La UE, el BCE i Espanya han demanat accés o coordinació davant Claude Mythos, el model d’Anthropic capaç de detectar vulnerabilitats crítiques, perquè el seu desplegament limitat als Estats Units i al Regne Unit pot deixar la banca europea en desavantatge davant una nova generació de ciberamenaces.
La irrupció de Claude Mythos ha convertit la intel·ligència artificial en un assumpte de seguretat financera. Anthropic, la start-up nord-americana creadora de Claude, ha desenvolupat un model capaç de localitzar errors de programari amb un nivell d’autonomia i profunditat que ha encès les alarmes en reguladors, bancs i organismes europeus. El problema no és només el que Mythos pot fer, sinó qui el pot utilitzar. Mentre una selecció d’empreses i institucions dels Estats Units i alguns actors britànics han començat a accedir al sistema dins del programa Project Glasswing, la banca europea continental continua fora o en una situació incerta. Aquesta asimetria ha portat la UE i Espanya a trucar a la porta d’Anthropic per evitar que el nou paradigma de la seguretat digital deixi desprotegit el sistema financer europeu.
La tensió s’entén millor si s’observa què és Claude Mythos Preview. Anthropic el presenta com un model de frontera no alliberat públicament, ofert només com a “research preview” per a fluxos defensius de ciberseguretat dins de Project Glasswing. La companyia afirma que Mythos demostra un fet incòmode: els models d’IA han assolit un nivell de capacitat en programació i seguretat informàtica que els permet superar gairebé tots els humans, excepte els experts més avançats, en la recerca i explotació de vulnerabilitats de programari.
Project Glasswing neix precisament com a resposta a aquesta capacitat. Anthropic sosté que no pot llançar Mythos de manera oberta perquè la seva potència defensiva té una cara ofensiva evident: una eina capaç de descobrir vulnerabilitats desconegudes també pot ajudar a atacar-les. Per això ha optat per un accés restringit i limitat per invitació. Entre els socis inicials hi figuren AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Linux Foundation, Microsoft, NVIDIA i Palo Alto Networks, a més de més de 40 organitzacions vinculades a infraestructures crítiques.
El disseny sembla prudent des de l’òptica de la seguretat: donar avantatge a defensors seleccionats abans que capacitats similars es difonguin entre actors maliciosos. Però aquesta mateixa prudència genera una conseqüència geopolítica delicada. Si només alguns països, bancs o proveïdors tecnològics reben accés primerenc, la resta queda obligada a defensar-se sense la mateixa eina que potencialment permetrà descobrir i corregir errors abans que els atacants. En ciberseguretat, l’asimetria temporal importa molt: qui veu abans la vulnerabilitat la pot corregir; qui no la veu, queda exposat.
Aquesta és la preocupació dels reguladors europeus. Reuters va informar el 4 de maig de 2026 que la Comissió Europea estava en contacte amb Anthropic sobre Mythos i avaluava les seves implicacions per a les polítiques i la legislació de la UE. El comissari econòmic Valdis Dombrovskis va confirmar que representants de la Comissió s’havien reunit amb Anthropic per tractar detalls tècnics, especialment sobre capacitats de ciberseguretat. La Comissió, segons aquesta informació, continuava avaluant l’impacte potencial del model i no hi havia indicis que hagués estat proporcionat ja a bancs europeus.
La inquietud va augmentar pocs dies després. Reuters va informar el 8 de maig que el Banc Central Europeu estava estudiant defenses davant atacs impulsats per Mythos. Christine Lagarde va explicar que el BCE treballava en plans de contingència fins i tot sense tenir accés directe al model. La dada clau és que Mythos està disponible només per a empreses seleccionades als Estats Units, fet que crea un terreny desigual que preocupa funcionaris europeus.
