El Banco Central Europeo discutirá con bancos los riesgos del modelo Anthropic Mythos para el sistema financiero

El Banco Central Europeo está trasladando la conversación sobre la inteligencia artificial de la categoría de experimentos tecnológicos a la zona de supervisión bancaria directa. El regulador está organizando una conferencia con líderes de riesgos de bancos de la zona del euro para discutir por separado el nuevo modelo Anthropic Mythos y comprender si puede explotar vulnerabilidades en sistemas financieros. El formato de tal reunión es tan importante como su tema.

Cuando un banco central se comunica no con equipos de TI y no con departamentos de innovación, sino específicamente con directores de riesgos, esto significa que el asunto se considera como una amenaza potencial para la estabilidad, no simplemente como otra herramienta más para mejorar la eficiencia. En tales casos, el enfoque no está en la comodidad de la interfaz o en el desempeño del modelo, sino en riesgos operacionales, protección de datos, control de acceso, la resiliencia de procesos internos y la posibilidad de que la IA acelere escenarios de ataque ya conocidos. No se han reportado incidentes reales con Mythos hasta ahora, pero la propia formulación de la agenda muestra cuán en serio el regulador toma este asunto.

La razón de tal atención es clara. Los bancos hace tiempo han dejado de ser estructuras cerradas donde los sistemas críticos están aislados del mundo externo. Tienen cadenas complejas de contratistas, servicios en la nube, APIs, sistemas de monitoreo automatizados, herramientas de análisis internas y canales digitales orientados al cliente.

Ante esto, cualquier salto en las capacidades de IA genera un nuevo conjunto de preguntas. Si un modelo puede analizar mejor el código, construir escenarios de múltiples pasos más rápidamente, manejar con confianza grandes volúmenes de datos o automatizar la interacción con servicios externos, entonces junto con los beneficios vienen riesgos aumentados de abuso. Teóricamente, tales sistemas podrían ayudar a actores maliciosos a encontrar configuraciones débiles más rápidamente, preparar campañas de phishing convincentes, escalar ingeniería social o probar barreras de seguridad a mayor velocidad que antes.

Para el regulador europeo, este es un tema particularmente sensible porque la infraestructura financiera de la zona del euro se construye sobre la confianza en la confiabilidad de los bancos, los carriles de pago y los procedimientos de control. Incluso si el nuevo modelo no crea un tipo de amenaza fundamentalmente nuevo, puede hacer que las amenazas antiguas sean más baratas, rápidas y escalables. Este es precisamente uno de los efectos clave de los sistemas de IA modernos: no necesariamente inventan una nueva forma de romper la seguridad, pero pueden reducir drásticamente la barrera de entrada para operaciones complejas.

Por lo tanto, la conversación sobre Mythos probablemente se refiere no solo al modelo de Anthropic en sí, sino a una clase más amplia de sistemas que ganan mayor autonomía, manejan mejor la planificación y pueden funcionar como una herramienta en manos de una persona o equipo. En la práctica, tales llamadas generalmente son necesarias para alinear mapas de riesgos y entender qué deben verificar los bancos en primer lugar. Esto podría implicar cómo se organiza el control de acceso a los sistemas internos, dónde permanecen debilidades en los procesos de autenticación, qué tan seguro conectan los bancos modelos externos y qué tan rápidamente podrían detectar actividad inusual si la IA se utilizara en un ataque.

Para los propios bancos, esto es también una señal para reconsiderar escenarios de red teaming, procedimientos de gestión del riesgo de proveedores y requisitos para proveedores de servicios de IA. Si un regulador plantea la cuestión a nivel de directores de riesgos, el tema casi inevitablemente se traslada al ámbito de auditorías formales, escenarios de estrés y nuevas expectativas de informes. La conclusión principal es simple: los principales reguladores financieros ya no consideran los modelos avanzados de IA como tecnología de oficina neutral.

La historia de Anthropic Mythos demuestra que para los bancos, la próxima etapa de la implementación de IA estará vinculada no solo a la productividad y la automatización, sino a una revisión rigurosa de riesgos cibernéticos, controles internos y responsabilidad por el uso de modelos externos. Para el mercado, este es un giro importante: cuanto más fuertes se vuelven los sistemas de IA, más rápidamente comienzan a evaluarse por los estándares de infraestructura crítica en lugar de software de consumidor.