
El BCE dona quatre mesos a la banca per sobreviure als ciberatacs "severs" fets amb la IA

Si no fos perquè el Banc Central Europeu és una institució seriosa, poc amant del sensacionalisme, semblaria que estem davant la portada d'un diari populista: els riscos de ciberatacs fets amb intel·ligència artificial sobre el sistema bancari s'han multiplicat fins al nivell de "risc greu", i no es tracta d'un "fenomen passatger", sinó d'una "amenaça a llarg termini ".
Claudia Buch, presidenta del Consell de Supervisió del BCE, ha enviat una carta als consellers delegats de les principals institucions financeres europees urgint a establir un pla de defensa contra aquests riscos, que ha d'estar enllestit el 31 d'octubre d'aquest any; és a dir, d'aquí a quatre mesos. En els set fulls de la seva missiva no se cita cap nom concret d'empreses o productes. Tampoc en el document, el "Warning" del Consell Europeu de Risc Sistèmic, en el que està basada la carta de Buch.
Per entendre'ns i anar al gra: enlloc es parla del risc que suposa Anthropic i el seu model d'IA Claude Mythos 5. És un elefant que tothom sap que és a l'habitació, però no toca dir el seu nom. Però no estem especulant: només cal recordar que al maig, tant des del BCE com des dels ministres d'Economia i Finances de la Unió Europea, ja es va parlar clarament que Europa havia de tenir accés al nou model d'Anthropic perquè, si no, quedaria desprotegida i en clar desavantatge respecte als Estats Units.
Mythos, un monstre de dues cares
Recordem d'on ve el problema: Anthropic, l'arxirival de ChatGPT, va desenvolupar una versió tan avançada del seu model Claude, la Mythos, que fins i tot pot convertir-se en un despietat hacker. El sistema és tan intel·ligent que, tot buscant forats en els sistemes de seguretat informàtics per a ajudar a resoldre'ls, també es pot capgirar, com si fos un monstre amb una cara bona i una dolenta.
En les proves fetes abans de posar-lo al mercat, el sistema s'escapava sistemàticament de les trampes (anomenades Sandbox) que li posaven els millors informàtics, i en una ocasió fins i tot va enviar un mail al seu "provador" dient que s'havia "escapat" i que podia fer el que volgués.
Fos una prova de sinceritat, o una operació de màrqueting, la mateixa companyia es va espantar amb el "monstre" que havia creat, i va avisar al govern dels Estats Units dels perills que podria comportar. I es proposava donar gratuïtament el model a una quarantena de grans empreses perquè poguessin practicar i aprendre a defensar-se de Claude. Però totes eren empreses americanes, ni una d'europea. D'aquí la queixa immediata del BCE i de l'Ecofin.
Europa, marginada un cop més...
El problema és que han passat dos mesos i tot està igual, o pitjor. De fet, el govern nord-americà també es va espantar, i va arribar a prohibir directament que Anthropic posés en circulació el seu Mythos. I ara fa pocs dies, ha acabat pactant la "prova" que proposava Anthropic, però no per a 40 empreses, sinó per a un centenar, incloses també agències governamentals i organismes "de confiança" (Trusted) de l'estat nord-americà.
Però, un cop més, ningú d'Europa té accés a les proves.
...i exposada a riscos geopolítics
En el document de "Warning", el BCE, com ja hem dit, mai cita ni Anthropic ni cap de les grans empreses nord-americanes. Però sí que afirma que "l'actual concentració geogràfica dels principals proveïdors d'IA als afores de la Unió Europea, la deixa exposada a la dependència estratègica i a riscos geopolítics".
El BCE reconeix que aquesta no és una amenaça exactament nova. Però que el que sí que és nou és la rapidesa i la seva escala. Més explícit no es pot ser: la feina de trobar "forats" en els sistemes de seguretat i resoldre'ls "es feia fins ara gairebé manualment, i calien experts treballant dies o setmanes. Ara, en canvi, aquests models d'IA ho poden fer en minuts o hores". Per a entendre'ns, el temps que fins ara tenien els ciberexperts europeus per a aturar un atac, ha passat de dies o setmanes a només mitja hora o una hora.
Col·lapse de les xarxes de defensa
"Això –continua el document– constitueix un col·lapse de les xarxes temporals de defensa, que es necessiten per a mantenir la continuïtat de funcions crítiques i importants mentre es resolen els problemes".
I poca broma amb aquesta advertència: "donada la naturalesa altament digitalitzada i interconnectada del sistema financer, aquests efectes adversos en la ciberseguretat es podrien propagar ràpidament, afectant funcions crítiques i importants en tota la xarxa d'institucions financeres (europees). I, en darrera instància, comportaria una disrupció sistèmica, i la pèrdua de confiança en el sistema financer".
Més perills que beneficis
Els documents del BCE reconeixen que aquestes eines tenen usos molt positius, però, literalment, afirmen que "malgrat tot, a curt i mitjà termini, l'increment en la velocitat i l'escala de les capacitats ofensives poden acabar superant als beneficis".
En conclusió, el banc central reconeix que les entitats, si van soles, poca cosa podran fer. Sobretot, les més petites i regionals. Per això, calen "respostes coordinades entre totes les parts afectades, des dels proveïdors d'IA i de software, les firmes de ciberseguretat, les institucions financeres, i les autoritats nacionals i de la Unió".










