← Arxiu
Ciberseguretat & Regulació TechCatalunya (Barcelona, Camp de Tarragona, Terres de l'Ebre — impacte cadena proveïdors TIC i entitats bancàries sistèmiques)

El BCE posa data d'entrega als bancs per la IA: 31 d'octubre, o explica't

El BCE posa data d'entrega als bancs per la IA: 31 d'octubre, o explica't

El BCE posa data d'entrega als bancs per la IA: 31 d'octubre, o explica't

El BCE ha fet el que cap regulador europeu s'havia atrevit fins ara: apuntar un model concret d'IA per nom —Claude Mythos, d'Anthropic— com a risc sistèmic per al sector bancari, i exigir plans d'acció formals amb termini fix. No és un avís de futur difús. És una carta als consellers delegats dels principals bancs de la zona euro, signada per Claudia Buch, presidenta del Consell de Supervisió, amb una data marcada en vermell: 31 d'octubre de 2026. Qui cregui que el regulador europeu anava de farol amb la ciberseguretat i la IA, que es prepari per actualitzar la seva tesi.

El detonant té nom: Claude Mythos

Tot arrenca a principis d'abril del 2026 amb el llançament de Mythos, el model més avançat d'Anthropic fins avui. El problema específic que va encendre totes les alarmes no és la seva capacitat de generar text sofisticat — allò ja fa temps que no impressiona ningú. El problema és que Mythos pot detectar vulnerabilitats de programari i generar exploits funcionals de forma autònoma. Anthropic ho va reconèixer implícitament limitant cautelarment el seu desplegament just després del llançament.

Al juny, l'accés s'ha ampliat progressivament: unes 150 organitzacions en 15 països, inclosa Espanya, formen part del Projecte Glasswing, la iniciativa col·laborativa d'Anthropic per escalar l'accés controlat. El BCE ha vist la trajectòria i ha decidit no esperar que la crisi arribi sola.

La carta de Buch és explícita en un punt que els comunicats regulatoris solen evitar: «Es tracta d'un canvi a llarg termini al panorama d'amenaces, més que un fenomen temporal o un risc vinculat a una sola eina». El BCE sap que Mythos és el primer d'una sèrie. I que els bancs que supervisa —alguns d'ells ja amb accés al model— estan en la primera línia.

Qui surt a l'ull del ciclò (no és qui sembla)

La narrativa oficial posa els bancs al centre. La realitat és que el requeriment del BCE activa una pressió en cascada cap avall. La carta demana explícitament que els bancs verifiquin «que la gestió de riscos de tercers sigui l'adequada, tenint en compte el paper dels proveïdors de serveis TIC a les cadenes de subministrament crítiques».

Traducció pràctica: qualsevol empresa que proveixi serveis tecnològics a un banc europeu haurà de justificar el seu nivell de control davant del client. Consultores, integradors de sistemes, empreses de ciberseguretat, proveïdors cloud. Si el banc no pot garantir que la seva cadena TIC és segura, serà el banc el que haurà de donar explicacions al BCE. I el banc traslladarà aquella pressió als seus proveïdors.

Què demana el BCE, exactament

A curt termini, el pla d'acció que els bancs han de lliurar abans del 31 d'octubre ha d'incloure tres blocs:

  • Accelerar la gestió de vulnerabilitats a gran escala: res d'esperar el cicle de pegats trimestral.
  • Millorar la detecció i les capacitats defensives basades en IA: lluitar foc amb foc — usar IA per detectar atacs basats en IA.
  • Verificar la gestió de riscos de tercers: aquí és on la cadena de proveïdors entra en joc.

A llarg termini, el BCE parla de «modernització de la infraestructura» i «enfortiment de la defensa en profunditat». Qui hagi estat ajornant la modernització del seu stack tecnològic a les entitats financeres es trobarà ara que el regulador li posa una pistola al cap.

L'oportunitat per a qui sap llegir el calendari

Per a CaixaBank i Sabadell —dues de les entitats sistèmiques europees amb seu a Catalunya— el termini és immediat i la pressió és alta. Però per al teixit de proveïdors tecnològics que orbita al voltant d'aquestes entitats a Barcelona, Girona o Lleida, la lectura és diferent: el BCE acaba de crear un mercat.

Les entitats bancàries necessiten, en menys de quatre mesos, plans documentats, avaluacions de riscos IA, estratègies de ciberresiliència i auditories de tercers. Cap banc té capacitat interna per fer-ho tot sol en aquest termini. Qui tingui producte o servei en gestió de riscos TIC, ciberseguretat aplicada a IA o infraestructura regulada, i pugui parlar el mateix idioma que un departament de compliance bancari, té una finestra d'entrada concreta.

La pressió regulatòria és alta, però els terminis curts i la complexitat tècnica sovint obren portes a proveïdors especialitzats que les grans consultores no poden cobrir amb prou agilitat. Per a empreses que acompanyen la modernització d'infraestructura i la gestió de riscos digitals en entorns regulats —com les que treballen en l'àmbit de NovaStack— el 31 d'octubre és menys una amenaça que una convocatòria.