La adopción de la IA en los servicios financieros
Los servicios financieros se encuentran entre los adoptantes más agresivos de la tecnología de IA. Desde la negociación algorítmica y la detección de fraudes hasta la concesión de créditos y la automatización del servicio al cliente, la IA está reconfigurando todos los aspectos del sector.
Los beneficios potenciales son enormes: JP Morgan estima que sus iniciativas de IA podrían generar más de $1.5 billion de valor al año. Los bancos están implementando grandes modelos de lenguaje para el análisis de documentos, la supervisión del cumplimiento y las interacciones con los clientes. Las compañías de seguros utilizan la IA para el procesamiento de siniestros, la evaluación de riesgos y la modelización actuarial. Los gestores de activos aprovechan la IA para la optimización de carteras y el análisis de mercado.
Sin embargo, la elevada carga normativa del sector financiero hace que la adopción de la IA sea especialmente compleja. Las instituciones financieras deben sortear regulaciones superpuestas de múltiples organismos, la OCC, la FDIC, la Reserva Federal, la SEC, la FINRA y los reguladores estatales, cada uno con expectativas cambiantes en torno a la gobernanza de la IA. Un solo incumplimiento normativo puede dar lugar a órdenes de consentimiento, multas multimillonarias y graves daños a la reputación que erosionan la confianza de los clientes y el valor para los accionistas.
Lo que está en juego se agrava por la sensibilidad de los datos financieros. Los registros financieros de los clientes, las estrategias de negociación, los planes de fusiones y adquisiciones y los modelos de riesgo representan algunos de los datos más valiosos y más atacados de cualquier sector. Cuando los empleados utilizan herramientas de IA con estos datos, ya sean aprobadas o clandestinas, el potencial de una exposición catastrófica de datos es considerable.
Principales riesgos de seguridad de la IA en los servicios financieros
Las instituciones financieras se enfrentan a un conjunto distintivo de riesgos de seguridad de la IA derivados de la naturaleza de sus datos, su entorno normativo y su importancia sistémica.
Exposición de información material no pública (MNPI): los bancos de inversión, los gestores de activos y los corredores de bolsa manejan MNPI que podría constituir información privilegiada. Las herramientas de IA utilizadas para analizar documentos de operaciones, informes de resultados o estrategias de negociación podrían filtrar MNPI de forma inadvertida, generando responsabilidad por uso de información privilegiada y riesgo de aplicación por parte de la SEC.
Riesgo de modelos y sesgo algorítmico: los modelos de IA utilizados para la decisión de crédito, la suscripción de seguros y la negociación deben cumplir requisitos estrictos en virtud de SR 11-7 (gestión del riesgo de modelos) y las leyes de crédito justo. Los resultados sesgados de la IA pueden dar lugar a prácticas crediticias discriminatorias, una tarificación injusta de los seguros y medidas coercitivas regulatorias.
Fuga de datos financieros de los clientes: cuando los gestores de relaciones, los analistas o el personal de operaciones pegan detalles de cuentas de clientes, historiales de transacciones o planes financieros en herramientas de IA, corren el riesgo de infringir los requisitos de privacidad de la GLBA y las normas PCI DSS de protección de los datos de los titulares de tarjetas.
Manipulación de algoritmos de negociación: los sistemas de negociación basados en IA son vulnerables a la manipulación adversaria, el envenenamiento de datos y los ataques de extracción de modelos. Un algoritmo de negociación comprometido podría causar pérdidas financieras significativas y perturbaciones del mercado.
Riesgo de proveedores de IA externos: los reguladores financieros examinan cada vez más las relaciones con proveedores de tecnología externos. Los proveedores de IA deben evaluarse conforme a las directrices de gestión del riesgo de terceros de la OCC y la FFIEC, prestando especial atención al tratamiento de datos, la transparencia de los modelos y la continuidad del negocio.
Exactitud de la información regulatoria: las herramientas de IA utilizadas para generar informes regulatorios, presentaciones de cumplimiento o documentación de auditoría deben producir resultados exactos y verificables. Las alucinaciones de la IA en contextos regulatorios pueden constituir presentaciones falsas.
Marco regulatorio de la IA en las finanzas
Las instituciones financieras deben sortear una compleja red de regulaciones que afectan a la implementación de la IA.
Gestión del riesgo de modelos SR 11-7: la directriz SR 11-7 de la Reserva Federal es el marco fundamental para la gobernanza de modelos de IA en la banca. Exige prácticas sólidas de desarrollo de modelos con documentación, una validación independiente de los modelos antes de su implementación, una supervisión y un seguimiento continuos del rendimiento de los modelos, una gobernanza clara de los modelos con funciones y responsabilidades definidas, y una gestión del inventario de modelos.
