BCE exige a la banca planes de ciberseguridad ante el auge de amenazas de IA

El supervisor financiero europeo otorga un plazo de seis meses a las entidades para presentar las medidas frente a ciberataques que aprovechan la inteligencia artificial. El riesgo sistémico de la IA preocupa al BCE.

El Banco Central Europeo ha movido ficha ante lo que muchos supervisores llevan meses advirtiendo. El BCE ha remitido una carta a todas las entidades bancarias bajo su paraguas supervisor en la que les exige que presenten, en un plazo de seis meses, planes de acción concretos para blindarse frente a los ciberataques potenciados por inteligencia artificial. La decisión, que no es una simple recomendación sino una exigencia formal, refleja la creciente preocupación en Fráncfort por el riesgo sistémico que la IA introduce en el sector financiero.

La carta del BCE y el plazo de seis meses

La comunicación, a la que ha tenido acceso Merca2.es, no se limita a una petición genérica. El supervisor financiero europeo insta a los bancos a detallar cómo van a defenderse de amenazas que aprovechan modelos de lenguaje, deepfakes y herramientas automatizadas de escaneo de vulnerabilidades. No basta con tener un firewall. Se espera que las entidades demuestren, con indicadores medibles, que su postura de ciberseguridad está preparada para un panorama en el que los atacantes generan código malicioso o campañas de phishing casi indetectables en cuestión de segundos.

Publicidad

El plazo de seis meses es especialmente ajustado si se tiene en cuenta que muchos bancos europeos aún arrastran deuda tecnológica de sistemas heredados. La carta menciona expresamente la necesidad de revisar los protocolos de verificación de identidad y de reforzar la supervisión de las operaciones en tiempo real, dos ámbitos en los que la IA generativa puede hacer estragos si no se actúa con antelación.

Vulnerabilidades descubiertas por la IA en segundos

Los expertos en ciberseguridad llevan meses alertando de que la inteligencia artificial ha pulverizado el tiempo que un atacante necesita para identificar y explotar una brecha. Herramientas de código abierto son capaces de analizar la superficie de ataque de una entidad bancaria completa en menos de una hora, automatizando lo que antes requería semanas de reconocimiento manual. La combinación de estas capacidades con bases de datos de vulnerabilidades conocidas acelera el ciclo ofensivo hasta un punto que los equipos de defensa aún no han logrado igualar.

No se trata solo de ransomware. La carta del BCE pone el foco en los ataques de suplantación de identidad mediante voces sintéticas, la manipulación de sistemas de trading algorítmico mediante inyección de datos falsos y el uso de la IA para sortear los controles de cumplimiento normativo. Son vectores que, en su opinión, requieren una respuesta coordinada a escala europea y no parches individuales.

El sector financiero concentra el 30% de los ciberataques globales, según datos de la Agencia de Ciberseguridad de la Unión Europea. Y la tendencia es al alza. La IA no inventa nuevas vulnerabilidades, pero sí multiplica por diez la rapidez con la que se explotan las que ya existen.

La inteligencia artificial ha llevado la velocidad de los ciberataques a una escala que los sistemas de defensa actuales simplemente no pueden igualar.

El riesgo sistémico: la banca en mantillas

La verdadera inquietud del BCE va más allá de un banco concreto. Lo que teme Fráncfort es un escenario en el que un ataque coordinado, basado en IA, golpee simultáneamente a varias entidades sistémicas europeas. El efecto contagio podría paralizar los sistemas de pagos, erosionar la confianza en el sistema financiero y obligar a los bancos centrales a intervenir con liquidez de emergencia. No es ciencia ficción: los simulacros de estrés cibernético que se han realizado en los últimos dos años muestran que los tiempos de recuperación estimados para una gran entidad superan todavía las 72 horas, un umbral que los reguladores consideran inaceptable.

La amenaza de de un ciberataque masivo no es teórica. En 2025, un intento de intrusión en la red interbancaria SWIFT mediante credenciales robadas con técnicas de deepfake puso en guardia a los principales bancos centrales del mundo. Aunque el ataque fue abortado, demostró que los actores maliciosos han integrado la IA como arma operativa y no como simple herramienta auxiliar.

El BCE ha dejado claro que la supervisión de la ciberseguridad se integrará en el proceso de revisión y evaluación supervisora (SREP) a partir de 2027, con la misma ponderación que el riesgo de crédito o el de mercado. Eso significa que los bancos que no presenten planes de acción sólidos se enfrentarán a requerimientos de capital adicionales, una medida que, de facto, penaliza la falta de inversión en defensa digital.

La banca europea se enfrenta por tanto a un doble reto: invertir en transformación digital para no perder competitividad y, al mismo tiempo, blindar esa transformación frente a amenazas que evolucionan más rápido que cualquier regulación. La carta del BCE es una advertencia seria, pero también un primer paso para que la industria entienda que la ciberseguridad ya no es un coste operativo, sino un pilar de la estabilidad financiera.


Publicidad