La Junta Europea de Riesgo Sistémico (JERS) publicó el 7 de julio una advertencia formal sobre los riesgos cibernéticos sistémicos derivados de los “modelos frontera” de inteligencia artificial (“frontier artificial intelligence models” —FAIM—).

No es un documento técnico menor: la JERS ha elevado su valoración del riesgo cibernético sistémico. No es un aviso preventivo, es una señal de alarma.

Quien lea con atención el informe de la JERS descubrirá que no está escrito en el lenguaje neutro habitual de los documentos de supervisión financiera. Está escrito como si el autor hubiera tenido en mente a Clausewitz y a Sun Tzu al mismo tiempo, incluso a un Winston Churchill que se enfrenta a un enemigo invisible pero de gigantesco potencial destructor.

Se habla de atacantes (los “malos”) y defensores (los “buenos”), de una inaudita asimetría en favor de los atacantes en un eventual “asedio digital”, de capacidades de doble uso —civil y militar—, de uso de la IA como arma (“weaponisation”) y de posible colapso sistémico. La OTAN aparece asimismo citada. Eso, en un texto del supervisor macroprudencial europeo, no es habitual. Pero que no sea habitual no significa que sea exagerado.

La tesis central del informe es inquietante en su sencillez: en 2026, un pequeño número de modelos frontera de IA (las FAIM citadas al inicio) han alcanzado capacidades de descubrimiento autónomo de vulnerabilidades desconocidas en sistemas operativos críticos de todo tipo de empresas y administraciones públicas, incluyendo los que sostienen la infraestructura financiera europea.

Estos modelos pueden identificar brechas y ejecutar ataques a escala y velocidad muy superiores a todo lo visto hasta ahora. Los únicos proveedores que han anunciado públicamente modelos con esas capacidades son Anthropic —el mismo que desarrolla Claude— y OpenAI, cuyo ChatGPT todos conocemos. No se les menciona como amenazas per se, sino como ejemplos del estado del arte, y el informe subraya que ambas compañías han optado por programas de acceso controlado, con el fin de que no caigan en malas manos (y, creemos, que para que las manos en que caigan compensen económicamente a estas compañías). Que los “malos” accederán a esta tecnología es evidente, el mensaje es que los “buenos” deben ganar un tiempo (semanas, meses) que resultará precioso más adelante.

Aquí es donde la tensión conceptual del informe se vuelve incómoda para el sistema financiero, y donde conviene no eludir la pregunta que la JERS plantea solo a medias. Si el riesgo es de naturaleza geopolítica y cuasi-militar —asimetría entre atacantes que operan en horas y defensores estructuralmente constreñidos por factores operativos, regulatorios y tecnológicos—, ¿por qué la carga de la defensa recae principalmente sobre entidades privadas? La respuesta honesta es que no existe otra opción a corto plazo (como ocurre, por ejemplo, en la lucha contra el cambio climático). Pero eso no significa que sea la respuesta necesariamente correcta a largo plazo.

La dependencia estratégica de Europa respecto a proveedores de IA localizados en Estados Unidos —y, en menor medida, en China— es uno de los vectores de riesgo que el informe identifica con mayor claridad. El único proveedor europeo con peso propio es Mistral, con sede en Francia. Todo lo demás —la infraestructura sobre la que se construirán las defensas digitales de la banca europea— es extranjero. Eso no es solo un problema de competitividad industrial. Es un problema de soberanía.

Llevo años insistiendo en que el sistema financiero tiene un componente geopolítico que la regulación tiende a tratar como externalidad, cuando en realidad es constitutivo (aquí, aquí, o aquí). La lógica de la seguridad nacional ha dejado de ser ajena a la arquitectura financiera europea y este informe lo verbaliza con una contundencia inédita. La agresión a Ucrania de 2022, que no ha cesado, hizo emerger la nueva faz del riesgo geopolítico.

El BCE (Mecanismo Único de Supervisión) ha reaccionado con rapidez. En una carta dirigida a los consejeros delegados de las entidades significativas (“Dear CEO Letter” del mismo 7 de julio), el supervisor ha exigido un plan de acción concreto —con recursos asignados, responsables y plazos— para su remisión antes del 31 de octubre de 2026.

El problema no es que la banca europea carezca de regulación en materia de resiliencia digital —DORA y el Reglamento de IA han desplegado ya sus primeras obligaciones—, sino que la regulación existente fue diseñada para un escenario de amenaza diferente, más lento y más predecible. Y el paquete “Digital Omnibus” que la Comisión propuso a finales de 2025 para simplificar el marco digital y favorecer a las empresas europeas, con toda la razonabilidad de sus objetivos, puede terminar diluyendo precisamente los controles que ahora más se necesitan.

Hay una paradoja estructural que merece atención. La JERS reconoce implícitamente que algunos bancos individualmente no pueden defender solos sus perímetros digitales frente a un ataque articulado por actores estatales o grupos con capacidades de nivel FAIM. La solución lógica sería alguna forma de respuesta colectiva, de coordinación entre entidades. Pero aquí aparece una tensión que el informe no resuelve: pedir a entidades que compiten entre sí en un mercado fragmentado que articulen defensas conjuntas puede generar problemas de coordinación, de confidencialidad y, eventualmente, de libre competencia.

Aparece, finalmente, otra pregunta que nadie formula abiertamente pero que late en todo el informe: ¿puede ser la presión de la IA —como amenaza y como coste de defensa— un catalizador inesperado de un nuevo proceso de concentración bancaria en Europa? Si solo las entidades con escala suficiente pueden afrontar la inversión en ciberseguridad de nivel FAIM sin comprometer su actividad principal, las entidades más pequeñas quedarán estructuralmente en desventaja. Y si la respuesta pasa necesariamente por plataformas de defensa compartidas de alcance europeo, habremos dado, por la vía de la necesidad, el paso que décadas de política no lograron por convicción: la Unión Bancaria plena. Sería, desde luego, una manera inesperada de llegar ahí.


José María López Jiménez

Especialista en regulación financiera. Doctor en Derecho

0 comentarios

Deja una respuesta

Marcador de posición del avatar

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *