El BCE exige a la gran banca un plan de protección frente a la IA antes de octubre

La presidenta del Mecanismo Único de Supervisión activa el primer plan regulatorio frente a los riesgos cibernéticos de la IA generativa. Buch fija el 31 de octubre como fecha tope y apela a la dirección de los bancos para reforzar la seguridad por diseño y los protocolos de resp

EN 30 SEGUNDOS

  • ¿Qué ha pasado? El BCE, a través de su presidenta del Consejo de Supervisión, Claudia Buch, ha exigido a los grandes bancos de la zona euro un plan de acción para blindarse frente a los riesgos de ciberseguridad agravados por la IA generativa.
  • ¿Quién está detrás? El Mecanismo Único de Supervisión (MUS), que vigila directamente a las 113 entidades significativas de la zona euro, con la alemana Buch al frente.
  • ¿Qué impacto tiene? Todas las entidades, incluidas las españolas como Santander y BBVA, deben presentar sus medidas antes del 31 de octubre a sus equipos conjuntos de supervisión. No hay sanciones explícitas, pero el BCE advierte de que usará todas las herramientas a su alcance, incluidas posibles multas o recargos de capital.

El Banco Central Europeo (BCE) ha dado un paso sin precedentes en la regulación de la inteligencia artificial en el sector financiero. En una carta remitida este martes a los consejeros delegados de todos los bancos bajo su supervisión directa, la presidenta del Consejo de Supervisión, Claudia Buch, exige que presenten antes del 31 de octubre un plan de acción detallado para mitigar los riesgos de ciberseguridad que emanan de modelos de IA como Mythos. La misiva, adelantada por EXPANSIÓN y a la que ha tenido acceso Moncloa.com, eleva esta cuestión a “prioridad absoluta” y coloca la responsabilidad directamente sobre los órganos de gestión de las entidades.

El tono es inusualmente apremiante. “Los modelos de IA emergentes son capaces de identificar vulnerabilidades de software a una velocidad sin precedentes, comprimiendo el tiempo entre el descubrimiento de la vulnerabilidad y su explotación masiva”, escribe Buch. Para el supervisor, ya no se trata de un riesgo tecnológico más, sino de un “cambio estructural en el panorama de amenazas”.

Qué exige exactamente el BCE a los bancos

La carta no es un formulario cerrado, pero sí establece tres líneas de defensa que todas las entidades deberán reforzar en sus planes:

Publicidad

1. Seguridad por diseño. Los bancos deben mejorar la calidad de su software desde la fase de creación, eliminando puntos débiles que la IA podría explotar. Se acabó parchear sobre código vulnerable.

2. Corrección ultrarrápida. Si surge una vulnerabilidad, el plazo para subsanarla debe reducirse drásticamente. El BCE entiende que los ciclos de tres meses ya no son aceptables y exige respuestas en días, no en semanas.

3. Defensa robusta y capacidad de reacción. Si un ataque llega a tener éxito, los bancos deben contar con sistemas de detección de intrusiones, protocolos para aislar sistemas comprometidos y capacidad para restablecer la operativa en plazos muy cortos.

“Si bien estos avances no introducen riesgos totalmente nuevos, amplifican significativamente la velocidad y la escala a la que dichos riesgos se materializan”, remacha Buch. La supervisora insiste en que la responsabilidad de este blindaje recae en los CEO y los consejos de administración, no solo en las áreas de tecnología.

El supervisor equipara la amenaza de la IA a un cambio estructural, no a un riesgo temporal o vinculado a una sola herramienta.

Para facilitar que los bancos concentren sus recursos en este nuevo frente, el BCE ha decidido aplazar hasta febrero de 2027 la recogida anual del Cuestionario de Riesgo Tecnológico, cuyo vencimiento estaba previsto para septiembre de este año. Además, la institución comunica que considerará, caso por caso, ajustes en otras actividades de supervisión, como inspecciones in situ, para no distraer a las entidades de esta tarea prioritaria.

Impacto en España: plazos, equipos conjuntos y un respiro administrativo

La banca española, con Santander y BBVA a la cabeza como entidades significativas vigiladas directamente por el MUS, recibe el requerimiento con un calendario muy ajustado. Los planes de acción deberán presentarse a los equipos conjuntos de supervisión (JST), que integran a personal del BCE y del Banco de España, antes del 31 de octubre. En la práctica, eso significa que los equipos de cumplimiento y ciberseguridad de los grandes bancos tienen menos de cuatro meses para diseñar, aprobar a nivel de consejo y documentar sus estrategias.

Publicidad

La extensión del plazo para el cuestionario tecnológico da un pequeño margen, pero la presión no es menor. Fuentes del sector consultadas por Moncloa.com apuntan a que las entidades llevan meses trabajando en protocolos de IA, aunque ninguna había recibido hasta ahora una exigencia tan concreta y con rango de prioridad estratégica. El mensaje de Buch es también una señal política: el supervisor europeo no quiere que ningún banco aparque los riesgos de la IA en un cajón de proyectos a medio plazo.

El Banco de España, como parte de los JST, jugará un papel clave en la evaluación de los planes durante noviembre. No se descarta que, si alguna entidad española presenta deficiencias graves, el BCE active el procedimiento supervisor habitual, que puede derivar en recargos de capital o multas coercitivas.

El Eje del Poder Europeo

La decisión del BCE se enmarca en un movimiento más amplio de las autoridades europeas para no quedarse atrás en la regulación de la inteligencia artificial. Mientras Bruselas ultima la aplicación plena del AI Act y los supervisores nacionales empiezan a exigir controles, el MUS ha optado por usar su capacidad de presión directa sobre las entidades sin esperar a que el legislador defina todos los detalles. Es una muestra de que la supervisión bancaria puede moverse más rápido que la regulación horizontal de la UE, algo que ya ocurrió con los riesgos climáticos en 2020. La comparación con la carta de 2022 sobre activos apalancados es pertinente: entonces, el BCE también envió una misiva a los CEO alertando de un riesgo sistémico potencial. Aquella vez, los bancos respondieron reforzando sus colchones de capital. Ahora, el desafío es intangible pero de propagación instantánea.

Para España, esta iniciativa supone un test temprano de su resiliencia digital. Con una de las mayores concentraciones bancarias de la zona euro, Madrid no puede permitirse un incidente de ciberseguridad que dañe la confianza en sus entidades. La presión del BCE puede acelerar inversiones que ya estaban previstas, pero también revelar carencias en bancos medianos que, aunque no están bajo supervisión directa del MUS, seguirán las directrices por ósmosis.

Queda por ver si otros supervisores nacionales fuera de la zona euro, como la Autoridad Bancaria Europea o los bancos centrales de países no euro, adoptarán requerimientos similares. De momento, el BCE marca el ritmo. La cuenta atrás hacia el 31 de octubre comenzó ayer.