El Banco Central Europeo está presionando a las entidades financieras de la eurozona para que inviertan más en ciberseguridad, advirtiendo que la inteligencia artificial está potenciando la escala y la velocidad de los ataques digitales. En una nueva directiva enviada a las instituciones supervisadas, el BCE señala que el aumento de las amenazas impulsadas por IA exige una mejora significativa en el gasto en defensa, no solo ajustes incrementales. Los bancos que no estén a la altura no solo ponen en riesgo sus propios sistemas, sino la estabilidad de toda la red financiera, subrayó el regulador.
Por qué la advertencia llega ahora
Los ciberdelincuentes han comenzado a utilizar herramientas de IA generativa y aprendizaje automático para elaborar correos de phishing más convincentes, automatizar el escaneo de vulnerabilidades y evadir los sistemas de detección tradicionales. La evaluación del BCE, compartida con los bancos en las últimas semanas, señala que estos ataques llegan más rápido y con menos señales de alerta. Una sola credencial comprometida puede desencadenar una brecha transfronteriza antes de que el equipo de seguridad del banco siquiera detecte la intrusión. El mensaje del banco central es contundente: el manual antiguo ya no sirve.
El momento no es casual. Los bancos europeos ya lidian con normas de capital más estrictas y una economía lenta. Añadir una carrera armamentista en ciberseguridad a esa mezcla presiona los presupuestos, pero el BCE deja claro que subinvertir ya no es una opción. Documentos internos del BCE revisados por GFdaily describen el entorno de amenazas actual como "sin precedentes en velocidad y alcance", aunque el banco se negó a detallar incidentes específicos que desencadenaron la alerta.
Qué exige el BCE
La directiva no establece un objetivo de gasto específico —ni porcentaje de ingresos ni una cantidad fija en euros—. En su lugar, pide a cada banco que realice una nueva evaluación de riesgos centrada en los vectores de ataque habilitados por IA y que presente un plan de inversión plurianual. Esos planes deben mostrar pasos concretos: contratar personal especializado, actualizar el software de detección de amenazas y realizar simulaciones de equipos rojos que imiten intrusiones impulsadas por IA. Los bancos que se demoren pueden esperar inspecciones in situ más frecuentes y, en casos extremos, mayores colchones de capital vinculados al riesgo cibernético.
El BCE también quiere que las entidades compartan inteligencia sobre amenazas de manera más agresiva. "Ningún banco es una isla ya", afirma la directiva. "La colaboración en patrones de ataque y herramientas defensivas es esencial para el conjunto del sistema". Varios grandes bancos de la eurozona ya han comenzado a compartir datos a través de una plataforma piloto gestionada por la Autoridad Bancaria Europea, y el BCE espera que ese esfuerzo se amplíe.
El panorama regulatorio más amplio
Este impulso desde Fráncfort se alinea con una tendencia regulatoria más amplia. La Ley de Resiliencia Operativa Digital (DORA) de la UE, que entró en vigor en enero de 2025, ya exige que las empresas financieras prueben periódicamente sus defensas cibernéticas y notifiquen incidentes graves en cuestión de horas. La última llamada del BCE va más allá al centrarse específicamente en la dimensión de la IA. Es una señal de que los reguladores ven la tecnología como una amenaza distinta, no solo como otro elemento en la lista de riesgos.
Los bancos más pequeños, que a menudo carecen de los profundos bolsillos de sus grandes rivales, enfrentan la cuesta más empinada. El BCE ha reconocido esa disparidad y está explorando si ofrecer servicios compartidos de ciberseguridad o la adquisición coordinada de herramientas defensivas. No se ha anunciado ningún plan firme, pero se espera que el consejo del banco central discuta opciones en su reunión de junio.
Por ahora, el tiempo corre. Los bancos tienen hasta el final del tercer trimestre para presentar sus evaluaciones de riesgo de IA y sus hojas de ruta de inversión. Aquellos que no cumplan el plazo se enfrentarán a una revisión formal y, potencialmente, a ser nombrados públicamente en los informes de supervisión del BCE.
