El briefing de hoy, por qué te interesa.

[Anthropic Mythos leak] + [LiteLLM supply chain attack del 26 Mar] + [97% bancos US comprometidos vía terceros] → Triple convergencia de riesgo IA+supply chain. Los state actors ahora tienen herramientas de análisis de código de nivel foundation model, las supply chains de IA (LiteLLM, 95M downloads/mes) están comprometidas, y el 97% de bancos US ya tiene brechas vía terceros. El vector de ataque más probable en Q2: agente IA comprometido que opera dentro de infraestructura financiera con permisos legítimos.

[USDC flips USDT en volumen] + [Fiserv FIUSD launch] + [MC adquiere BVNK por $1.8B el 24 Mar] → Los incumbentes ya eligieron stablecoins reguladas como rail de settlement. No es experimentación — es infraestructura. BVNK da a MC capacidad stablecoin nativa, Fiserv distribuye a 10K FIs, y el volumen institucional confirma USDC como estándar. El GENIUS Act es el catalizador legislativo que falta.

[OpenAI ACP + Shopify Agentic Plan] + [80% acquirers listos, merchants no] + [Stripe habilita pagos agentic en Facebook el 28 Mar] → El checkout del futuro no es una página web. Stripe, OpenAI y Shopify construyen el nuevo funnel de compra donde el agente IA es el intermediario. Los acquirers tienen la tubería lista pero los merchants no saben conectarla. El middleware que resuelva ese gap en los próximos 12 meses captura un mercado de $385B.

• DORA ROI (desde 24 Mar): Pasó de "deadline inminente" a "crisis de compliance". Solo 6.5% pasaron quality checks. Luxemburgo solo 40% entregados. Enforcement actions esperadas Q2.
• PIX MED 2.0 (desde 24 Mar): Ya operativo. Recuperación cascada de fraude activa. BC brasileño ejecutó 3 acciones en una semana (eFX + liquidación Entrepay + MED 2.0).
• ECB DLT Collateral (desde 25 Mar): Mañana operativo. De anuncio a ejecución en 5 días.
• Irán cyber threat (desde 24 Mar): Escalación confirmada por Unit 42, FINRA y NYDFS. Petróleo $112.57, Irán cobra peaje en yuanes en Ormuz.
• Fed crisis (desde 27 Mar): Powell amenazado por DOJ, Warsh bloqueado en Senado, mandato expira 15 mayo. Oro cayó -23% desde ATH. La incertidumbre monetaria US es el mayor riesgo macro para pagos globales.
• Wero (desde 24 Mar): De 50M a 52.5M usuarios en 5 días. La narrativa pasó de "alternativa A2A" a "soberanía europea ante Trump". Worldpay se unió como Principal Member.
• PayPay-LINE merger (desde 26 Mar): Cierra lunes. +24.6% en bolsa post-NASDAQ inclusion. Near-monopolio QR japonés confirmado.

• Stripe-PayPal acquisition: Bloomberg reportó evaluación de adquisición el 24 Mar ($159B vs PayPal en caída libre post-CEO ousted). Silencio total desde entonces. Con PayPal desangrándose (-$10B market cap, class action, CEO destituido), el momento óptimo de compra es ahora. Si Stripe no ha hecho movimiento público, o la due diligence reveló problemas graves o están negociando en silencio.
• GENIUS Act vote: La ley que catalizaría la adopción institucional de stablecoins en US no tiene fecha de votación confirmada. Todo el mercado (USDC flip, Fiserv FIUSD, MC BVNK) apuesta a que pasa, pero el Congreso no ha agendado.
• Visa respuesta a MC LTM: Mastercard lleva dos semanas anunciando capacidades de IA (LTM, behavioral biometrics, agentic live) sin respuesta pública de Visa. O Visa prepara algo grande o está perdiendo la narrativa de innovación.
• China retaliación post-Anthropic leak: Un grupo estatal chino fue expuesto usando IA US para infiltrar FIs. La respuesta diplomática y técnica de Beijing no ha aparecido. Históricamente, exposición pública de operaciones cyber chinas genera represalias asimétricas en 30-60 días.

• Indonesia PP Tunas (protección de menores en apps de pago): Regulación que obliga a bloquear menores de 16 en payment apps. Señal temprana de que la regulación de onboarding de wallets digitales se expandirá a otros mercados con demografías jóvenes. Si esto se replica en India, África o LATAM, la base addressable de mobile money se contrae significativamente. A 3-6 meses: esperar legislación similar en Filipinas, Vietnam.

• Riksbank exige infraestructura de pagos a prueba de crisis/guerra + efectivo obligatorio: Suecia, el país más cashless del mundo, revierte curso. SEK 10K cash obligatorio, offline cards mandatorio julio 2026. La guerra en Ucrania y tensión con Irán hacen que bancos centrales nórdicos reconsideren la dependencia digital total. En 3-6 meses: otros países nórdicos y bálticos seguirán. Implicación para pagos: toda infraestructura debe tener fallback offline.

• Turquía: TCMB suspende 9 entidades de pago (Sipay, Vepara, Fzypay, Papara, Ininal): El crackdown turco es la mayor purga fintech en un mercado emergente en 2026. Coincide con propuesta EU de que Turquía se una a SEPA (85M personas). La limpieza regulatoria turca prepara el terreno para integración con infraestructura europea. En 6 meses: Turquía como puente de pagos EU-MENA.

• Francia: fraude pagos +23% desde enero, 30K tarjetas en dark web, fraude QR x4: Francia emerge como epicentro de fraude en pagos en Europa. El dato de QR fraud x4 es especialmente relevante dado el push de Wero hacia QR payments. Si Wero escala e-commerce y POS sin resolver el vector QR, la tasa de fraude podría dañar la adopción.

La convergencia más peligrosa de esta semana:

Tokenización + Agentic Payments + IA = nuevo vector de ataque sistémico.

El ECB acepta DLT collateral mañana (tokenización operativa). OpenAI lanza ACP para que agentes IA compren por ti (agentic payments operativo). Anthropic Mythos demuestra que un foundation model puede encontrar zero-days en código financiero (IA ofensiva operativa). La SEC publica framework post-quantum (reconocimiento de que el cifrado actual tiene fecha de caducidad).

Convergencia: cuando un agente IA tiene permisos para ejecutar pagos tokenizados, y el adversario tiene un foundation model que encuentra vulnerabilidades en el código que gestiona esos pagos, el riesgo sistémico se multiplica. No es cada pieza individual — es la combinación.

CBDCs + Stablecoins = coexistencia regulada, no competencia. Digital Dirham usa mBridge (CBDC), mientras USDC domina volumen institucional en Occidente. Fiserv FIUSD distribuye a bancos. Los rails no compiten — coexisten por jurisdicción. La regulación (GENIUS Act, MiCA, CLARITY Act) define qué rail opera dónde.

Regulación + Fragmentación = compliance como barrera de entrada. DORA, TIKMI, RBI 2FA, SAMA, FATF Travel Rule — la densidad regulatoria es tal que solo los players con compliance-as-infrastructure sobreviven. Los que tratan compliance como coste van a ser adquiridos o liquidados (como Entrepay en Brasil).