El Banco Central Europeo (BCE) mueve ficha en su cruzada para proteger a la banca de la amenaza que supone para el sector la llegada del nuevo modelo de inteligencia artificial (IA) creado por la multinacional estadounidense Anthropic, conocido como Mythos. Tras varias rondas de reuniones con las entidades para tratar el asunto, el supervisor ha decidido remitir una remesa de cartas dirigidas directamente a los presidentes ejecutivos y consejeros delegados de los bancos en las que les reclama que asuman el asunto como una de sus mayores prioridades. Según explica a este periódico Frank Elderson, vicepresidente del Consejo de Supervisión del BCE, no solo se les pide que lo debatan al más alto nivel, sino que se propone una serie de recomendaciones sobre cómo abordar la cuestión. El temor se centra en la potencia del nuevo modelo de IA para detectar vulnerabilidades en los software, al punto de que si cae en malas manos puede poner al descubierto los datos y el dinero de los clientes.
Las entidades europeas aún no tienen acceso a probar el modelo, como algunas compañías estadounidenses. Aunque Anthropic acordó ampliar este selecto club a empresas de un grupo de países (como España y su sector financiero), la Casa Blanca le obligó a dar marcha atrás y el pasado fin de semana prohibió que compañías de fuera de EE UU accedieran al revolucionario modelo. Sin embargo, el mero rumor de lo que viene ya ha levantado alertas en el BCE y en el sector. El regulador ha realizado en los últimos meses una serie de reuniones con los principales ejecutivos de los grandes bancos europeos para conocer de primera mano cuáles son sus salvaguardas ante los ciberataques y cómo se están protegiendo contra los potenciales riesgos de Mythos.
El envío de estas cartas será el punto culminante de un proceso en el que el BCE lleva inmerso meses. Estas cartas se conocen en el mundo financiero como Dear CEO Letter (cartas de querido consejero delegado) y, como su propio nombre indica, irán dirigidas personalmente a los primeros espadas de cada entidad financiera. Es una decisión inusual —la última misiva de este tipo data de 2022, según los registros de la propia web del BCE— que da muestras de la importancia que el supervisor concede a la problemática. El procedimiento y el contenido de la carta serán el mismo para todos los bancos, si bien los equipos de supervisión conjuntos del banco y del BCE (los conocidos en la jerga financiera como JST) vigilarán cómo se aplican a cada entidad de forma específica.
“Hemos decidido enviar una carta Dear CEO en las próximas semanas. No es algo que hagamos muy a menudo, por lo que constituye una señal clara. Queremos que los consejeros delegados tomen nota”, explica Elderson, quien ha liderado todas las conversaciones con los bancos sobre este asunto. Como ejemplo de la relevancia de esta fórmula, fue la utilizada en 2020 para suspender el pago de dividendos por los bancos durante la covid-19.
Como si fuese el malo de las películas, Mythos supone un riesgo potencial para todo tipo de empresas, incluidos los bancos, por acrecentar su riesgo de sufrir ciberataques a gran escala. La herramienta es un modelo de IA (como ChatGPT para Open AI, Gemini para Google, Copilot para Microsoft o Claude para la propia Anthropic) pero por su gran capacidad de aprendizaje ha ganado una enorme habilidad para escrutar las vulnerabilidades de los software utilizados en actividades tan críticas como la defensa nacional, el suministro de energía o la ya totalmente digitalizada actividad bancaria. Los fallos de programas que hasta ahora los bancos tardaban mucho tiempo en encontrar y reparar, esta herramienta lo hace en unos minutos. En el caso de los bancos, les puede ayudar a detectar las vulnerabilidades de sus sistemas y hacerlos inexpugnables. Mal utilizado, puede provocar que el dinero de las cuentas corrientes de sus clientes se evapore en cuestión de minutos.
La prioridad que le da el BCE a esta cuestión es máxima. Para el supervisor, el despliegue de Mythos y los modelos que vendrán de otras firmas de IA suponen un cambio copernicano sobre cómo afronta el sector la ciberseguridad y cómo se protege de los hackers. La preocupación sobre el asunto no es nueva, sino que está en una de las primeras páginas en los puntos a vigilar por los equipos de inspectores y, de hecho, han intentado escrutar su resistencia a estos shocks a través de test de estrés específicos. Pero ahora todo toma un cariz diferente.
“Este modelo es más potente. No es el final, y verán esto repetirse en el futuro a medida que surjan nuevos modelos. Hay una especie de cambio de escala. Una parte tiene que ver con la velocidad a la que pueden identificarse las vulnerabilidades. La otra es la capacidad de estos modelos para explotar esas vulnerabilidades y convertirlas en una estrategia de ataque exitosa”, afirma Elderson.
El objetivo es que los bancos debatan al más alto nivel, dentro del consejo, sobre la cuestión. También que utilicen el proyecto de normativa europea sobre IA (DORA) como guía. Y, como uno de los puntos clave, que utilicen modelos similares de otras enseñas para ir adaptándose. Fuentes financieras apuntan a que los bancos están empezando a utilizar una nueva versión de ChatGPT al que sí tienen acceso y con funcionalidades a priori muy similares a las de Mythos.
“No estamos diciendo a los bancos exactamente cómo deben utilizar estos sistemas. Sin embargo, queremos que entiendan claramente que esto representa un cambio de escala, que se trata de una cuestión estratégica. Y por eso queremos que se debata a nivel de consejo de administración en los bancos. Es algo mucho más importante que el consejo deberá abordar. Por eso dirigimos la carta a los consejeros delegados. Lo que estamos diciendo a los bancos es: háganse resilientes. Hay modelos a los que quizá no tengan acceso en este momento, pero se puede hacer mucho utilizando los modelos ya disponibles“, expone el supervisor.
Todo esto ocurre en un momento clave para la propia Anthropic. Hace pocos meses vivió un fuerte choque con la Casa Blanca por el uso militar de sus modelos de IA, de modo que la Administración de Trump le cerró la puerta a los contratos federales en EE UU. En paralelo, también acaba de registrar su salida a Bolsa en Nueva York, a la estela del exitoso debut de la SpaceX de Elon Musk la semana pasada, y en competencia directa con OpenAI.