos— en la elaboración de planes de remediación sólidos y, sobre todo, rápidos. No es una recomendación: es una exigencia que el supervisor medirá mes a mes.

Publicidad

No es la primera vez que Fráncfort recurre a esta vía. La última misiva de este calado se remonta a 2022, cuando el BCE pidió a la banca un mayor foco en la gestión de activos apalancados que podían convertirse en un problema sistémico. Aquella advertencia, en plena resaca de la pandemia, provocó una reacción inmediata del sector. Ahora la amenaza es digital y, a juicio del supervisor, el margen de maniobra es mucho más estrecho.

Los bancos españoles de carácter sistémico ya han empezado a moverse. Durante el mes de junio de 2026, según fuentes conocedoras, las entidades expusieron sus esquemas de contingencia frente a la IA en las reuniones periódicas con los equipos conjuntos de supervisión (JST, por sus siglas en inglés), que integran a expertos del BCE y del Banco de España. En esos encuentros se abordaron también otros riesgos, pero la ciberseguridad ocupó el centro de la agenda.

La tecnología ha convertido los ciclos de ataque y defensa en una cuestión de minutos. La banca europea, acostumbrada a plazos de supervisión más pausados, se enfrenta a un enemigo que no respeta fines de semana.

El BCE ha solicitado a cada banco un seguimiento mensual de los avances, lo que demuestra que no habrá margen para la dilación. La percepción en la cúpula del supervisor es que la banca de la zona euro ya va tarde en la implantación de medidas de remediación sofisticadas.

Fuentes oficiales del BCE declinaron hacer comentarios, pero explican que el objetivo de los encuentros de los últimos meses —reuniones rutinarias pero cada vez más centradas en los riesgos tecnológicos— ha sido doble: elaborar un diagnóstico de la preparación digital y aunar las mejores prácticas del sector para, en un futuro, publicar una guía común de cumplimiento para todas las jurisdicciones. Esa guía, no obstante, aún no está decidida: el regulador sopesa publicarla en el marco del ejercicio de simplificación administrativa que viene impulsando Bruselas.

Un enemigo que opera en segundos

BCE inteligencia artificial

Los nuevos modelos de IA de frontera —como los grandes lenguajes que han saltado al debate público— no solo son capaces de redactar informes o programar código. Han demostrado que pueden encontrar los agujeros en los sistemas de seguridad de los bancos en cuestión de segundos, detectar configuraciones débiles o patrones de acceso vulnerables que a un humano le llevaría días o semanas identificar. Es decir, la inteligencia artificial puede actuar como un cracker automático que acelera exponencialmente el ciclo de ataque.

Para las entidades, la respuesta tradicional —actualizar los sistemas y parches de seguridad con periodicidad mensual o trimestral— ya no sirve. Ahora se impone un enfoque de hiperautomatización defensiva: sistemas capaces de detectar una intrusión y desplegar contramedidas en minutos, no en semanas. Los bancos deben invertir en equipos de respuesta inmediata y en herramientas que monitoricen el tráfico digital en tiempo real.

Publicidad

Esa exigencia, trasladada ahora por escrito a los máximos responsables, supone un cambio de paradigma en la supervisión bancaria europea. Hasta ahora, el BCE evaluaba los riesgos operativos con un enfoque basado en auditorías y muestras. La carta demuestra que el supervisor entiende que la IA ha roto las escalas temporales del riesgo financiero clásico.

El Eje del Poder Europeo

La decisión del BCE de enviar una carta a los consejeros delegados no es solo un acto de supervisión técnica: es una señal política con un claro eje de tensión europea. Por un lado, refuerza la posición de Fráncfort como el guardian definitivo de la estabilidad financiera, en un momento en que la Unión Europea debate la simplificación regulatoria para no perder competitividad frente a Estados Unidos o el Reino Unido. Por otro, obliga a los Estados miembros —especialmente a aquellos con sistemas bancarios muy concentrados, como España— a acelerar una inversión en ciberseguridad que, hasta ahora, muchos habían relegado al segundo plano del capítulo tecnológico.

España parte con ventaja relativa: según las fuentes consultadas, los grandes bancos españoles ya han presentado sus planes de contingencia, mientras que en otras jurisdicciones de la zona euro el proceso va más rezagado. Pero la ventaja es frágil. El BCE no se conforma con que le cuenten lo que tienen; exige un seguimiento mensual y, si los avances no son suficientes, tiene herramientas para imponer recargos de capital o, en casos extremos, restricciones a la distribución de dividendos.

Por paradójico que parezca, esta presión preventiva podría convertirse en una ventaja competitiva para la banca europea a largo plazo: un sistema financiero más ciberseguro, con estándares claros y auditables, será más atractivo para los inversores institucionales que llevan años demandando resiliencia operativa. Pero el camino no será sencillo. El precedente de 2022 enseñó que el sector reacciona cuando Fráncfort aprieta, pero también que, sin un seguimiento estrecho, la inercia vuelve.

El BCE, además, se mueve en un terreno pantanoso de solapamiento regulatorio: la UE aprobó en 2024 el Reglamento de Resiliencia Operacional Digital (DORA, por sus siglas en inglés), que ya obliga a las entidades financieras a gestionar los riesgos de las tecnologías de la información, pero la aparición de la IA generativa ha pillado a las normas con el paso cambiado. La carta de Fráncfort funciona, en la práctica, como un adelanto de lo que muchos en Bruselas ya anticipan: una adaptación urgente del marco DORA a los riesgos específicos de la inteligencia artificial.

En ese tira y afloja entre regulación y realidad tecnológica, la Eurozona se juega mucho. Si los bancos europeos consiguen blindarse antes de que un ciberataque masivo sacuda la confianza del mercado, el supervisor habrá acertado. Si, por el contrario, la burocracia frena la adopción de medidas, la carta de julio de 2026 se recordará como una oportunidad perdida. De momento, lo único cierto es que los bancos ya no pueden permitirse mirar a otro lado.