Reglamento de IA y sector financiero: tiempo de implementaci贸n y de promover el "efecto Bruselas"
Junio de 2024 La IA presenta importantes beneficios, pero también riesgos para la economía en general y para el sector financiero en particular. Con el fin de extraer el máximo potencial de la IA y a la vez proteger a empresas y consumidores, la UE ha aprobado el Reglamento de IA, con un enfoque basado en riesgos. Aún hay numerosas cuestiones pendientes de aclaración y desarrollo en los actos delegados y de ejecución que deberán adoptarse en los próximos meses y años. Por ello, ha llegado el momento de considerar seriamente una pausar regulatoria, permitiendo a autoridades supervisoras y sector privado implementar la normativa aprobada y favoreciendo que la Unión Europea promueva activamente el “efecto Bruselas”.Las nuevas tecnolog铆as en general y la IA en particular albergan un gran potencial transformador de los modelos de pr谩cticamente todos los negocios. Y el sector financiero es, sin duda, uno de ellos, pudiendo apoyarse en la IA para mejorar las capacidades de an谩lisis y predicci贸n, automatizar procesos, mejorar la gesti贸n de riesgos y la atenci贸n al cliente, detectar operaciones fraudulentas e incluso facilitar el cumplimiento normativo. Pero la IA no solo presenta ventajas, sino que puede llegar a amplificar riesgos existentes o incluso a crear algunos nuevos, como se recoge en la Tabla 1.
M谩s all谩 de los beneficios y riesgos que la IA puede generar para entidades individuales, la IA tambi茅n puede dar lugar a riesgos en t茅rminos de estabilidad financiera. Para ello, es necesario tener en cuenta tanto la penetraci贸n tecnol贸gica como la concentraci贸n de los proveedores de sistemas de IA. En particular, la elevada penetraci贸n que ya tiene la IA en el sector bancario (Figura 1) sumada a la concentraci贸n de los proveedores de modelos fundacionales (Figura 2) incrementa la probabilidad de que las decisiones de IA de las entidades financieras se vean afectadas por los mismos sesgos y desaf铆os tecnol贸gicos. Estos elementos requerir谩n aumentar la vigilancia de los supervisores macro, microprudenciales y de conducta.
Teniendo en cuenta los beneficios y los riesgos de la IA, con la aprobaci贸n del Reglamento de IA, la Uni贸n Europea ha vuelto a ponerse a la vanguardia a nivel global en una de las actividades en las que m谩s brilla, la regulaci贸n. El Reglamento de IA sigue un enfoque basado en riesgos, clasificando los sistemas de IA en cuatro categor铆as diferentes: (1) riesgo inaceptable (por ejemplo, sistemas de puntuaci贸n social), (2) alto riesgo (por ejemplo, sistemas empleados en infraestructuras cr铆ticas), (3) riesgo limitado (por ejemplo, chatbots) y (4) riesgo m铆nimo o nulo (por ejemplo, filtros de spam).
De todos los sistemas de alto riesgo identificados en el Reglamento, tres son los que m谩s pueden llegar a afectar al sector financiero: (1) sistemas empleados para las evaluaciones de solvencia crediticia en actividad bancaria y de riesgos y establecimiento de precios en seguros de vida y salud, (2) sistemas para la monitorizaci贸n y evaluaci贸n del rendimiento laboral y (3) sistemas para la contrataci贸n de personal. Los proveedores de los sistemas de alto riesgo deber谩n cumplir con requisitos estrictos en torno a la gesti贸n de riesgos, la calidad de los datos, la documentaci贸n t茅cnica, la supervisi贸n humana, la transparencia, la solidez, la precisi贸n y la ciberseguridad. Y las entidades que empleen esos sistemas de IA deber谩n hacerlo seg煤n las instrucciones detalladas por el proveedor. Adem谩s, las entidades dedicadas a la calificaci贸n crediticia o a seguros de vida y salud est谩n obligadas a realizar una evaluaci贸n del impacto en los derechos fundamentales antes de desplegar un sistema de IA de alto riesgo.
