El Banco Central Europeo dio el martes a los bancos de la eurozona un plazo de cuatro meses para elaborar planes de contingencia contra ciberataques impulsados por inteligencia artificial que podrían interrumpir los pagos y socavar la confianza en el sistema financiero.
La directiva, emitida a todas las entidades bajo supervisión directa del BCE, exige que las instituciones identifiquen vulnerabilidades específicas de las amenazas impulsadas por IA y describan estrategias de mitigación, indicó el banco central. La medida se suma a los requisitos de resiliencia operativa existentes en virtud del Reglamento de Resiliencia Operativa Digital, que entró plenamente en vigor en enero de 2025 y exige pruebas de resistencia estandarizadas para los riesgos de tecnología de la información y la comunicación.
Los bancos de la eurozona deben presentar sus planes dentro del plazo de cuatro meses, cubriendo escenarios en los que se utilizan herramientas de IA para automatizar campañas de phishing, manipular algoritmos de negociación o vulnerar la infraestructura de pagos. El brazo supervisor del BCE ha señalado los ataques impulsados por IA como una preocupación sistémica creciente, dada la concentración de los sistemas de pago y compensación en la zona monetaria.
La directiva refleja un impulso regulatorio más amplio para abordar la intersección entre la inteligencia artificial y la estabilidad financiera. Bancos centrales como el Banco de Inglaterra y la Reserva Federal han emitido advertencias similares sobre los riesgos cibernéticos asociados a la IA, aunque el BCE es uno de los primeros en imponer un plazo de planificación específico con consecuencias por incumplimiento.
Los prestamistas de la eurozona han invertido fuertemente en IA para la detección de fraudes, la calificación crediticia y la atención al cliente, pero la misma tecnología es cada vez más utilizada como arma por actores maliciosos. La directiva del BCE exige que los prestamistas distingan entre las implementaciones defensivas de IA y las vulnerabilidades creadas por sus propios sistemas de IA, que pueden introducir nuevas superficies de ataque.
El plazo de cuatro meses es relativamente corto según los estándares regulatorios, lo que refleja la urgencia que el BCE otorga al asunto. Los bancos que no cumplan con el plazo podrían enfrentar una supervisión reforzada, indicó el BCE en su comunicación a las entidades supervisadas.
Para los mayores prestamistas de la región —incluidos BNP Paribas, Deutsche Bank y UniCredit— la directiva se suma a una carga de cumplimiento ya creciente. La próxima revisión supervisora del BCE evaluará los marcos de riesgo de IA de los bancos como parte de su ciclo regular de pruebas de resistencia, y es probable que los resultados influyan en los requisitos de capital por riesgo operativo.
La última vez que el BCE impuso un plazo de cumplimiento igualmente acelerado fue en 2022, cuando exigió a los bancos presentar planes para gestionar la exposición a las sanciones rusas en un plazo de tres meses. Esa directiva precedió a una serie de recargos de capital para entidades con marcos de cumplimiento inadecuados.
Este artículo es solo para fines informativos y no constituye asesoramiento de inversión.