- ANDRÉS STUMPF Bruselas
La presidenta del Consejo de Supervisión bancaria de la institución europea envía una carta a los CEOs de las entidades, en la que apunta a que mejorar su ciberseguridad debe ser una de las máximas prioridades.
Blindarse frente a la Inteligencia Artificial (IA) debe ser una prioridad absoluta para la banca europea. Así lo transmite el Banco Central Europeo (BCE) en la carta que Claudia Buch, presidenta del Consejo de Supervisión bancaria, ha enviado hoy a los consejeros delegados de todas las entidades que vigila, tal y como adelantó EXPANSIÓN.
En esa misiva, el BCE otorga un plazo hasta el 31 de octubre para diseñar un plan de acción detallado con medidas sobre cómo contendrán los riesgos que emergen ante el desarrollo de la IA. Para noviembre, por lo tanto, todas las entidades tendrán que habérselo presentado a sus respectivos equipos conjuntos de supervisión (JST, por sus siglas en inglés), que son los grupos formados por personal del BCE y de los bancos centrales nacionales encargados de la vigilancia continua.
La presidenta del Consejo de Supervisión insta a los bancos a tomar "medidas inmediatas y proactivas" y a resolver "sin demora" cualquier hallazgo de supervisión pendiente en la materia, aunque el BCE reconoce que la vara de medir de los avances depende en parte de la situación específica de cada entidad.
La carta subraya que la responsabilidad de abordar el blindaje frente a los riesgos del uso de la IA recae primordialmente en los órganos de gestión (CEOs y juntas directivas), lo que eleva la cuestión de ser una cuestión técnica para convertirla en una prioridad estratégica de la alta dirección.
La señal que manda el BCE con su carta es contundente. La última vez que el supervisor decidió enviar una misiva a los máximos responsables de los bancos fue tras la pandemia, en 2022, exigiendo un mayor foco en la gestión de potenciales activos apalancados que podían convertirse en un problema sistémico en caso de shock en los mercados.
"Los modelos de IA emergentes son capaces de identificar vulnerabilidades de software a una velocidad sin precedentes, comprimiendo el tiempo entre el descubrimiento de la vulnerabilidad y su explotación masiva", asegura Buch en la carta de advertencia a la banca. Para la supervisora, los riesgos derivados de la IA suponen un cambio estructural "en el panorama de amenazas, en lugar de un fenómeno temporal o un riesgo vinculado a una sola herramienta".
Plan de acción
Aunque el BCE dejará a los bancos elaborar sus propios planes sin ser excesivamente prescriptivo, sí que se pueden resumir tres elementos o tres áreas de defensa que se deben reforzar.
El primer paso es evitar que el software presente vulnerabilidades desde su creación. Las entidades deben mejorar la calidad de su software e implementar lo que se denomina "seguridad por diseño" para reducir los puntos débiles que la IA podría explotar
En caso de que existan vulnerabilidades, el segundo aspecto es corregirlas lo más rápido posible a través de parches. El BCE entiende que los bancos ya no pueden permitirse ciclos de subsanación de tres meses y que deben ser mucho más veloces y enfocados, equilibrando la rapidez con la estabilidad operativa del sistema.
Por último, si un ataque tiene éxito porque no se pudo corregir la vulnerabilidad a tiempo, el tercer nivel es contar con defensas robustas, lo que incluye reforzar la vigilancia para detectar intrusiones y ataques en la infraestructura, estar preparados para reaccionar, por ejemplo, desconectando sistemas impactados para evitar que el ataque se propague y asegurar la capacidad de restablecer los sistemas de manera oportuna tras una interrupción.
"Si bien estos avances no introducen riesgos totalmente nuevos, amplifican significativamente la velocidad y la escala a la que dichos riesgos se materializan", expresa Buch.
Para que los bancos puedan centrarse en lo que el BCE considera que es ahora la prioridad absoluta, el supervisor ha anunciado también que ha decidido extender la fecha límite para la recopilación anual del Cuestionario de Riesgo tecnológico, que se traslada ahora a febrero de 2027 frente a la fecha límite original de septiembre de este año. Además, la institución europea reconoce que considerará, caso por caso, ajustes en otras actividades de supervisión, como inspecciones in situ o revisiones profundas, para que los bancos puedan centrarse en blindarse frente al uso de la IA y destinar los recursos necesarios a esta tarea.
Por el momento, no se han preparado sanciones específicas para los bancos que se retrasen a la hora de presentar sus estrategias de blindaje ante los riesgos de la IA, pero las acciones entrarán dentro del proceso supervisor habitual del BCE. La institución se encargaría de ir utilizando las herramientas a su alcance, que en última instancia podrían derivar en multas o recargos de capital, para presionar por lo que se considera que es un deber ineludible de las entidades para garantizar su estabilidad y la del sistema.
El BCE reclama mañana por carta a los CEO de la banca que se blinden de los riesgos de la IA¿Son los riesgos de la IA el bache insalvable para la banca pequeña?El BCE tomó medidas para frenar el rápido lanzamiento de productos de Revolut en Europa Comentar ÚLTIMA HORA-
11:20
Damm entierra Alfil, la filial logística del grupo cervecero
-
11:19
La Justicia avala el despido de un camarero que afeó en TikTok cobrar 5 euros por un café que vale 20 céntimos
-
11:13
Mestral se une a Encomenda para invertir 50 millones en pymes
-
11:09
El Gobierno nombrará a Antonio Ansón director general de la Agencia Tributaria
-
11:08
El BCE da a la banca hasta noviembre para diseñar un plan para blindarse de la IA