La paralización de Mythos y Fable se convierte en una prueba de estrés para la gobernanza de IA en bancos globales

La desconexión global de Claude Mythos 5 y Claude Fable 5 desde el viernes (12) ha puesto de relieve un punto que los reguladores bancarios estadounidenses y europeos han estado exigiendo durante meses sin una gran presión práctica: planes de continuidad para sistemas de IA generativa y agéntica en bancos. En 48 horas, el tema salió de la agenda de los comités de riesgo y entró en la rutina de los exámenes de supervisión de los principales bancos del G10.

La Reserva Federal, la Oficina del Contralor de la Moneda (OCC) y la FDIC ya estaban tratando la inteligencia artificial como un tema permanente en toda inspección bancaria en los Estados Unidos. La presión se concentra en tres puntos: interruptores de emergencia, cadena de proveedores y gobernanza humana sobre sistemas generativos y agénticos. El episodio de Anthropic transformó un escenario hipotético en un estudio de caso oficial.

El punto ciego de la SR 26-2

El punto de partida regulatorio es la SR 26-2, guía de gestión de riesgo de modelos publicada en conjunto por los tres reguladores estadounidenses el 17 de abril. La guía actualizó estándares de validación de modelos cuantitativos clásicos después de 15 años sin revisión, pero excluyó explícitamente la IA generativa y los sistemas agénticos del alcance. En una nota al pie, el documento orienta a los bancos a aplicar sus propias prácticas de gobernanza a sistemas no cubiertos, transfiriendo al director de riesgo la responsabilidad que el regulador dejó en el aire.

La exclusión dejó a cada banco negociando su propio estándar con su examinador, una regla clásica para generar inconsistencias. La Fed, OCC y FDIC anunciaron que publicarán un RFI conjunto sobre IA generativa y agéntica aún en 2026. Antes de esta fase formal, los examinadores ya han incorporado a la rutina preguntas sobre quién tiene autoridad para desconectar un modelo en producción, cuál es el tiempo de detección de fallas y cuáles proveedores de inferencia se consideran críticos.

El número que asustó a los bancos

El World Cloud Report 2026 del Capgemini Research Institute determinó que casi tres de cada cuatro bancos no pueden afirmar con confianza que poseen la capacidad técnica para desconectar un modelo de IA en producción con un error grave y reportar la falla al regulador. Los controles considerados básicos en cualquier plan de respuesta a incidentes fallan en las dos pruebas más inmediatas: identificación rápida del sistema responsable de la decisión errónea y segregación de credenciales para desconexión.

La misma investigación indica que el 99% de las instituciones financieras planean poner en producción agentes autónomos antes de finales de 2026, pero solo el 11% han podido demostrar una implementación efectiva. La discrepancia se ha tratado como un problema de plazo. Ahora se convierte en un problema de gobernanza porque la desconexión de Anthropic demostró que la dependencia de un único proveedor puede ser interrumpida por motivos externos al riesgo del modelo en sí.

La lectura por región

JPMorgan tiene un presupuesto tecnológico de $19.8 mil millones en 2026 y 2,000 profesionales dedicados a IA. Goldman Sachs utiliza agentes inspirados en Devin en la ingeniería desde diciembre. Ambos han diversificado contratos entre Anthropic, OpenAI y modelos propios, pero los equipos de ciberseguridad que estandarizaron flujos en Mythos 5 perdieron el componente más nuevo de la noche a la mañana.

En Europa, el BaFin alemán ha estado exigiendo un plan de salida documentado para la dependencia de un proveedor de IA. El caso Anthropic será citado en las próximas reuniones de supervisión como prueba de concepto del riesgo. Deutsche Bank, UBS y BNP Paribas, con contratos activos con Anthropic, activaron contingencias en Gemini y en modelos propios durante el fin de semana. En Japón, MUFG y Mizuho congelaron dos proyectos piloto. En Brasil, Itaú, Bradesco y Santander Brasil mantienen exposiciones menores en comparación con sus pares estadounidenses, pero integran bibliotecas a través de socios como Capgemini y CI&T. El Banco Central brasileño aún no ha publicado una guía equivalente a la SR 26-2.

El costo de no estar cubierto por la norma

Los bancos estadounidenses hubieran preferido estar cubiertos por la SR 26-2 desde abril, incluso con nuevas obligaciones, porque la guía estandarizaría el esfuerzo de cumplimiento. La exclusión ha dejado un terreno en el que cada examinador formula preguntas ligeramente diferentes, eleva el costo de auditoría y, lo que es peor, transforma cada examen en una negociación individual. Para los bancos medianos, la fragmentación es más pesada: el costo de mantener dos proveedores de modelos críticos, con pipelines paralelos de prueba y RACI de desconexión, es proporcionalmente mayor que para un JPMorgan.

La broma interna entre Chief Risk Officers en las últimas 72 horas, en Fráncfort, Tokio y São Paulo, es que el departamento de cumplimiento se ha convertido en el cliente prioritario del mismo equipo de IA que necesita fiscalizar. La paralización de Anthropic fue el evento que dio argumento musical a la defensa que los CRO han estado haciendo internamente desde abril sin gran tracción: un proveedor único, incluso de primer nivel, es una exposición material que exige precio de capital, no solo mitigación contractual.