Cumplimiento de SOX e IA: la Ley Sarbanes-Oxley exige una información financiera exacta y controles internos eficaces. Las herramientas de IA que afectan a los datos o a los procesos de información financiera deben incorporarse a su marco de control SOX. Esto incluye las herramientas de IA utilizadas en el reconocimiento de ingresos, los procesos de cierre financiero o la preparación de auditorías. Documente los controles relacionados con la IA, pruebe su eficacia y asegúrese de que la certificación de la dirección cubra los procesos asistidos por IA.
PCI DSS y tratamiento de datos por la IA: si las herramientas de IA procesan datos de titulares de tarjetas, se aplican los requisitos de PCI DSS. Esto implica el cifrado de los datos de los titulares de tarjetas en las interacciones con la IA, controles de acceso que limiten quién puede utilizar la IA con datos de pago, el registro y la supervisión de las interacciones de la IA que impliquen datos de titulares de tarjetas, y pruebas de penetración periódicas de las integraciones de los sistemas de IA.
Crédito justo y sesgo de la IA: la Equal Credit Opportunity Act (ECOA) y la Fair Housing Act prohíben la concesión de créditos discriminatoria. Los modelos de IA utilizados en las decisiones de crédito deben someterse a pruebas de impacto dispar, proporcionar resultados explicables para los avisos de acción adversa, someterse a auditorías de sesgo periódicas y mantener documentación del desarrollo y la validación de los modelos.
Expectativas de la SEC y la FINRA: la SEC ha señalado un mayor escrutinio de la IA en los mercados de capitales. Los corredores de bolsa y los asesores de inversión deben documentar el uso de la IA en los procesos de inversión, asegurarse de que el análisis generado por IA incluya las divulgaciones adecuadas, implementar procedimientos de supervisión para las actividades asistidas por IA y mantener libros y registros de las interacciones de la IA conforme a la norma SEC 17a-4.
Cumplimiento del EU DORA: la Digital Operational Resilience Act exige que las entidades financieras gestionen el riesgo de terceros de TIC, lleven a cabo pruebas de resiliencia operativa digital, informen de los incidentes relacionados con las TIC e implementen marcos de gestión del riesgo de TIC, todo lo cual repercute directamente en las relaciones con los proveedores de IA y en la resiliencia de los sistemas de IA.
Creación de un marco de gobernanza de la IA para las instituciones financieras
Las instituciones financieras necesitan un marco de gobernanza de la IA que satisfaga a los reguladores y, al mismo tiempo, facilite la innovación.
Tres líneas de defensa para la IA: aplique el modelo tradicional de las tres líneas de defensa a la gobernanza de la IA. La primera línea (las unidades de negocio) es responsable del uso de la IA e implementa los controles. La segunda línea (gestión de riesgos y cumplimiento) proporciona supervisión, fija normas y vigila su cumplimiento. La tercera línea (auditoría interna) ofrece una garantía independiente de la eficacia de la gobernanza de la IA.
Proceso de evaluación de riesgos de la IA: desarrolle un proceso estructurado de evaluación de riesgos para las herramientas y los modelos de IA. Evalúe el riesgo inherente en función de la sensibilidad de los datos, el impacto de las decisiones, la exposición de los clientes y las implicaciones normativas. Determine los controles necesarios en función del nivel de riesgo. Documente el riesgo residual y obtenga una aceptación del riesgo adecuada.
Inventario de modelos de IA: mantenga un inventario completo de todos los modelos y herramientas de IA en uso en toda la organización. Incluya el propósito y el caso de uso del modelo, las entradas y salidas de datos, el propietario y el desarrollador del modelo, el estado y la fecha de validación, las métricas y los umbrales de rendimiento, y el historial de cambios y el control de versiones.
Diligencia debida de los proveedores de IA: mejore su programa de gestión del riesgo de terceros para los proveedores de IA. Evalúe las prácticas de tratamiento de datos (almacenamiento, conservación, uso para entrenamiento), la transparencia y explicabilidad de los modelos, los controles y certificaciones de seguridad, la continuidad del negocio y la recuperación ante desastres, las capacidades de cumplimiento normativo y las protecciones contractuales, incluida la propiedad de los datos y la notificación de filtraciones.
Información al consejo y a la dirección: los reguladores esperan que el consejo sea consciente de los riesgos de la IA. Establezca informes periódicos sobre las métricas y tendencias de adopción de la IA, el perfil de riesgo de la IA y los indicadores clave de riesgo, los incidentes y cuasi incidentes importantes relacionados con la IA, la evolución normativa que afecta al uso de la IA y la eficacia del programa de gobernanza de la IA.
Proteger la IA en los flujos de trabajo financieros
A continuación se presentan medidas de seguridad prácticas para los casos de uso habituales de la IA en los servicios financieros.
Decisión de crédito y suscripción: la IA en la decisión de crédito y la suscripción de seguros exige los estándares de gobernanza más altos. Implemente una validación de modelos con revisión independiente, pruebas de sesgo entre clases protegidas antes de la implementación y trimestralmente a partir de entonces, documentación de explicabilidad para el examen regulatorio, intervención humana para las decisiones adversas, supervisión del rendimiento de los modelos con alertas automatizadas de desviación y pistas de auditoría completas de las entradas, salidas y decisiones de los modelos.
