El Banco Central Europeo (BCE) ha lanzado una advertencia urgente a los 110 bancos supervisados de la zona euro. Exige planes de respuesta integral contra ciberamenazas impulsadas por inteligencia artificial antes del 31 de octubre de 2026. La presión no es coyuntural: el BCE considera que los riesgos son estructurales y crecientes. La llegada de modelos avanzados como Mythos, de Anthropic, ha cambiado el equilibrio entre defensa y ataque en el sector financiero.
¿Por qué el BCE ha activado la alerta cibernética ahora?
La aceleración del despliegue de modelos de lenguaje avanzados ha reducido la barrera de entrada para el cibercrimen. Antes, explotar vulnerabilidades requería alta especialización. Hoy, herramientas basadas en IA generan exploits automáticamente. Mythos y similares identifican fallos zero-day —es decir, desconocidos y sin parche— en segundos. Esto multiplica la velocidad y escala de los ataques.
El BCE no habla de riesgos teóricos. En 2025, el 42 % de los incidentes reportados por entidades financieras en la UE tuvieron vinculación con técnicas de automatización maliciosa. El impacto económico ya es tangible: las pérdidas promedio por incidente cibernético en banca superaron los 8,7 millones de euros, según el Banco de Pagos Internacionales.
¿Qué exige el BCE a los bancos españoles y europeos?
Claudia Buch, presidenta del Consejo de Supervisión del BCE, ha enviado una carta vinculante a entidades como Santander, BBVA, Deutsche Bank y BNP Paribas. Exige tres acciones inmediatas:
- Actualización acelerada de software legacy, especialmente en sistemas de pagos y gestión de identidad.
- Despliegue de defensas cibernéticas basadas en IA explicativa, no solo reactivo.
- Auditoría obligatoria de proveedores externos, incluidos los de nube y modelos de terceros.
Estas medidas no son opcionales. Forman parte de la actualización del Marco de Supervisión Cibernética del BCE, vigente desde junio de 2026.
¿Cómo afecta esto a la economía real y a los consumidores?
La ciberseguridad bancaria ya no es un tema técnico: es un pilar de la estabilidad financiera. Un ataque masivo podría interrumpir pagos interbancarios, congelar transferencias o comprometer datos de millones de clientes. En España, el Consorci de la Zona Franca ha iniciado un programa de certificación para proveedores fintech, alineado con los requisitos del BCE.
Además, el impacto regulatorio se traduce en costes operativos. Los bancos españoles prevén destinar un 18 % más de su presupuesto de finanzas personales a ciberseguridad en 2026. Ese gasto se traslada, en parte, a comisiones y productos digitales.
¿Qué otras tecnologías emergentes están en la mira del BCE?
Más allá de la IA, el BCE señala dos frentes críticos:
Computación cuántica
Su capacidad para romper cifrados asimétricos (como RSA) amenaza la integridad de las transacciones. El BCE exige que los bancos comiencen la migración a criptografía poscuántica antes de 2028.
Integración de IA en infraestructuras críticas
El uso de modelos de IA en sistemas de compensación (como TARGET2) requiere validación independiente. El BCE ya ha sancionado a dos entidades por desplegar modelos sin auditoría previa.
Datos Clave
- El BCE supervisa directamente a 110 entidades financieras clave de la zona euro.
- El plazo para entregar planes de respuesta integral vence el 31 de octubre de 2026.
- Mythos y modelos similares reducen el tiempo de descubrimiento de vulnerabilidades en un 73 %.
- Las entidades deben incluir a sus consejos de administración en la evaluación de riesgos de IA.
- El BCE vincula explícitamente la ciberseguridad con la prevención de crisis financieras.
- La directiva NIS2 exige reportes obligatorios de incidentes a la Agencia Europea de Ciberseguridad (ENISA) en menos de 24 horas.
El marco legal ya está en marcha. La Directiva NIS2, vigente desde enero de 2026, obliga a los bancos a certificar sus protocolos ante autoridades nacionales. En España, la CNMV y el Banco de España coordinan las inspecciones. No se trata de cumplimentar formularios: se exige trazabilidad real, pruebas técnicas y responsabilidad ejecutiva. La innovación no exime de control. Al contrario: acelera la exigencia de transparencia y resiliencia.
