Fortinet destaca en su informe la necesidad de que la banca europea adopte defensas basadas en IA, ante crecientes riesgos de deepfakes y ciberataques avanzados.
El informe “Ciberseguridad bancaria en Europa 2026”, elaborado por Fortinet, analiza la evolución normativa, tecnológica y geopolítica que está redefiniendo la forma en que el sector bancario protege su infraestructura, sus datos y su cadena de suministro.
Del mismo se desprende que la fortaleza operativa se ha transformado en un requisito crítico —y cada vez más regulado— para el sector financiero europeo.
Principales conclusiones del informe:
La resistencia pasa de ser una capacidad técnica a una obligación legal
Durante años, la capacidad de recuperación se entendía como la habilidad de una organización para responder y recuperarse de incidentes. Sin embargo, el sector financiero europeo se enfrenta ahora a un marco regulatorio más estricto que hace de la solidez operativa un mandato legal.
La entrada en vigor del reglamento DORA en enero de 2025 y la futura implementación de Basilea III en 2027 marcan el inicio de una nueva etapa de exigencias para el sector financiero y sus proveedores tecnológicos.
En este nuevo contexto, se exige a las entidades financieras no solo proteger sus sistemas, sino demostrar de forma verificable que pueden resistir interrupciones, ciberataques y fallos de terceros.
El incremento notable del riesgo en la cadena de suministro
El 96 % de los bancos europeos han sido afectados por una brecha de seguridad en un socio externo, lo que supone un aumento del 25 % con respecto a hace un par de años. Y el 97 % ha sufrido incidentes vinculados a terceros.
La dependencia creciente de servicios externalizados, junto con la concentración de proveedores críticos, aumenta la superficie de ataque y expone a las entidades a técnicas como el island hopping, en la que los atacantes comprometen primero a socios o proveedores más pequeños y menos seguros para utilizarlos como puente.
Con DORA, los consejos de administración pasan a ser responsables directos de la gestión del riesgo de terceros. Esta exigencia refuerza la necesidad de soluciones que aporten visibilidad, control, segmentación y evaluación continua del riesgo.
Soberanía digital y nube soberana: hacia un ecosistema europeo más autónomo
El agitado contexto geopolítico ha impulsado una reevaluación de la dependencia tecnológica. Con un valor aproximado de 154.700 millones de dólares en 2025, se prevé que el mercado mundial de la nube soberana crezca hasta alcanzar los 823.900 millones de dólares en 2032. Europa lidera actualmente el mercado global de nube soberana, con un 37,2 % de cuota en 2024.
Iniciativas como:
- La licitación europea para servicios de nube soberana (180 M€),
- El Marco de Soberanía de la Nube, y
- La expansión del SASE soberano
Refuerzan la tendencia hacia entornos donde los datos, las políticas de seguridad y el procesamiento se mantienen bajo jurisdicción y control europeo.
Nuevas amenazas: IA generativa, deepfakes y ataques asistidos por IA
La IA se ha convertido en un arma de doble filo para el sector financiero: las mismas capacidades que impulsan la innovación también están multiplicando la escala y sofisticación de los ciberataques. Europol advierte que los delincuentes adoptan rápidamente estas tecnologías para automatizar y ampliar sus operaciones, haciéndolas más difíciles de detectar.
El informe revela un punto de inflexión: los intentos de fraude con deepfakes crecieron un 1.300 % en 2024, y solo 250 documentos contaminados pueden introducir vulnerabilidades en grandes modelos de IA, mientras nuevas amenazas —desde ransomware impulsado por IA hasta la manipulación de datos de entrenamiento— erosionan la confianza de los consumidores, que ya muestran preocupación por la protección de su información.
En este escenario, el sector financiero debe adoptar defensas basadas en IA capaces de identificar patrones anómalos en tiempo real, cerrar brechas antes de que escalen y compensar la falta de talento especializado, al tiempo que estas tecnologías permiten automatizar procesos críticos como KYC y la lucha contra el blanqueo de capitales.
Criptografía poscuántica: la amenaza silenciosa que requiere acción
Las entidades financieras deben prepararse para la criptografía cuántica. Se prevé que para 2028 esta tecnología podría revolucionar la criptografía de clave pública que permite realizar transacciones seguras en la red. Los avances cuánticos se están acelerando.
El día en que la criptografía cuántica se convierta en realidad, los bancos que no hayan creado las medidas de seguridad necesarias podrían enfrentarse a riesgos por parte de posibles atacantes que ya se están preparando para ataques del tipo «recoger ahora, descifrar después».
El informe destaca que el 61 % de las organizaciones de Europa, Oriente Medio y África no está preparadas para la era poscuántica. De hecho, solo un 12 % ha comenzado a implementar medidas de seguridad cuánticas.
Innovación en la banca: superapps, BaaS y APIs seguras
La banca europea va por detrás de otros mercados en el uso de superapps —plataformas que integran pagos, compras y servicios de estilo de vida—. Estas aplicaciones, basadas en IA, permiten ofrecer servicios más personalizados y segmentar mejor a los clientes, lo que mejora la gestión del riesgo y la rentabilidad.
La banca como servicio (BaaS) está creciendo con fuerza en Europa: su mercado pasará de 5.800 millones de dólares en 2022 a 19.700 millones en 2030, y ya representa el 26,1 % de los ingresos globales. Permite que empresas no bancarias ofrezcan servicios financieros mediante API conectadas a proveedores autorizados, impulsando innovación sin necesidad de infraestructura propia. Estas API también fortalecen la banca abierta, promovida por PSD2 y la futura PSD3, que busca mayor transparencia para que los clientes entiendan qué datos comparten al usar servicios basados en API.