La banca europea observa el cas amb una barreja d’interès i alarma. D’una banda, Mythos podria ser una eina extraordinària per trobar debilitats en sistemes crítics abans que ho facin ciberdelinqüents o actors estatals. De l’altra, si les seves capacitats es repliquen o es filtren, el sector financer pot enfrontar-se a una onada d’atacs molt més sofisticats, ràpids i automatitzats. La paradoxa és brutal: la mateixa IA que promet defensar bancs pot convertir-se en la plantilla conceptual d’una nova generació d’ofensives.
El Bundesbank també ha expressat preocupació. Reuters va recollir el 29 d’abril que un dels principals reguladors financers alemanys va demanar que els bancs europeus tinguessin accés a Mythos si volien protegir-se contra ciberatacs impulsats per aquesta nova classe de programes. L’argument és senzill: no pot haver-hi defensa equilibrada si els bancs nord-americans poden provar el model i els europeus no.
Espanya s’ha situat en aquesta mateixa línia. Segons la informació proporcionada, tant la UE com Espanya han contactat amb Anthropic per evitar l’asimetria. No es tracta de demanar una obertura indiscriminada del model, sinó de reclamar coordinació, accés controlat o mecanismes equivalents que permetin a les entitats europees avaluar les seves defenses. El problema no és que Anthropic sigui prudent; el problema és que la prudència privada d’una empresa nord-americana pot acabar definint quins sistemes financers estan millor protegits i quins queden en segon pla.
La situació il·lustra una qüestió de sobirania tecnològica. Europa ha regulat la intel·ligència artificial amb ambició, però continua depenent de companyies nord-americanes per accedir a alguns dels models més avançats. Aquesta dependència esdevé molt més delicada quan la IA no s’utilitza per redactar textos o resumir documents, sinó per detectar vulnerabilitats crítiques en infraestructura bancària, sistemes operatius, navegadors, plataformes cloud o programari d’ús massiu. La seguretat financera europea no pot quedar condicionada únicament per decisions d’accés preses a Silicon Valley.
Anthropic defensa que l’accés restringit és necessari perquè Mythos travessa una frontera perillosa. En la seva documentació tècnica, la companyia descriu Claude Mythos Preview com un model generalista amb capacitats especialment impactants en tasques de seguretat informàtica. La pàgina de documentació de Claude assenyala que Mythos s’ofereix per separat com a vista prèvia de recerca per a treballs defensius de ciberseguretat dins de Project Glasswing, que l’accés és només per invitació i que no existeix registre obert.
Aquest enfocament intenta resoldre el dilema de la IA de doble ús. Un model molt capaç en ciberseguretat pot ajudar a trobar errors, generar proves de concepte, comprendre cadenes d’explotació i suggerir pedaços. Però aquestes mateixes capacitats poden facilitar atacs si cauen en mans equivocades. Anthropic ha decidit contenir el model, provar salvaguardes en sistemes menys potents i compartir aprenentatges amb la indústria. La pregunta és si una empresa privada pot gestionar sola una tecnologia amb conseqüències potencialment sistèmiques.
El Fòrum Econòmic Mundial va descriure el cas Mythos com un punt d’inflexió: segons Anthropic, el model pot identificar vulnerabilitats desconegudes, generar exploits funcionals i realitzar operacions cibernètiques complexes amb mínima intervenció humana. Tot i que aquests resultats s’han de validar i varien en severitat i explotabilitat real, el salt qualitatiu és clar: la ciberseguretat passa de l’assistència a experts humans a una fase on agents d’IA poden recórrer sistemes, formular hipòtesis, provar rutes i executar cadenes d’anàlisi de manera autònoma.
La banca és especialment vulnerable a aquesta transició perquè depèn d’una combinació enorme de programari propi, proveïdors externs, sistemes heretats, APIs, xarxes de pagament, aplicacions mòbils, serveis cloud i capes de compliment normatiu. Un error en una peça compartida pot tenir efectes correlacionats. Si moltes entitats utilitzen els mateixos proveïdors o components, una vulnerabilitat explotable pot escalar més ràpid del que els equips de seguretat poden corregir.