Detección de fraude y AML: las herramientas de IA de detección de fraude y de prevención del blanqueo de capitales deben equilibrar la eficacia con la gobernanza. Valide los modelos de detección frente a patrones de fraude conocidos y amenazas emergentes, asegúrese de que los resultados de los modelos sean explicables para los informes de actividad sospechosa (SAR), implemente bucles de retroalimentación para reducir los falsos positivos, mantenga métricas de rendimiento de los modelos para la revisión por parte de los examinadores y documente las limitaciones de los modelos y los controles compensatorios.
IA orientada al cliente: los chatbots, los asistentes virtuales y las herramientas de asesoramiento basadas en IA que interactúan con los clientes requieren una divulgación clara de que se está utilizando IA, barreras de protección que impidan un asesoramiento financiero inadecuado, vías de derivación a asesores humanos, una revisión de cumplimiento de las comunicaciones generadas por IA y una supervisión de las alucinaciones o de la información inexacta sobre productos.
Análisis de documentos y diligencia debida: las herramientas de IA utilizadas para el análisis de contratos, la diligencia debida y la revisión de documentos regulatorios deben tener controles de acceso que limiten la exposición a información sensible de las operaciones, aislamiento de datos que impida la contaminación cruzada entre asuntos, validación de la exactitud con revisión jurídica y de cumplimiento, y un tratamiento seguro de los datos con una conservación y eliminación adecuadas.
Información regulatoria y cumplimiento: las herramientas de IA que ayudan con las presentaciones regulatorias, la supervisión del cumplimiento o la preparación de auditorías deben producir resultados verificables y trazables. Implemente una revisión humana de todas las presentaciones regulatorias asistidas por IA, una validación de los resultados de la IA frente a los datos de origen, una documentación de la metodología de la IA para la revisión por parte de los examinadores, y un control de versiones y una gestión de cambios para los procesos asistidos por IA.
Prevención de la Shadow AI en los servicios financieros
La Shadow AI en los servicios financieros conlleva un riesgo desproporcionado debido a las consecuencias normativas y la sensibilidad de los datos.
Escenarios de Shadow AI de alto riesgo: banqueros de inversión que pegan los términos de una operación en ChatGPT para redactar un memorando, traders que utilizan la IA para analizar estrategias propietarias, gestores de relaciones que introducen detalles financieros de los clientes para redactar comunicaciones, responsables de cumplimiento que utilizan la IA para resumir presentaciones regulatorias y personal de operaciones que automatiza la conciliación con herramientas de IA no aprobadas.
Detección y prevención: implemente una supervisión a nivel de red del tráfico de los servicios de IA, políticas DLP ajustadas a los patrones de datos financieros (números de cuenta, códigos SWIFT, métricas financieras), controles de puntos finales que bloqueen las aplicaciones de IA no autorizadas, una supervisión y un control de las extensiones del navegador, y auditorías periódicas de las suscripciones y el uso de los servicios de IA.
Crear una cultura de uso conforme de la IA: las instituciones financieras deben fomentar una cultura en la que se promueva la adopción de la IA a través de los canales adecuados. Proporcione un catálogo de herramientas de IA aprobadas con una correspondencia clara de los casos de uso, procesos de aprobación acelerados para las nuevas herramientas de IA, promotores de la IA en cada línea de negocio, formación periódica sobre las herramientas de IA aprobadas y las prácticas prohibidas, y reconocimiento para los equipos que innovan de forma responsable con la IA.
Prepararse para los exámenes regulatorios
Los reguladores financieros examinan cada vez más la gobernanza de la IA durante las revisiones de supervisión. Prepárese manteniendo una documentación completa.
Lista de verificación de preparación para el examen: mantenga actualizada una documentación que incluya un inventario completo de los modelos y herramientas de IA, las políticas y procedimientos de gobernanza de la IA, los informes y conclusiones de validación de los modelos, las evaluaciones de riesgos de la IA y los planes de mitigación, las actas de las reuniones del consejo y los comités en las que se trate la IA, los informes de incidentes relacionados con la IA y las medidas de subsanación, los expedientes de diligencia debida de los proveedores de IA externos, los registros de formación de los programas relacionados con la IA y la documentación de gestión de cambios de los modelos de IA.
Preguntas habituales de los examinadores: prepárese para responder cómo identifica y gestiona los riesgos relacionados con la IA, qué estructura de gobernanza supervisa la implementación de la IA, cómo se asegura de que los modelos de IA no produzcan resultados discriminatorios, qué controles existen en torno a las relaciones con los proveedores de IA, cómo detecta y previene el uso no autorizado de la IA y cuál es su proceso de validación y supervisión continua de los modelos de IA.
Las instituciones financieras que crean de forma proactiva marcos sólidos de gobernanza de la IA estarán mejor posicionadas para satisfacer a los reguladores, gestionar el riesgo y capitalizar el potencial transformador de la IA.
