Canadá regula la IA agéntica en la banca: cuando el supervisor pone nombre y apellido al riesgo (Claude Mythos incluido)

🕒 Publicado en Zendoric: 14 de julio de 2026 · 00:03
OSFI, el regulador financiero canadiense, publica seis prácticas para frenar los riesgos de la IA generativa y agéntica en bancos y aseguradoras. Y según un correo revelado por Reuters, llegó a citar expresamente Claude Mythos de Anthropic al advertir sobre riesgos cibernéticos: la vigilancia ya tiene nombre de modelo.
Por Wealth Professional / Reuters · 13 de julio de 2026.
La Office of the Superintendent of Financial Institutions (OSFI), el regulador que supervisa a los bancos y aseguradoras federales de Canadá —y con ellos, buena parte de la gestión de patrimonio del país—, ha publicado un boletín con seis áreas de "prácticas sólidas" para contener los riesgos de la IA generativa y agéntica. No es una norma nueva ni una prohibición: son medidas que las entidades "pueden considerar", pero el mensaje de fondo es inequívoco. El problema no es que las firmas usen IA, sino que la gobernanza se está quedando atrás de lo que esa IA ya es capaz de hacer.
El boletín es concreto. En software, avisa de que la IA puede escribir código inseguro y que las herramientas agénticas pueden desplegarlo en producción sin que nadie lo revise; pide validación humana antes de publicar. En accesos, señala cuentas con privilegios excesivos, credenciales compartidas y el encadenamiento de herramientas (donde un paso automatizado alimenta al siguiente) como vías de fuga de datos, y recomienda identidades únicas para cada agente, acceso de mínimo privilegio y credenciales de corta duración. En ciberseguridad reconoce que la IA corta en ambas direcciones: amplía la superficie de ataque —phishing automatizado, inyección de prompts, malware escrito por IA— pero también da a los equipos de defensa herramientas más rápidas de detección. Y cierra con la resiliencia: como casi todas las instituciones dependen de un puñado de proveedores de IA, advierte de riesgo de concentración y fallos correlacionados entre firmas, y pide mapear esas dependencias, probar escenarios de caída y mantener alternativas manuales. El principio que atraviesa todo el documento es sencillo de enunciar y difícil de aplicar: tratar la salida de la IA como un insumo para decidir, nunca como la decisión misma, y mantener siempre a una persona responsable de lo material.
Lo que eleva este boletín de rutina regulatoria a noticia es un detalle que no aparece en el texto público: según un correo interno revelado por Reuters, OSFI citó expresamente Claude Mythos, el modelo de Anthropic, al advertir a los bancos sobre riesgos cibernéticos. No se trata de una acusación de mal uso ni de una vulnerabilidad atribuida al producto —el propio boletín es agnóstico en cuanto a proveedores—, sino de un caso concreto usado internamente para ilustrar hasta qué punto un modelo de frontera puede convertirse en la referencia de facto cuando un supervisor tiene que explicar el riesgo con nombres reales en lugar de categorías abstractas.
En general, este tipo de boletines de "prácticas sólidas" es el mecanismo que usan los reguladores prudenciales cuando quieren mover el comportamiento del sector sin legislar todavía: se apoyan en marcos ya existentes (aquí, las guías B-13 de riesgo tecnológico, E-21 de riesgo operacional y B-10 de outsourcing, más la E-23 de riesgo de modelo) y añaden capas específicas para lo nuevo. Es la misma lógica que ya vimos en otros supervisores financieros que empiezan a tratar la IA agéntica no como una herramienta de productividad, sino como una pieza de infraestructura crítica con proveedores concentrados: cuando cuatro o cinco laboratorios entrenan los modelos que terminan alimentando la mitad del sistema bancario de un país, el riesgo de un fallo o una vulnerabilidad ya no es de una firma, es sistémico.
Nuestra lectura es que este boletín confirma una tendencia que venimos señalando: la conversación sobre riesgo de IA se ha desplazado del modelo en abstracto ("¿es peligrosa la superinteligencia?") a la cadena de suministro concreta (¿quién puede acceder a qué, con qué credenciales, y qué pasa si el proveedor cae o su modelo alucina en el momento equivocado?). Es un riesgo de corto plazo real y no un ejercicio especulativo: un agente con acceso excesivo que empuja código a producción, o que actúa sobre una alucinación sin que nadie la revise, no necesita ser "superinteligente" para causar daño operativo o filtrar datos sensibles. Que el supervisor tenga que nombrar un modelo concreto en un correo interno, aunque sea solo como ejemplo didáctico, es la prueba de que la distancia entre "tecnología de frontera" y "pieza crítica del sistema financiero" ya se ha cerrado, y que la gobernanza —identidades para agentes, privilegio mínimo, mapas de dependencia de proveedores— es la línea de defensa que hoy toca construir mientras se cierra ese hueco. A largo plazo, la misma IA agéntica que hoy exige estos controles es la que puede liberar a analistas y gestores de tareas administrativas para dedicarse al criterio y la relación con el cliente; pero ese salto de productividad solo será sostenible si la banca aprende, empezando por episodios como este, a tratar sus modelos de IA con el mismo rigor con el que trata cualquier otro sistema del que depende la estabilidad financiera del país.
🔗 Relacionadas en Zendoric
- CISA audita su propio código con la IA de Anthropic mientras la Casa Blanca sigue enfrentada a la empresa · 2026-07-07
- La IA agéntica ya asusta a las aseguradoras: Verisk estudia excluirla de las pólizas estándar · 2026-07-11
- Cuando el Estado apaga un modelo: el caso Fable 5 redefine quién manda en la IA de frontera · 2026-06-25
Fuentes y referencias
- Wealth Professional / Reuters — Canadá regula la IA agéntica en la banca: cuando el supervisor pone nombre y apellido al riesgo (Claude Mythos incluido)
- Anthropic News (GN) — EXCLUSIVE: Canada regulator cited Anthropic's Claude Mythos in warning to banks on cyber risks, email shows - Reuters
- Anthropic News (GN) — Canadian regulator warns banks about Anthropic's Claude Mythos risks - report (TD:CA:TSX) - Seeking Alpha


