“Lo bueno de la ciencia es que es cierta independientemente de si crees o no en ella” (Neil deGrasse Tyson)

Inteligencia Artificial y sector financiero: ¿qué exige el AI Act y cómo prepararse?

Desde el 2 de febrero de 2025, la definición oficial de “sistema de IA” del nuevo AI Act ya es plenamente aplicable, junto con la prohibición de prácticas como el social scoring. En los próximos dos años, las entidades financieras deberán clasificar cada modelo de IA según su nivel de riesgo y, si es “alto riesgo” (p. ej., scoring crediticio o detección de fraude), cumplir estrictos requisitos de gobernanza de datos, transparencia y supervisión humana. Anticiparse ahora—inventariando casos de uso, cerrando brechas regulatorias y formando a los equipos—permitirá llegar a 2027 con los sistemas conformes y una ventaja competitiva.


1. Por qué el AI Act cambia las reglas del juego

El Reglamento (UE) 2024/1689 —conocido como AI Act— introduce un enfoque de gestión del riesgo para todos los sistemas de IA que operen o impacten en la UE.
La definición formal de “sistema de IA” entró en vigor el 2 de febrero de 2025; desde entonces determina si una solución se encuentra o no dentro del ámbito regulatorio.


2. Mapa de riesgos en finanzas

  • Riesgo inaceptable (prohibido)

    • “Social scoring” que puntúe a las personas para fines ajenos al crédito o seguros (art. 5).

  • Riesgo alto (permitido con requisitos estrictos)

    • Sistemas que evalúan la solvencia o fijan puntuaciones de crédito.

    • Motores de tarificación dinámica de primas (seguros de vida o autos).

    • Herramientas de detección de fraude o AML basadas en IA.

    • Estos casos deben cumplir los artículos 9-15 del AI Act y superar la evaluación de conformidad correspondiente.

  • Riesgo limitado o mínimo (los llamados)

    • Chatbots informativos o analítica descriptiva sin decisión automatizada.

    • Solo se exigen obligaciones básicas de transparencia.

Nota: El social scoring está prohibido, pero las puntuaciones de crédito y los modelos antifraude no se consideran social scoring cuando usan datos pertinentes y respetan la normativa sectorial (Directiva 2023/2225, guías de la EBA, etc.).

 

3. Obligaciones principales para sistemas de alto riesgo

  1. Sistema de gestión de riesgos durante todo el ciclo de vida (art. 9).

  2. Gobernanza de datos: conjuntos representativos, trazables y libres de sesgos (art. 10).

  3. Documentación técnica y registros de eventos (arts. 11-12).

  4. Transparencia y explicabilidad para supervisores y usuarios profesionales (art. 13).

  5. Supervisión humana eficaz (art. 14).

  6. Exactitud, resiliencia y ciberseguridad (art. 15).

  7. Evaluación de conformidad:

    • Autocertificación para software autónomo.

    • Notified body si la IA se integra en productos ya regulados.

  8. Registro europeo de sistemas de alto riesgo antes de su comercialización.

  9. Evaluación de impacto en derechos fundamentales (FRIA), por ejemplo mediante la metodología EIDF de la AEPD.


4. Intersección con la normativa financiera existente

  • Protección del consumidor y crédito: los datos de solvencia deben ser pertinentes, precisos y proporcionados; se excluyen categorías sensibles.

  • AML/CFT: la IA mejora la eficacia, pero la lista de alto riesgo aún no cubre expresamente estos casos; la Comisión puede añadirlos mediante actos delegados.

  • RGPD: se aplican los principios de minimización, licitud y explicabilidad en decisiones automatizadas que produzcan efectos jurídicos.

  • EBA Guidelines on Loan Origination & Monitoring: convergencia en gobernanza de datos y control de sesgos.


5. Ruta práctica de cumplimiento para entidades financieras

  1. Inventariar todos los casos de uso de IA y clasificarlos por riesgo.

  2. Verificar si cada caso está en el Anexo III (alto riesgo) o encaja en una práctica prohibida.

  3. Realizar un gap analysis frente a los marcos vigentes (Basilea III, Solvencia II, ISO 27001) y los arts. 9-15 del AI Act.

  4. Integrar “data protection & ethics by design” mediante un FRIA (Impacto en Derechos Fundamentales) detallado.

  5. Preparar el expediente técnico y coordinarse con el notified body cuando proceda.

  6. Formar a los equipos de riesgo, datos y negocio en los nuevos requisitos.

  7. Monitorear tras la puesta en producción: métricas de rendimiento, sesgo y seguridad; reporting a la autoridad competente.


6. Calendario a tener en cuenta

  • 2 de febrero de 2025: Ya están en vigor la definición de IA y las prohibiciones del art. 5.

  • Agosto de 2025: Entrarán en vigor las reglas sobre modelos de propósito general y los sandboxes regulatorios.

  • Agosto de 2027: Comienzan a aplicarse todas las obligaciones para sistemas de alto riesgo.



El AI Act no frena la innovación financiera, pero exige disciplina documental, gobernanza de datos rigurosa y transparencia. Las entidades que ya aplican marcos de riesgo (Basilea, GDPR, ISO 42001) deben integrar cuanto antes los nuevos requisitos: mapear modelos, depurar pipelines de datos y habilitar supervisión humana. Quien actúe desde hoy llegará a 2027 con ventaja competitiva y reputacional.




"¿Por qué esta magnífica tecnología científica, que ahorra trabajo y nos hace la vida mas fácil, nos aporta tan poca felicidad? La repuesta es esta, simplemente: porque aún no hemos aprendido a usarla con tino." (Albert Einstein)

Comentarios

Entradas populares de este blog

Estrategias de Pricing Dinámico Utilizando Machine Learning

LLM en 2025: Comparativa de los Líderes del Mercado

Aplicaciones Estratégicas: Cuándo y Cómo Implementar Inteligencia Artificial e Inteligencia Artificial Generativa en tu Negocio