ACTUALIDAD

Las entidades financieras deberán presentar un plan de acción antes del 31 de octubre de 2026

El BCE pide a los bancos planes de acción frente a las amenazas de ciberseguridad impulsadas por la IA

Redacción Interempresas08/07/2026

El Consejo de Supervisión del Banco Central Europeo ha remitido una carta a los consejeros delegados de las entidades bancarias para que presenten antes del 31 de octubre de 2026 un plan de acción para reforzar su ciberseguridad ante la evolución de las amenazas derivadas de los modelos de inteligencia artificial de vanguardia. La institución advierte de que estos avances aceleran la identificación y explotación de vulnerabilidades y reclama medidas concretas para fortalecer la protección de los sistemas y la capacidad de respuesta del sector financiero frente a incidentes tecnológicos.

La carta enviada a los CEO de las entidades finacieras sitúa entre las áreas prioritarias la gestión de vulnerabilidades...
La carta enviada a los CEO de las entidades finacieras sitúa entre las áreas prioritarias la gestión de vulnerabilidades, la actualización de sistemas, la supervisión de proveedores tecnológicos y la respuesta ante incidentes.

Según el supervisor del BCE, los modelos emergentes de IA son capaces de identificar vulnerabilidades de software y generar herramientas de explotación a una velocidad sin precedentes, reduciendo el tiempo entre el descubrimiento de una vulnerabilidad y su posible aprovechamiento. 

La institución considera que este escenario no constituye un fenómeno temporal ni un riesgo asociado a una herramienta concreta, sino un cambio de largo recorrido en el entorno de amenazas. Aunque precisa que estos desarrollos no introducen riesgos completamente nuevos, sí incrementan de forma significativa la velocidad y la escala con la que pueden materializarse, con posibles implicaciones para la confidencialidad, la integridad y la seguridad de los sistemas TIC de las entidades financieras.

El Consejo recuerda que corresponde a los órganos de dirección de los bancos responder a esta evolución del riesgo. Por ello, indica que es necesario revisar las decisiones relacionadas con las inversiones en tecnologías de la información, la asignación de recursos y los mecanismos de gobierno y control, además de corregir cuanto antes las deficiencias detectadas en anteriores actuaciones supervisoras.

La carta sitúa estas exigencias en el marco del Reglamento europeo sobre la resiliencia operativa digital (DORA), cuyas obligaciones siguen siendo plenamente aplicables ante la evolución del panorama de amenazas. Sobre esa base, el BCE pide a los bancos que evalúen el impacto de esta situación y elaboren un plan de acción con medidas concretas, recursos asignados, responsables definidos y plazos de ejecución. Ese documento deberá remitirse al equipo conjunto de supervisión correspondiente antes del 31 de octubre de 2026.

Cuatro áreas de actuación prioritarias

El BCE indica que estos planes deberán apoyarse en la estrategia de ciberseguridad ya existente en cada entidad y combinar actuaciones inmediatas con otras de carácter estructural. Entre las prioridades a corto plazo figuran acelerar la gestión de vulnerabilidades y la aplicación de parches de seguridad, reforzar la monitorización y la detección de amenazas, mejorar las capacidades defensivas apoyadas en inteligencia artificial y revisar la gestión del riesgo asociado a proveedores externos de servicios TIC.

La institución también considera prioritario proteger las tecnologías perimetrales y los activos expuestos a Internet, incluidos el software de terceros y los componentes de código abierto. En paralelo, plantea modernizar las infraestructuras tecnológicas, sustituir los sistemas obsoletos cuando sea posible y reforzar los mecanismos de gestión de crisis, respuesta a incidentes y recuperación de la actividad.

Una vez recibidos los planes, el BCE mantendrá el diálogo con las entidades supervisadas, realizará un seguimiento de su ejecución y elaborará un análisis conjunto para identificar tendencias, retos comunes y posibles áreas de mejora. Como parte de este proceso, también retrasará de septiembre de 2026 a febrero de 2027 la recopilación anual del cuestionario sobre riesgo tecnológico para que los bancos puedan concentrar sus recursos en las actuaciones consideradas prioritarias.

Aunque la responsabilidad última recae en los órganos de dirección de las entidades, buena parte de las medidas solicitadas por el BCE deberán materializarse en ámbitos propios de los equipos de ciberseguridad y de tecnologías de la información, como la gestión de vulnerabilidades, la actualización de sistemas, la supervisión de proveedores tecnológicos y la respuesta ante incidentes.

COMENTARIOS AL ARTÍCULO/NOTICIA

Deja un comentario

Para poder hacer comentarios y participar en el debate debes identificarte o registrarte en nuestra web.

Suscríbase a nuestra Newsletter - Ver ejemplo

Contraseña

Marcar todos

Autorizo el envío de newsletters y avisos informativos personalizados de interempresas.net

Autorizo el envío de comunicaciones de terceros vía interempresas.net

He leído y acepto el Aviso Legal y la Política de Protección de Datos

Responsable: Interempresas Media, S.L.U. Finalidades: Suscripción a nuestra(s) newsletter(s). Gestión de cuenta de usuario. Envío de emails relacionados con la misma o relativos a intereses similares o asociados.Conservación: mientras dure la relación con Ud., o mientras sea necesario para llevar a cabo las finalidades especificadasCesión: Los datos pueden cederse a otras empresas del grupo por motivos de gestión interna.Derechos: Acceso, rectificación, oposición, supresión, portabilidad, limitación del tratatamiento y decisiones automatizadas: contacte con nuestro DPD. Si considera que el tratamiento no se ajusta a la normativa vigente, puede presentar reclamación ante la AEPD. Más información: Política de Protección de Datos