El Banco Central Europeo (BCE) ha fijado el 31 de octubre de 2026 como fecha límite para que las principales entidades de la zona euro presenten un plan de acción integral frente a las amenazas de ciberseguridad relacionadas con los modelos de inteligencia artificial (IA) de vanguardia. La decisión, comunicada hoy por carta a los consejeros delegados de las instituciones significativas, responde a la capacidad de sistemas como Mythos, desarrollado por Anthropic, para identificar vulnerabilidades y generar exploits funcionales a una velocidad sin precedentes.
Qué exige exactamente el BCE y con qué plazo
La misiva, firmada por Claudia Buch, presidenta del Consejo de Supervisión del BCE, advierte de que la irrupción de estos modelos supone “un cambio a largo plazo en el panorama de amenazas, más que un fenómeno temporal”. Por eso, el supervisor pide a los bancos que evalúen sin demora el impacto y desarrollen un plan que aborde tanto prioridades inmediatas como reformas estructurales.
En el corto plazo, el BCE exige acelerar la gestión de vulnerabilidades y parches a gran escala, mejorar las capacidades de monitorización y detección basadas en IA, y reforzar la gestión de riesgos de terceros, especialmente ante la dependencia de proveedores de servicios TIC en cadenas de suministro críticas. En una segunda capa, el supervisor reclama el fortalecimiento de la defensa en profundidad, la higiene cibernética y la modernización de infraestructuras que dependan de tecnologías obsoletas, sin soporte o al final de su ciclo de vida.
Los modelos de IA no introducen riesgos desconocidos, pero amplifican la velocidad y la escala con la que se materializan las amenazas existentes.
El plan deberá entregarse al Equipo Conjunto de Supervisión (ECS) correspondiente antes del 31 de octubre. Ese mismo equipo evaluará los documentos y el BCE realizará después un análisis transversal para identificar tendencias, desafíos y áreas de mejora que compartirá con el sector.
Mythos, el detonante de la alerta regulatoria
La presentación de Mythos a principios de abril de 2026 actuó como acelerador. La capacidad del modelo para detectar fallos de software llevó a la propia Anthropic —dirigida por Dario Amodei— a limitar cautelarmente su despliegue. A principios de junio, la compañía amplió el acceso a su versión Claude Mythos Preview a unas 150 nuevas organizaciones de más de 15 países, entre ellas España, dentro del Proyecto Glasswing, una iniciativa colaborativa con socios iniciales que ya incluía a autoridades estadounidenses y empresas del país.
La amenaza no es un ataque masivo, sino la posibilidad de que herramientas generativas identifiquen fallos sin parchear en los sistemas de los bancos europeos más rápido que sus equipos de seguridad. Por eso, el supervisor subraya la urgencia de abordar las vulnerabilidades pendientes, que ahora adquieren mayor relevancia.
Supervisión reforzada y la computación cuántica en el radar

El BCE ya adelantó a finales de mayo, durante la presentación del Informe de Estabilidad Financiera que sirvió de despedida al entonces vicepresidente Luis de Guindos, que la inversión en ciberseguridad pasaría a ser prioritaria para los mercados financieros. La carta confirma esa línea de actuación y anticipa que la computación cuántica será el siguiente frente: el supervisor publicará próximamente una comunicación aparte sobre el riesgo que estas tecnologías suponen para los métodos de cifrado tradicionales.
Para los bancos, la exigencia se traducirá en un incremento de las partidas de seguridad informática. Quienes ya hayan modernizado sus sistemas y mantengan controles de terceros sólidos partirán con ventaja; el resto se verán obligados a acelerar inversiones que, a medio plazo, el supervisor medirá de forma comparada.
Implicaciones para el sector y para la supervisión
La capacidad de la IA para explotar brechas a velocidad de máquina convierte la ciberseguridad en un factor de riesgo sistémico. La decisión del BCE, aunque no introduce una nueva regulación, sí marca un estándar de facto que los bancos competidores —Santander, BBVA, CaixaBank, Deutsche Bank o BNP Paribas— deberán cumplir si quieren superar sin fricciones las siguientes revisiones supervisoras.
Además, el hecho de que el BCE vaya a cruzar datos de todos los planes presentados convierte el ejercicio en una comparativa sectorial que puede influir en la reputación de cada entidad —y, por extensión, en su percepción por parte de inversores y agencias de rating como Moody’s, S&P o Fitch.
📊 Las Claves para el Inversor
- Qué vigilar: El 31 de octubre es la fecha en que los bancos deben entregar sus planes. A partir de ahí, el BCE analizará y publicará conclusiones que podrían diferenciar a las entidades más avanzadas frente a las rezagadas.
- Reacción del valor: Las entidades con sistemas más modernos —y, por tanto, menor necesidad de inversión extra— podrían recibir una lectura favorable del mercado, mientras que los retrasos forzarán acelerones de gasto que presionen márgenes.
- Precedente sectorial: El listón que fija el BCE para la IA servirá de molde cuando llegue la comunicación sobre computación cuántica. La anticipación en ciberseguridad se convierte en una ventaja competitiva tangible.