El Fons Monetari Internacional ha advertit d’aquest risc sistèmic en relació amb models avançats com Claude Mythos. Segons va informar Financial Times, l’FMI tem que aquestes eines elevin de manera significativa els riscos cibernètics en permetre una identificació més ràpida i exhaustiva de vulnerabilitats, amb potencial de generar errors correlacionats en institucions financeres, sistemes de pagament i serveis compartits.
La clau és la velocitat. La ciberseguretat tradicional ja era una cursa entre descobriment, explotació i pedaç. Mythos altera aquesta cursa perquè pot reduir dràsticament el temps necessari per trobar errors complexos. Si els defensors hi accedeixen primer, poden tancar esquerdes. Si els atacants repliquen capacitats similars, poden explotar vulnerabilitats abans que les organitzacions hagin tingut temps de reaccionar. La diferència entre estar dins o fora del programa d’accés es pot mesurar en dies, setmanes o mesos.
Aquest desfasament explica la pressió europea. Reuters va informar el 21 d’abril que Anthropic planejava oferir accés a Mythos a bancs europeus “aviat”, segons fonts familiaritzades amb la qüestió, i que el desplegament podria trigar dies o setmanes. Tanmateix, informacions posteriors indiquen que la Comissió Europea continuava en converses sense compromisos tancats, i que el BCE estudiava defenses sense accés directe. Aquesta seqüència revela una situació fluida, però també una incertesa incòmoda.
El cas també mostra com la seguretat de la IA està entrant en una fase diplomàtica. Ja no n’hi ha prou que una empresa decideixi a qui obre el seu model. Reguladors, bancs centrals, ministeris i supervisors financers volen participar en la definició de qui hi accedeix, sota quines garanties, amb quina auditoria i amb quina coordinació internacional. La ciberseguretat financera no és un mercat qualsevol; forma part de l’estabilitat macroeconòmica.
La reacció europea recorda altres debats sobre accés primerenc a tecnologies crítiques. Quan una innovació defensiva pot canviar l’equilibri davant amenaces, el control de distribució es converteix en poder. Anthropic pot argumentar que no ha d’obrir Mythos àmpliament per evitar abusos. Europa pot respondre que deixar fora els seus bancs també crea risc. Ambdues posicions són raonables, però incompatibles si no existeix un marc multilateral.
El dilema s’agreuja perquè la mateixa Anthropic reconeix que aquestes capacitats poden difondre’s. Si Mythos representa un salt derivat de millores generals en programació, raonament i ús autònom d’eines, no hi ha garantia que altres laboratoris no arribin aviat a capacitats similars. La finestra d’avantatge defensiu pot ser curta. Per això Project Glasswing es presenta com una cursa per assegurar programari crític abans que actors maliciosos disposin d’eines equivalents.
En aquest context, l’exclusió o retard europeu té efectes concrets. Els bancs de la UE poden veure’s obligats a reforçar defenses amb eines menys potents, dependre de proveïdors externs que sí tinguin accés indirecte o esperar que Anthropic dissenyi un canal d’accés segur. Qualsevol d’aquestes opcions és inferior a una integració coordinada i supervisada per reguladors europeus.
També hi ha un problema de compliment normatiu. Les entitats financeres europees operen sota marcs estrictes de protecció de dades, resiliència operativa i supervisió tecnològica. Donar accés a Mythos no pot consistir simplement a obrir un compte. Cal aclarir on es processen dades, quin codi s’analitza, quina informació surt de l’entitat, com es protegeixen vulnerabilitats descobertes, qui pot veure els resultats i com es reporten troballes als supervisors. La solució europea probablement requerirà més governança que un accés bilateral banc-empresa.
