Índice de temas
¿Están los bancos españoles preparados tecnológicamente para afrontar amenazas impulsadas por inteligencia artificial avanzada?
Los bancos españoles están entre los mejor preparados de Europa. Llevan años invirtiendo en ciberseguridad, tienen equipos especializados y están sometidos a una supervisión exigente. No partimos de cero.
Pero la IA más avanzada, como Mythos, cambia el tipo de amenaza. Ya no hablamos solo de atacantes que repiten técnicas conocidas, sino de sistemas capaces de encontrar vulnerabilidades, probar vías de ataque y acelerar el trabajo que antes requería equipos humanos muy expertos.
Por eso la respuesta honesta es: sí, están mejor preparados que muchos sectores; no, no están plenamente preparados para esta nueva escala de amenaza. Ningún banco lo está del todo.
DORA es una buena base porque obliga al sector financiero europeo a demostrar resiliencia operativa ante incidentes graves, pero tendrá que adaptarse rápido a esta nueva generación de riesgos
GONZALO ÁLVAREZ, FUNDITEC
¿Qué medidas regulatorias o de supervisión deberían reforzarse ante el uso creciente de IA en la banca?
La prioridad no debería ser aprobar más normas genéricas, sino reforzar tres controles muy concretos.
Primero, revisar con más intensidad los sistemas antiguos. En banca hay mucho software crítico que lleva décadas funcionando y precisamente ahí pueden esconderse vulnerabilidades difíciles de detectar.
Segundo, auditar también las herramientas de IA defensiva. Usar IA para proteger un banco puede ser útil, pero si nadie verifica cómo funciona, qué datos usa y cuándo falla, puede convertirse en otro punto vulnerable.
Tercero, mejorar la coordinación entre bancos, supervisores y proveedores tecnológicos. Anthropic ha restringido el acceso a Mythos a un conjunto de organizaciones seleccionadas por sus implicaciones en ciberseguridad. Si modelos como Mythos solo están disponibles para unos pocos actores, Europa debe evitar quedarse en desventaja para entender la amenaza y preparar defensas.
DORA es una buena base porque obliga al sector financiero europeo a demostrar resiliencia operativa ante incidentes graves, pero tendrá que adaptarse rápido a esta nueva generación de riesgos.
¿Cómo puede afectar esta evolución tecnológica a la confianza de los clientes en la seguridad de sus datos financieros?
La confianza bancaria tarda años en construirse y puede perderse en un solo incidente grave.
Para el cliente medio, el mayor riesgo no es necesariamente que alguien le vacíe la cuenta de forma directa. El riesgo más probable es indirecto: filtraciones de datos personales, fraudes más creíbles, suplantaciones de identidad y mensajes falsos mucho más personalizados.
La banca seguirá siendo uno de los sectores más protegidos, pero el listón de la amenaza está subiendo. El mensaje razonable para los clientes no es pánico, sino vigilancia: activar doble factor de autenticación, desconfiar de comunicaciones urgentes y no asumir que todo lo que parece venir del banco es legítimo. Nada nuevo.
Que el BCE esté haciendo preguntas incómodas antes de que ocurra algo grave es, en sí mismo, una señal positiva. El problema es que las respuestas todavía no están claras para nadie.
