Qué exige el BCE y por qué no es un aviso menor
La carta del Banco Central Europeo va dirigida a los consejeros delegados de las entidades significativas bajo su supervisión directa. No es una recomendación genérica: el supervisor pide un plan de acción completo, con medidas concretas, responsables, recursos y calendario para reforzar la resiliencia tecnológica de los bancos antes del 31 de octubre de 2026.
El foco está en una amenaza muy concreta: los modelos de inteligencia artificial capaces de detectar vulnerabilidades de software y convertirlas en ataques funcionales con mucha más rapidez que antes. El propio BCE matiza que no se trata de un riesgo ligado a una sola herramienta, sino de un cambio más amplio en el paisaje de ciberseguridad.
Mythos aparece como el nombre que ha encendido la alerta. Anthropic presenta Claude Mythos 5 como su modelo más capaz para investigación en ciberseguridad y biología, con acceso limitado a socios seleccionados precisamente por su potencial de uso legítimo y también de uso dañino.
Cómo puede afectar a quien usa cuentas, pagos y banca digital
Para el cliente, esta carta no supone una nueva comisión bancaria ni un cambio inmediato en las condiciones de una cuenta, tarjeta o préstamo. El BCE no ha anunciado cargos al usuario ni modificaciones contractuales. El impacto va por otro lado: seguridad, continuidad del servicio y capacidad del banco para reaccionar ante ataques más rápidos.
Esto afecta a dinero real porque hoy buena parte de la relación bancaria pasa por la app, las transferencias, los pagos con tarjeta, los accesos online y los proveedores tecnológicos que sostienen esos servicios. Si un banco tarda demasiado en parchear fallos, si depende de sistemas antiguos o si un proveedor crítico queda expuesto, el problema puede convertirse en cortes de servicio, bloqueos operativos o mayor riesgo de fraude.
Por eso, al comparar bancos y cuentas no conviene mirar solo comisiones, promociones o facilidad de apertura. La seguridad digital, la atención ante incidencias y la capacidad de respuesta también forman parte de la relación con el banco, aunque no siempre aparezcan en el escaparate comercial.

La letra pequeña está en los sistemas del banco
El BCE pide acelerar la gestión de vulnerabilidades y parches, reforzar la monitorización, mejorar las defensas apoyadas en IA y comprobar si los proveedores tecnológicos están preparados para este nuevo escenario. También reclama especial atención a los activos expuestos a internet, entornos en la nube, software de terceros y componentes de código abierto.
Traducido al lenguaje del cliente: el banco tendrá que revisar mejor qué sistemas tiene, qué partes son más vulnerables, qué proveedores pueden ser un punto débil y cuánto tarda en corregir fallos. No es una cuestión visible como una comisión de mantenimiento, pero puede ser igual de importante si afecta a la disponibilidad de la app, la operativa diaria o la protección de los datos.
El supervisor también menciona la necesidad de revisar presupuestos, personal, herramientas, formación y gobierno interno. La pregunta es sencilla: si la banca se apoya cada vez más en canales digitales, ¿está invirtiendo lo suficiente para protegerlos o solo para hacerlos más baratos y eficientes?
Qué deben vigilar los clientes a partir de ahora
El usuario no tiene que hacer nada por la carta del BCE, pero sí conviene estar atento a las comunicaciones de su entidad. Si el banco introduce nuevos controles de acceso, actualizaciones obligatorias de la app, cambios en autenticación, avisos de seguridad o ajustes en la operativa digital, el cliente debe revisar que vienen por canales oficiales y no desde enlaces sospechosos.
También importa mirar más allá de las comisiones. Una cuenta puede parecer atractiva si cobra poco, pero la experiencia cambia si la app falla, si la atención ante un cargo no reconocido es lenta o si el banco obliga a operar casi todo en digital sin una alternativa clara. En ese punto, comparar cuentas online exige revisar seguridad, soporte y disponibilidad, no solo requisitos de nómina o tarjeta.
La advertencia del BCE encaja con el aviso de la Junta Europea de Riesgo Sistémico, que ve en los modelos avanzados de IA un posible riesgo sistémico si aceleran ataques contra infraestructuras financieras, sistemas de pago o proveedores compartidos. No significa que las cuentas de los clientes estén en peligro ahora, pero sí que la banca debe prepararse antes de que el riesgo vaya por delante de sus defensas.
Para el cliente, el mensaje útil es prudente: mantener la app actualizada, usar canales oficiales, desconfiar de mensajes que pidan claves o códigos y revisar movimientos con regularidad. Y, si el banco comunica cambios de seguridad o de operativa, leer la letra pequeña igual que se haría con una comisión. En banca digital, la seguridad también es parte del servicio.