El cas Mythos pot accelerar una reflexió estratègica a la UE: no n’hi ha prou amb regular models estrangers; Europa necessita capacitats pròpies d’IA per a ciberseguretat. La sobirania digital no significa necessàriament construir-ho tot dins de la UE, però sí disposar d’alternatives, centres d’avaluació, laboratoris públics, accés auditat i capacitat de resposta autònoma. En cas contrari, cada nou model crític reobrirà la mateixa pregunta: qui decideix si Europa es pot defensar amb les millors eines disponibles.
Espanya té motius específics per implicar-se. El seu sistema financer està altament digitalitzat, els seus grans bancs operen internacionalment i el país ha intentat posicionar-se com a actor rellevant en governança d’IA, supervisió algorítmica i ciberseguretat. Quedar fora d’una eina que pot redefinir la defensa bancària resultaria políticament difícil d’acceptar.
La banca, per la seva banda, no pot esperar que el debat diplomàtic es resolgui. Ha de preparar-se per a un escenari en què la IA accelera tant la recerca de vulnerabilitats com l’explotació d’errors. Això implica reforçar inventaris de programari, accelerar cicles de pedaç, fer proves de penetració més freqüents, revisar dependències crítiques, simular atacs agentius, millorar resposta a incidents i elevar la ciberseguretat al consell d’administració. El risc Mythos no consisteix només en Mythos. Consisteix en l’arribada d’una categoria de models que farà que moltes pràctiques actuals semblin lentes.
La qüestió de fons és que la IA ha canviat l’equilibri entre atac i defensa. Fins ara, descobrir vulnerabilitats complexes requeria talent expert, temps i coneixement profund. Si models de frontera poden automatitzar part d’aquest procés, es redueix l’escassetat de capacitat ofensiva. Això no significa que qualsevol atacant pugui fer-ho demà, però sí que la barrera baixa. I quan la barrera baixa en ciberseguretat, els sistemes crítics han d’assumir que augmentarà la pressió.
Anthropic es troba en una posició incòmoda. Si allibera massa Mythos, pot ser acusada d’armar atacants. Si el restringeix massa, pot ser acusada de crear una elit defensiva desigual. Si prioritza socis nord-americans, Europa parlarà d’asimetria. Si obre a molts bancs, augmentarà la superfície de risc. No hi ha solució perfecta, però sí una necessitat evident de transparència, coordinació pública i criteris d’accés més clars.
L’episodi anticipa una nova etapa de la governança de la IA. Els models de frontera ja no seran avaluats només per si generen textos perillosos, imatges falses o respostes esbiaixades. Seran avaluats per la seva capacitat d’actuar sobre sistemes tècnics, trobar debilitats, manipular infraestructures o alterar equilibris estratègics. Mythos converteix aquesta discussió en una cosa immediata.
Per a Europa, el missatge és incòmode però útil: la regulació sense capacitat tècnica pròpia deixa buits. La UE pot exigir transparència, aplicar l’AI Act i demanar avaluacions, però si els models més avançats es despleguen sota programes privats d’accés selectiu, la capacitat real de resposta dependrà de negociacions cas per cas. Això no és suficient per a una infraestructura financera d’escala continental.
La controvèrsia sobre Anthropic i els bancs europeus no és, per tant, un simple conflicte empresarial sobre accés a un producte. És una prova d’estrès sobre sobirania, resiliència financera i control democràtic de tecnologies crítiques. Mythos mostra que la IA pot ser una eina defensiva formidable, però també que la seva distribució pot crear noves desigualtats de seguretat.
La conclusió és clara: Europa no es pot permetre estar a la segona fila de la ciberdefensa basada en IA. Si models com Mythos canvien la velocitat amb què es descobreixen i exploten vulnerabilitats, l’accés primerenc i governat deixa de ser un avantatge comercial i es converteix en un requisit d’estabilitat. Anthropic ha obert una porta a una nova era de seguretat automatitzada. La pregunta és si Europa podrà travessar-la amb garanties o si continuarà esperant fora mentre altres corregeixen abans.
