El Banc Central Europeu (BCE), en la seva tasca de supervisor bancari, ha instat les principals entitats de la zona euro a presentar "abans del 31 d'octubre de 2026" un pla d'acció integral amb mesures concretes per abordar les amenaces de ciberseguretat relacionades amb els models d'IA d'avantguarda, com Mythos, desenvolupat per Anthropic.
En una carta remesa per Claudia Buch, presidenta del Consell de Supervisió del BCE, als consellers delegats de les institucions bancàries significatives de l'eurozona, l'alemanya adverteix que la capacitat dels models emergents d'IA per identificar vulnerabilitats i generar 'exploits' funcionals té implicacions potencialment profundes per a la confidencialitat, la integritat i la resiliència dels sistemes de tecnologia de la informació i la comunicació (TIC) dels bancs.
"Es tracta d'un canvi a llarg termini en el panorama d'amenaces, més que un fenomen temporal o un risc vinculat a una sola eina", assenyala a la carta, publicada aquest dimarts pel BCE, segons recull Europa Press.
A finals de maig, el BCE es va reunir amb les entitats europees per analitzar les implicacions dels models d'IA d'avantguarda per al sector, després de la qual cosa Frank Elderson, representant neerlandès en el directori del BCE i vicepresident del Consell de Supervisió de la institució, ja va avançar que la institució enviaria una carta a tots els CEO dels bancs significatius per sol·licitar la implementació de mesures proactives per garantir la solidesa i la seguretat dels seus sistemes davant d'aquests canvis.
En aquest sentit, Claudia Buch insta en la seva carta les entitats clau a avaluar sense demora l'impacte del panorama d'amenaces i a desenvolupar "un pla d'acció integral que descrigui mesures concretes" per reforçar els controls pertinents, assignar els recursos necessaris, definir clarament les funcions i responsabilitats, i establir els terminis d'implementació.
Aquest pla d'acció, que haurà de presentar-se a l'Equip Conjunt de Supervisió (ECS) corresponent abans del 31 d'octubre de 2026, tindrà en compte l'estratègia de ciber-risc existent del banc i abordarà tant les prioritats immediates com els aspectes estratègics a llarg termini.
En concret, a curt termini, el BCE demana accelerar la gestió de vulnerabilitats i pegats a gran escala; millorar el monitoratge, la detecció i les capacitats defensives basades en IA; i verificar que la gestió de riscos de tercers sigui adequada en la situació actual, tenint en compte el paper dels proveïdors de serveis de TIC en les cadenes de subministrament crítiques.
A més d'aquestes accions a curt termini, el BCE assenyala que la resiliència operativa i cibernètica s'ha de reforçar mitjançant mesures estructurals, incloent el reforçament de la defensa en profunditat i la higiene cibernètica, i la modernització de la infraestructura mitjançant la substitució o actualització de tecnologies obsoletes, sense suport o al final del seu cicle de vida.
Així mateix, el BCE ha indicat que durà a terme una anàlisi transversal dels plans d'acció presentats pels bancs per identificar tendències, desafiaments i àrees de millora, i compartirà les seves conclusions amb les entitats per donar-los suport en el reforçament de la seva resiliència en matèria de TIC.
Al marge dels models d'IA d'avantguarda, el BCE adverteix també que altres tecnologies emergents, com la computació quàntica, tindran un impacte significatiu en el panorama de la ciberseguretat, assenyalant que abordarà el risc emergent relacionat per als mètodes de xifratge tradicionals en una carta a part que es publicarà pròximament.
"Si bé aquests avenços no introdueixen riscos completament nous, sí que amplifiquen significativament la velocitat i l'escala amb què es materialitzen", conclou Buch, per a qui les vulnerabilitats existents que romanguin encara sense resoldre podrien adquirir major rellevància i suposar riscos significatius per a la resiliència operativa dels bancs.
A finals de maig, en la presentació de l'Informe d'Estabilitat Financera' que va servir com el seu comiat com a vicepresident del BCE, Luis de Guindos ja va advertir que la inversió en ciberseguretat passarà a ser prioritària de manera generalitzada per als mercats financers, incloent intermediaris grans i petits, davant l'empenta de models d'IA d'avantguarda.
Si bé aquesta qüestió ha estat des de fa anys un tema identificat pel BCE, la presentació a principis d'abril de Mythos, llavors el model més avançat d'IA d'Anthropic, la capacitat del qual per detectar vulnerabilitats de programari va portar la 'startup' dirigida per Dario Amodei a limitar cautelarment la seva implementació, va impulsar reguladors nacionals, i també institucions europees a recollir informació sobre potencials riscos.
A principis del passat mes de juny, Anthropic va ampliar l'accés a Claude Mythos Preview a aproximadament 150 noves organitzacions amb seu a més de 15 països, incloent-hi Espanya, estenent així l'abast del 'Projecte Glasswing', la iniciativa col·laborativa implementada per la 'startup' des de principis d'abril juntament amb 50 socis inicials amb accés preferent al seu model avançat d'IA, incloent-hi les autoritats nord-americanes i empreses del país.