El BCE tem Anthropic i el seu model d'IA Claude Mythos 5
El BCE tem Anthropic i el seu model d'IA Claude Mythos 5 (Reuters/Jana Rodenbusch)

El BCE dona quatre mesos a la banca per sobreviure als ciberatacs "severs" fets amb la IA

Urgeix un pla de defensa davant els perills de noves eines com la Mythos d'Anthropic
El periodista Albert Closas mirant a càmera
Periodista d'Economia de 3CatInfo
4 min

Si no fos perquè el Banc Central Europeu és una institució seriosa, poc amant del sensacionalisme, semblaria que estem davant la portada d'un diari populista: els riscos de ciberatacs fets amb intel·ligència artificial sobre el sistema bancari s'han multiplicat fins al nivell de "risc greu", i no es tracta d'un "fenomen passatger", sinó d'una "amenaça a llarg termini ".

Claudia Buch, presidenta del Consell de Supervisió del BCE, ha enviat una carta als consellers delegats de les principals institucions financeres europees urgint a establir un pla de defensa contra aquests riscos, que ha d'estar enllestit el 31 d'octubre d'aquest any; és a dir, d'aquí a quatre mesos. En els set fulls de la seva missiva no se cita cap nom concret d'empreses o productes. Tampoc en el document, el "Warning" del Consell Europeu de Risc Sistèmic, en el que està basada la carta de Buch.

Per entendre'ns i anar al gra: enlloc es parla del risc que suposa Anthropic i el seu model d'IA Claude Mythos 5. És un elefant que tothom sap que és a l'habitació, però no toca dir el seu nom. Però no estem especulant: només cal recordar que al maig, tant des del BCE com des dels ministres d'Economia i Finances de la Unió Europea, ja es va parlar clarament que Europa havia de tenir accés al nou model d'Anthropic perquè, si no, quedaria desprotegida i en clar desavantatge respecte als Estats Units.

Mythos, un monstre de dues cares

Recordem d'on ve el problema: Anthropic, l'arxirival de ChatGPT, va desenvolupar una versió tan avançada del seu model Claude, la Mythos, que fins i tot pot convertir-se en un despietat hacker. El sistema és tan intel·ligent que, tot buscant forats en els sistemes de seguretat informàtics per a ajudar a resoldre'ls, també es pot capgirar, com si fos un monstre amb una cara bona i una dolenta.

En les proves fetes abans de posar-lo al mercat, el sistema s'escapava sistemàticament de les trampes (anomenades Sandbox) que li posaven els millors informàtics, i en una ocasió fins i tot va enviar un mail al seu "provador" dient que s'havia "escapat" i que podia fer el que volgués.

Fos una prova de sinceritat, o una operació de màrqueting, la mateixa companyia es va espantar amb el "monstre" que havia creat, i va avisar al govern dels Estats Units dels perills que podria comportar. I es proposava donar gratuïtament el model a una quarantena de grans empreses perquè poguessin practicar i aprendre a defensar-se de Claude. Però totes eren empreses americanes, ni una d'europea. D'aquí la queixa immediata del BCE i de l'Ecofin.

Europa, marginada un cop més...

El problema és que han passat dos mesos i tot està igual, o pitjor. De fet, el govern nord-americà també es va espantar, i va arribar a prohibir directament que Anthropic posés en circulació el seu Mythos. I ara fa pocs dies, ha acabat pactant la "prova" que proposava Anthropic, però no per a 40 empreses, sinó per a un centenar, incloses també agències governamentals i organismes "de confiança" (Trusted) de l'estat nord-americà.

Però, un cop més, ningú d'Europa té accés a les proves.

...i exposada a riscos geopolítics

En el document de "Warning", el BCE, com ja hem dit, mai cita ni Anthropic ni cap de les grans empreses nord-americanes. Però sí que afirma que "l'actual concentració geogràfica dels principals proveïdors d'IA als afores de la Unió Europea, la deixa exposada a la dependència estratègica i a riscos geopolítics".

El BCE reconeix que aquesta no és una amenaça exactament nova. Però que el que sí que és nou és la rapidesa i la seva escala. Més explícit no es pot ser: la feina de trobar "forats" en els sistemes de seguretat i resoldre'ls "es feia fins ara gairebé manualment, i calien experts treballant dies o setmanes. Ara, en canvi, aquests models d'IA ho poden fer en minuts o hores". Per a entendre'ns, el temps que fins ara tenien els ciberexperts europeus per a aturar un atac, ha passat de dies o setmanes a només mitja hora o una hora.

Col·lapse de les xarxes de defensa

"Això –continua el document– constitueix un col·lapse de les xarxes temporals de defensa, que es necessiten per a mantenir la continuïtat de funcions crítiques i importants mentre es resolen els problemes".

I poca broma amb aquesta advertència: "donada la naturalesa altament digitalitzada i interconnectada del sistema financer, aquests efectes adversos en la ciberseguretat es podrien propagar ràpidament, afectant funcions crítiques i importants en tota la xarxa d'institucions financeres (europees). I, en darrera instància, comportaria una disrupció sistèmica, i la pèrdua de confiança en el sistema financer".

Més perills que beneficis

Els documents del BCE reconeixen que aquestes eines tenen usos molt positius, però, literalment, afirmen que "malgrat tot, a curt i mitjà termini, l'increment en la velocitat i l'escala de les capacitats ofensives poden acabar superant als beneficis".

En conclusió, el banc central reconeix que les entitats, si van soles, poca cosa podran fer. Sobretot, les més petites i regionals. Per això, calen "respostes coordinades entre totes les parts afectades, des dels proveïdors d'IA i de software, les firmes de ciberseguretat, les institucions financeres, i les autoritats nacionals i de la Unió".

Avui és notícia

Més sobre Economia

Mostra-ho tot