Los retos de la regulación europea de la IA para el sector financiero
José Ramón Morales, socio del Departamento Mercantil de Garrigues, y co-director del área de Tecnología, Comunicaciones y Digital, de Garrigues Digital y del Garrigues FinTech Hub.
La inteligencia artificial tiene un enorme potencial para las entidades financieras. Por ello, al abordar su regulación se pretende dotar de un marco de seguridad jurídica para facilitar su adopción y dar también respuesta a los desafíos y riesgos para el sector, los clientes y los supervisores.
La adopción de herramientas de inteligencia artificial (IA) en el sector financiero no es un fenómeno nuevo, y desde hace tiempo se ha identificado como una estrategia clave para la innovación y la competitividad en esta industria. No obstante, nos encontramos en un momento esencial para su regulación, por la concurrencia de dos factores:
(1) hallarse en fase final la tramitación de la propuesta de Reglamento Europeo en materia de IA, y
(2) la eclosión de un buen número de modelos fundacionales y soluciones en el ámbito de la denominada IA generativa, basados en técnicas de deep learning y redes neuronales y entrenados con ingentes cantidades de datos estructurados o no, que tiene una enorme potencia para generar, con distintos niveles de autonomía, contenidos (texto, imágenes, audio o vídeo). Esto, además de abrir la puerta a nuevos y prometedores casos de uso para el mundo financiero, plantea nuevos retos por la tipología de riesgos asociados y por sus posibles implicaciones legales.
La IA en general, pero muy especialmente la IA generativa, tiene para las entidades financieras un enorme potencial al permitirles mejorar la eficiencia, la calidad y la personalización de los servicios y productos ofrecidos a los clientes (coaching financiero; estrategias de inversión, recomendaciones y ofertas personalizadas; asistentes de inversiones), pero también para optimizar sus procesos internos (procesamiento de préstamos, scoring crediticio, gestión de carteras, simulación de escenarios, generación de software, elaboración de contenidos de marketing personalizados), la gestión de riesgos (detección de anomalías o fraude, evaluaciones de riesgos) y el cumplimiento normativo (prevención de blanqueo de capitales).
Sin embargo, al abordar su regulación se pretende crear un marco legal que dote de seguridad jurídica a las entidades que la adopten pero a la vez dar respuesta a los desafíos y riesgos para el sector, los clientes y los supervisores. En particular, en cuanto a los niveles de transparencia, explicabilidad, fiabilidad de las soluciones IA, a la capacidad de identificar quiénes son responsables por su adopción y uso, y a las potenciales amenazas que pudiera presentar para la seguridad y privacidad. Sin olvidar las consecuencias éticas y el impacto social y ambiental que pueden tener los sistemas de IA.
Estos retos se han tratado de abordar en la Unión Europea desde la primera versión de 2021 de la propuesta de Reglamento de IA a partir de un modelo de regulación basada en niveles de riesgo, que diferencia entre sistemas de IA prohibidos, de alto riesgo y de riesgo limitado, y que impone una serie de requisitos y obligaciones a los distintos operadores de la cadena de valor (proveedores, implantadores, importadores, distribuidores y representantes autorizados de los sistemas de IA). No obstante, entre los cambios que sobre la propuesta de Reglamento ha planteado el Parlamento Europeo en su posición de 14 de junio de 2023, se ha tratado de dar respuesta a la acentuación de ciertos riesgos que puede producirse con el desarrollo y la adopción de sistemas de IA generativa, incluyendo la introducción de una regulación específica para los modelos fundacionales dentro del texto articulado del reglamento.
Como ejemplo, los sistemas de IA que se utilicen para evaluar la calificación crediticia o la solvencia de personas físicas se consideran por la propuesta de Reglamento de la IA como de alto riesgo y, por tanto, deben someterse a una evaluación de conformidad previa a su introducción en el mercado o puesta en servicio, y cumplir con unos requisitos específicos sobre la calidad de los datos, la documentación técnica, la transparencia, la supervisión humana, la solidez, la precisión y la ciberseguridad.
Es sabido que, además de la regulación horizontal que prevé para los sistemas de IA en todos los sectores, la propuesta de Reglamento de IA contiene previsiones específicas para entidades financieras y en relación con la supervisión de su actuación cuando sean usuarias, proveedoras, importadoras o distribuidoras de sistemas de IA, o cuando lancen al mercado sistemas o pongan un software en servicio.
Pero no debemos olvidar que el futuro Reglamento de IA pasará a insertarse en el complejo marco regulatorio, de ámbito europeo y nacional, que rige para el sector financiero; especialmente en lo que respecta a la gobernanza interna, la gestión de riesgos, la conducta y la protección de la clientela, la solvencia, la ciberseguridad y resiliencia operacional digital, la prevención del blanqueo de capitales, la protección de datos o la sostenibilidad. Por tanto, las entidades financieras que adopten sistemas de IA en general, y de IA generativa en particular, se verán en la necesidad de evaluar e implementar mecanismos de gestión de riesgos y de cumplimiento normativo que den respuesta tanto a lo que resulte de la propuesta de Reglamento de IA como a las demás normas sectoriales citadas que puedan verse afectadas por la adopción de tales sistemas.
La propuesta de Reglamento de IA representa, pues, un paso muy relevante para crear un marco jurídico común y coherente a la IA en la UE, pero también supone, especialmente para el sector financiero, un reto significativo la interacción del régimen que establece con el que resulta de otros marcos regulatorios en los que desarrollan su actividad las entidades financieras.