El BCE pide a los bancos un plan de acción para defenderse de los nuevos modelos de IA
(Actualiza con más detalles)
Fráncfort (Alemania), 7 jul (EFE).- El Banco Central Europeo (BCE) ha pedido a los mayores bancos de la zona del euro un plan de acción para defenderse de la amenaza que representan los nuevos modelos de inteligencia artificial (IA), como es el caso de Mythos, aunque la entidad crediticia no cita explícitamente a esta tecnología.
El BCE envió este martes una carta a los consejeros delegados de los mayores bancos de la eurozona en la que les advierte de los peligros de los nuevos modelos de IA y les pide que elaboren un plan de actuación.
Los bancos deberán enviar este plan de actuación antes del 31 de octubre de este año a los equipos de supervisión, que lo discutirán con cada banco y observarán los progresos realizados.
El BCE realizará un análisis de esos planes de actuación para ver qué se puede mejorar y transmitirá a los bancos sus conclusiones.
La propia entidad crediticia compartió el contenido de la carta, que firma la presidenta de su consejo de supervisión, la alemana Claudia Buch.
En ella, Buch expone que estos modelos avanzados de IA analizan sistemas informáticos y encuentran sus problemas, pero no solo descubren los fallos, sino que puede atacar sistemas completos.
"Es un cambio a largo plazo en el paisaje de amenazas, no un fenómeno temporal o un riesgo vinculado a cualquier herramienta individual", dijo Buch en la misiva.
Uno de esos modelos es Claude Mytho, desarrollado por la empresa estadounidense Anthropic y que ha generado temor en el sector bancario, aunque el BCE no lo menciona explícitamente en la carta.
Por motivos de seguridad, Anthropic no ha puesto el modelo a disposición del público en general y su uso está muy restringido.
La Junta Europea de Riesgo Sistémico (JERS) elevó en junio la calificación de riesgo cibernético sistémico a "grave" desde "alto".
La JERS advierte del peligro que pueden tener los modelos avanzados de inteligencia artificial porque pueden "aumentar la rapidez, escala y sofisticación de los ciberataques".
La concentración de proveedores líderes de IA fuera de la Unión Europea (UE) expone a la zona a una dependencia estratégica y riesgos geopolíticos, advierte la JERS.
Por ello, la JERS pide a la UE que "aumente su capacidad, experiencia y autonomía estratégica en esta área crítica".
Esto requiere una respuesta coordinada de todas las partes, incluidos los proveedores de IA, de 'software', empresas de seguridad, mantenedores de código abierto, instituciones financieras y autoridades a nivel nacional y de la UE.
La JERS valora la carta del BCE a los consejeros delegados de los bancos para comunicarles qué espera que hagan para afrontar esos riesgos de ciberseguridad.
El BCE espera que los mayores bancos de la zona del euro "adopten medidas inmediatas y proactivas para afrontar el aumento de los riesgo", según la carta.
Plan de actuación a corto y largo plazo
El plan de actuación que el BCE pide a los bancos debe ser a corto plazo y a largo plazo.
A corto plazo, los bancos deben priorizar la protección de superficies de ataques, ver sus vulnerabilidades y aplicar parches a gran escala para instalar actualizaciones en muchos de dispositivos a la vez.
A largo plazo, los bancos deben realizar controles de inventarios de activos y modernizar infraestructuras, citó como ejemplo.
Las autoridades de equipos competentes en respuestas de emergencias informáticas deben proporcionar asesoramiento a los bancos para defenderse de las amenazas.
El BCE también trabaja con los países del G7 y los organismos supervisores de Basilea para impulsar la coordinación internacional al afrontar las amenazas para la seguridad cibernética que puede causar la IA.
Asimismo, el BCE destaca en la carta que la computación cuántica también tendrá un impacto en la ciberseguridad.
La adopción de la criptografía poscuántica tardará varios años, pero puede comenzar ahora y necesitará una inversión sostenida estratégica en el tiempo.
El Banco Central Europeo se referirá a los riesgos que supone la computación cuántica en otra carta.
La entidad crediticia europea va a prolongar la fecha límite de entrega del cuestionario de riesgos de tecnología de la información desde septiembre de 2026 hasta febrero de 2027 para que los bancos enfoquen sus recursos en las áreas relevantes.
También va a considerar posibles ajustes de otras actividades de supervisión como las inspecciones 'in situ' o los remedios a otros problemas que identificó en otras ocasiones, especialmente si no forman parte de áreas a las que ahora quiere prestar más atención. EFE
aia/mra