El BCE aprieta a la banca para que diseñe su defensa contra ataques con IA
ResumenEl objetivo de la cita era lograr que tanto los bancos como las autoridades "tomen conciencia de la gravedad de la situación" pues "el uso de estos modelos de inteligencia artificial se ha mostrado capaz de dejar expuestas con rapidez numerosas vulnerabilidades en las entidades". La reunión estuvo dirigida por Frank Elderson, miembro del Comité Ejecutivo del BCE y vicepresidente del Consejo de Supervisión bancaria, y fuentes cercanas a la cita aseguran que la autoridad monetaria trasladó a las entidades su intención de comenzar a enviar cartas formales solicitando, entre otras cuestiones, el desarrollo de planes de defensa frente a potenciales ciberataques potenciados con inteligencia artificial. Gran amenaza Se trata de un paso más en el proceso supervisor en un asunto que se ha erigido como una de las grandes amenazas para la estabilidad del sector bancario a una velocidad de vértigo. La cita sirvió para "intercambiar experiencias frente a este tipo de ataques, así como poner en común la información disponible y los desafíos comunes a los que se enfrenta el sector", señalan estas mismas fuentes.
El objetivo de la cita era lograr que tanto los bancos como las autoridades "tomen conciencia de la gravedad de la situación" pues "el uso de estos modelos de inteligencia artificial se ha mostrado capaz de dejar expuestas con rapidez numerosas vulnerabilidades en las entidades". La reunión estuvo dirigida por Frank Elderson, miembro del Comité Ejecutivo del BCE y vicepresidente del Consejo de Supervisión bancaria, y fuentes cercanas a la cita aseguran que la autoridad monetaria trasladó a las entidades su intención de comenzar a enviar cartas formales solicitando, entre otras cuestiones, el desarrollo de planes de defensa frente a potenciales ciberataques potenciados con inteligencia artificial. Gran amenaza Se trata de un paso más en el proceso supervisor en un asunto que se ha erigido como una de las grandes amenazas para la estabilidad del sector bancario a una velocidad de vértigo. La cita sirvió para "intercambiar experiencias frente a este tipo de ataques, así como poner en común la información disponible y los desafíos comunes a los que se enfrenta el sector", señalan estas mismas fuentes. Buenas prácticas El BCE, de hecho, está recopilando las mejores prácticas bancarias en relación a los ataques potenciados con Inteligencia Artificial. El supervisor valora elaborar una guía para que el resto de bancos podría seguir para mejorar sus estándares en este ámbito, una práctica que ha sido habitual ante otros desafíos comunes como la gestión de préstamos improductivos. Según ha podido saber EXPANSIÓN, en la reunión convocada por el supervisor participaron todos los bancos españoles de tamaño grande y mediano. Por su parte, fuentes comunitarias aseguran que la dirección general de Redes de Comunicación, Contenido y Tecnologías asistió a la cita en representación de la Comisión Europea. El BCE citó a representantes de perfil técnico de los bancos, a nivel de directores de sistemas o directores de tecnologías de información, según cada entidad. Se trata de directivos encargados de la infraestructura digital y tecnológica de los bancos y los que se responsabilizarán del escudo y los protocolos que deberán proteger a las entidades. El supervisor también habría trasladado a las entidades la necesidad de reforzar la inversión en ciberseguridad, algo en lo que la autoridad monetaria ya había incidido en el pasado tras la publicación de los resultados de los test de estrés temáticos de ciberresiliencia. Los grandes banqueros son conscientes de las grietas que puede desvelar el aterrizaje de Mythos en asuntos de inteligencia artificial. "Hay que desplegar la IA con un ojo en la gobernanza y habrá diferencia entre los que lo hagan bien y los que lo hagan de forma desordenada", señaló Marc Armengol, el recién llegado consejero delegado de Sabadell, en un encuentro organizado por el IESE y FTI Consulting. También Antón Arriola, presidente de Kutxabank, se pronunció sobre el tema del momento y destacó que los bancos sienten que están "un poco desnudos ante estos riesgos". Mythos Los bancos y los reguladores europeos se sienten especialmente vulnerables porque, de momento, se les niega el acceso a Mythos. Esperan poder contar con la herramienta a lo largo del verano pagando una factura. "Todos tienen la preocupación de que Mythos esté disponible solo para unas entidades acotadas y ninguna europea. Es una clara amenaza, aunque esperan que pronto se corregirá", señala una fuente del sector. "Hasta que puedan contar con Mythos, las entidades tienen claro que va a haber en una bajada de la calidad de los trabajos de protección ante los ciberriesgos porque los tiempos se van a acelerar y no van a tener los planes controlados para hacer las pruebas", agregó. Temor regulatorio La banca se muestra abierta a colaborar frente a este nuevo riesgo, aunque manifiesta el temor de que la amenaza de la IA se convierta en "una nueva excusa para establecer nuevos requerimientos o exigencias regulatorias. Fuentes de diferentes asociaciones empresariales dicen que "se trata de un desafío de resiliencia operativa y de supervisión, más que algo que requiera nuevas herramientas regulatorias. Por tanto, el enfoque se centra en fortalecer las capacidades básicas, como la detección y respuesta, la gestión de parches y la resiliencia cibernética". Las entidades también piden coordinación entre las diferentes autoridades involucradas en la defensa ante ciberataques. El BCE, en su calidad de supervisor, revisará las prácticas de ciberseguridad de los bancos y podrá emitir medidas correctivas, incluyendo mejoras a los protocolos existentes. Sin embargo, advierten de que son las agencias nacionales de ciberseguridad las que pueden proporcionar la información más reciente sobre el uso de la IA de vanguardia y las que deben ofrecer la orientación técnica sobre cómo los bancos pueden combatir operativamente el posible uso indebido. En el pasado, señalan que la interacción entre diferentes autoridades de vigilancia ha dado lugar a reclamaciones redundantes que suponen costes excesivos de cumplimiento normativo. Tras la reunión celebrada esta semana, el BCE entiende que es muy importante mantener una colaboración del sector tanto en las acciones supervisoras como en información para abordar este desafío y se compromete a mantener un diálogo continuado de forma estrecha con las entidades.