La advertencia la lanzó Frank Elderson, miembro del Comité Ejecutivo del Banco Central Europeo y vicepresidente del Consejo de Supervisión del BCE, en un discurso pronunciado el 3 de junio de 2026 en Zúrich. El mensaje fue claro: la inteligencia artificial está cambiando el mapa de riesgos de la banca europea.
El BCE no dice que la IA sea negativa por sí misma. De hecho, reconoce que puede ayudar a los bancos a mejorar procesos, detectar fraudes, reforzar controles y gestionar mejor sus riesgos. El problema está en la otra cara: las mismas herramientas también pueden hacer más rápidos, baratos y sofisticados los ataques contra sistemas bancarios.
Para el cliente, esto no significa que deba dejar de usar la banca digital ni entrar en pánico cada vez que abre la app. Significa algo más concreto: si los bancos dependen cada vez más de canales digitales, proveedores tecnológicos, sistemas automáticos y modelos de IA, la seguridad deja de ser un asunto interno de informática y pasa a formar parte directa de la relación con el usuario.
Qué amenaza preocupa ahora al supervisor europeo
El BCE pone el foco en los modelos avanzados de IA capaces de encontrar vulnerabilidades, combinarlas y explotarlas con una rapidez que antes exigía más tiempo, más conocimientos técnicos y más recursos. Dicho de forma sencilla: la barrera de entrada para atacar sistemas complejos puede bajar.
Elderson citó incluso un ejemplo especialmente gráfico: delincuentes que usaron identidades generadas con IA para crear miles de falsos clientes y obtener préstamos, provocando pérdidas millonarias en el banco afectado. No identificó la entidad, por lo que ese dato debe leerse como ejemplo de riesgo, no como un caso aplicable a un banco concreto en España.
La preocupación encaja con una tendencia más amplia. Según el BCE, más del 85% de los bancos significativos bajo supervisión europea ya usa inteligencia artificial. Eso incluye usos como análisis de riesgos, detección de fraude, atención al cliente, procesos internos o evaluación crediticia. La cuestión no es si la banca va a usar IA, sino con qué controles, con qué supervisión y con qué capacidad de reacción si algo falla.
Qué cambia para los bancos y por qué puede afectar al cliente
El BCE prepara una carta a los bancos supervisados, la conocida como “dear CEO letter”, para pedir medidas proactivas frente a estos riesgos. No es una nueva comisión ni un cambio contractual para clientes particulares, pero sí puede traducirse en más controles de seguridad, más verificación de identidad y una revisión más estricta de proveedores tecnológicos.
Esto puede afectar a operaciones cotidianas: abrir una cuenta, pedir financiación, recuperar claves, autorizar pagos, operar desde la app o validar movimientos sospechosos. En un entorno con más suplantaciones, los bancos pueden endurecer filtros para distinguir mejor entre un cliente real y una identidad fabricada o manipulada.
Ahí aparece la letra pequeña para el usuario. Más seguridad puede significar menos fraude, pero también más pasos, bloqueos temporales o comprobaciones adicionales. Quien opera con frecuencia desde canales digitales debería revisar cómo funciona su entidad, igual que al comparar cuentas online conviene mirar no solo comisiones, sino también autenticación, atención al cliente y capacidad de resolver incidencias.
DORA, proveedores externos y el punto débil de la banca digital
El aviso del BCE llega con el reglamento europeo DORA ya en aplicación desde el 17 de enero de 2025. Esta norma obliga a bancos y otras entidades financieras a reforzar su resiliencia digital: gestión del riesgo tecnológico, notificación de incidentes, pruebas de resistencia, control de proveedores TIC y capacidad de recuperación ante fallos o ciberataques.
El Banco de España también ha señalado en su Memoria de Supervisión 2025 que las entidades españolas han avanzado, pero aún quedan aspectos pendientes, especialmente en la gestión de proveedores externos y ciberseguridad. Este punto es clave: un banco puede tener una app robusta, pero depender de servicios externos de nube, telecomunicaciones, pagos o verificación de identidad.
Para el cliente, el riesgo no siempre aparece como “un ataque al banco”. A veces se nota como una app caída, una transferencia retenida, una operación que exige validación extra o una atención más lenta tras una incidencia. Por eso, al elegir entidad o revisar alternativas como bancos y cuentas sin comisiones, no basta con mirar el coste: también importa cómo responde el banco cuando el servicio falla.
Qué debe vigilar el usuario sin caer en alarmismo
La primera idea práctica es no confundir este aviso con una alerta directa sobre todos los clientes. El BCE habla de un riesgo supervisor para bancos europeos, no de una brecha concreta que afecte hoy a una entidad española determinada.
La segunda es más útil: la IA puede mejorar los sistemas antifraude, pero también facilitar correos, llamadas, mensajes o identidades falsas mucho más creíbles. Si el banco pide datos sensibles por canales no habituales, si llega un enlace para “desbloquear” la cuenta o si una llamada presiona para actuar rápido, conviene cortar y entrar por la app o la web oficial.
La tercera tiene que ver con los derechos del cliente. Ante cargos no reconocidos, bloqueos injustificados o incidencias de seguridad, lo prudente es guardar justificantes, comunicarlo al banco cuanto antes y usar los canales oficiales de reclamación. La tecnología cambia, pero la regla básica sigue siendo la misma: la seguridad bancaria no depende solo del usuario; también exige bancos preparados, controles claros y respuestas rápidas.
