El Banco Central Europeo ha lanzado un mensaje rotundo a las entidades financieras de la eurozona: o blindan sus sistemas contra los ciberataques potenciados por inteligencia artificial o se exponen a exigencias de capital adicionales. La nueva directriz, que aún no ha sido publicada oficialmente pero que adelantó Expansión, responde a un incremento exponencial de las amenazas. La IA permite a los atacantes sofisticar sus métodos a una velocidad que la regulación tradicional no alcanza a cubrir.
Los ciberataques dejaron de ser obra de un hacker solitario hace años. Ahora la inteligencia artificial generativa permite suplantar voces, crear vídeos falsos en tiempo real y automatizar el phishing a escala industrial. La suplantación del CEO ya no necesita un guion mal escrito: basta un modelo de IA entrenado con diez segundos de audio de una reunión pública.
La inteligencia artificial como nuevo vector de ataque
La banca, con sus sistemas legacy y su exposición a millones de transacciones diarias, se ha convertido en el objetivo preferente. Según los datos que maneja el sector, los intentos de fraude con elementos de IA se han triplicado en el último año en la zona euro. La suplantación de identidad mediante deepfakes ya no es ciencia ficción: en 2025, un banco británico perdió 25 millones de euros tras una videollamada falsa de su supuesto director financiero.
El BCE activa la alerta: inversión obligatoria
Desde Fráncfort, el presidente del Mecanismo Único de Supervisión ha sido claro: las entidades deben incorporar la defensa contra ataques potenciados por IA en sus planes de negocio. La recomendación se convierte en una exigencia con dientes. Las próximas pruebas de resistencia incluirán escenarios de ciberataque masivo con componentes de IA generativa.
El Banco Central Europeo ve en esta evolución tecnológica un riesgo sistémico. Si un banco sistémico cae víctima de un ataque que comprometa sus sistemas de pagos, el contagio al resto del sistema es inmediato. Por eso, la institución no descarta vincular los requisitos de capital a la capacidad de las entidades para demostrar resiliencia digital.
El supervisor prevé publicar en junio una guía detallada con los estándares mínimos. En paralelo, estudia la posibilidad de imponer sanciones a los bancos que no acrediten un nivel suficiente de resiliencia digital. No se trata de marcar casillas, sino de cambiar la cultura de riesgos, y la IA exige una revisión profunda’, indicó una fuente comunitaria.
La ciberseguridad ha dejado de ser un coste operativo: es la barrera que separa la confianza del colapso reputacional.
La banca española ante el espejo
España, con uno de los mayores índices de banca digital de Europa, es un laboratorio de pruebas para los ciberdelincuentes. Santander, BBVA, CaixaBank y Sabadell han aumentado sus partidas de ciberseguridad en los últimos tres años, pero la brecha entre la inversión y el riesgo se mantiene. Según un informe de Funcas, el sector financiero español destina de media un 8% de su presupuesto tecnológico a seguridad, frente al 12% que recomienda el BCE. En el conjunto de la eurozona, la inversión en ciberseguridad alcanzó los 400.000 millones de euros en 2025, según Deloitte, y se espera un incremento del 10% en 2026.
Los presupuestos han crecido considerablemente pero la amenaza escala aún más rápido. He conversado con directivos de seguridad que reconocen estar sobrepasados por herramientas de phishing generativo que escriben correos en español perfecto y burlan los filtros tradicionales. El factor humano sigue siendo el eslabón más débil: un empleado que pincha un enlace malicioso es suficiente para abrir una brecha.
La directriz del BCE forzará una revisión de los planes de contingencia y, previsiblemente, un incremento de los costes operativos. La banca española, con márgenes ajustados por la competencia y los tipos aún elevados, tendrá que decidir entre recortar en otras áreas o trasladar el coste al cliente. En cualquier caso, la ciberseguridad ya no es opcional. Es cuestión de supervivencia.