Aunque el Reglamento de IA lista las obligaciones a cumplir por proveedores y usuarios de sistemas de IA de alto riesgo, es necesario mayor detalle en los actos delegados y de ejecuci贸n que deber谩n adoptarse en los pr贸ximos meses y a帽os. A la todav铆a indefinici贸n de muchos elementos pendientes de desarrollar se une el hecho de que a煤n no est谩 claro qu茅 ser谩 clasificado como IA exactamente. Por ejemplo, en las evaluaciones de solvencia crediticia, se emplean con mucha frecuencia modelos de regresi贸n log铆stica y a煤n no est谩 claro si estos modelos se considerar谩n IA o no. En caso de serlo, podr铆a alterarse el modelo operativo de las agencias de evaluaci贸n crediticia, que ante la perspectiva de tener una fuerte carga de cumplimiento por el empleo de este tipo de modelos econom茅tricos, podr铆an decidir incrementar el uso de sistemas propiamente de IA. Pero en estos momentos, la situaci贸n es de indefinici贸n.
A lo anterior se suma que la IA no solo est谩 regulada en el Reglamento de IA, siendo necesario que el sector tenga en cuenta tambi茅n la normativa general de protecci贸n de datos (GDPR), el Reglamento de Gobernanza de Datos, la regulaci贸n de ciberseguridad tanto general (NIS2) como espec铆fica para el sector financiero (DORA), as铆 como otra normativa que est谩 en negociaci贸n (por ejemplo, el Reglamento FiDA, que prev茅 la introducci贸n del Open Finance).
Asimismo, se introduce una gobernanza tanto en torno a nuevas instituciones como la Oficina UE de IA, que deber谩 controlar la implementaci贸n efectiva de los proveedores de IA generativa de prop贸sito general (GPIA) y adoptar los c贸digos de buenas pr谩cticas y la Junta Europea de IA, con representaci贸n de los Estados miembros y an谩loga a la Junta Europea de Protecci贸n de Datos, como en torno a instituciones tradicionales como la Comisi贸n Europea y la Agencia Europea de Protecci贸n de Datos.
Afortunadamente, la entrada en vigor de las distintas obligaciones del Reglamento de IA es escalonada, en l铆nea con lo recogido en la Tabla 2.
Regular la IA ha sido un movimiento acertado por parte de la UE: para que empresas, administraciones y ciudadanos puedan extraer el m谩ximo partido de esta nueva tecnolog铆a, es esencial que conf铆en en ella, para lo cual han de sentirse protegidos de los principales riesgos. Pero en un mundo cada vez m谩s globalizado, contar con un marco regulatorio exclusivo para la UE no es suficiente. Y eso que la aproximaci贸n del Reglamento de IA es extraterritorial en el sentido de que resulta de aplicaci贸n a todos los proveedores y usuarios de sistemas de IA, est茅n establecidos en la UE o no, siempre que el producto generado por el sistema sea empleado en la UE. Pero a pesar de ello, es fundamental conseguir el mismo "efecto Bruselas" que se alcanz贸 con la GDPR, es decir, que otras jurisdicciones sigan los principios fundamentales del enfoque regulatorio de la UE. Si bien antes la UE consegu铆a beneficiarse de este "efecto Bruselas" de manera relativamente pasiva, parece que ahora ser谩 necesario un esfuerzo mucho m谩s activo para que nuestro marco normativo se vea como el modelo a seguir.
A su vez, en esta legislatura europea que ahora dejamos atr谩s, la cantidad de normas aprobada ha sido extraordinaria y tanto el sector privado como las autoridades supervisoras requieren tiempo para su correcta implantaci贸n. Por ello, posibles ideas como la introducci贸n de una normativa espec铆fica de IA para el sector financiero parecen apresuradas, en la medida en que ni siquiera ha empezado a implementarse el reci茅n aprobado Reglamento de IA. As铆, a mi juicio, ser铆a 贸ptimo que en la pr贸xima legislatura europea hubiera cierta pausa regulatoria, para facilitar la implementaci贸n de la gran cantidad de normas aprobadas en este 煤ltimo ciclo institucional, que en algunos casos incluso se solapan entre s铆.
Es tiempo de implementaci贸n y de promover el "efecto Bruselas".