Líderes de opinión

El papel de la industria de la IA en la definición de los estándares de servicios financieros

mm
Published

El gobierno federal ha pasado oficialmente el testigo, y la industria de los servicios financieros ahora tiene la responsabilidad principal de supervisar, monitorear y asegurar la seguridad de los modelos y agentes de IA generativos. Esto no es una posibilidad futura ni un rumor regulatorio. Dos desarrollos políticos significativos a principios de 2026 han hecho que esta realidad sea inconfundible, y las instituciones que reconocen este momento por lo que es estarán mucho mejor posicionadas que aquellas que no lo hacen.

El panorama de las políticas cambia decisivamente

En marzo de 2026, la Casa Blanca emitió su Marco de Política Nacional sobre IA, y la señal no podría haber sido más clara. La administración reafirmó su punto de vista de que la regulación de la IA es fundamentalmente una cuestión de competitividad nacional, no de burocracia de protección al consumidor. El Principio V del Marco establece que el Congreso no debe crear ningún nuevo organismo de creación de normas federales para regular la IA, y en su lugar debe apoyar el desarrollo y la implementación de aplicaciones de IA específicas del sector a través de los organismos regulatorios existentes y a través de normas lideradas por la industria. El Principio VII refuerza esto al pedirle al Congreso que anule las leyes estatales de IA que imponen cargas indebidas, a favor de un estándar nacional mínimamente oneroso.

El mensaje es inconfundible: Washington no viene a salvarnos. El gobierno federal ha elegido la innovación sobre la supervisión prescriptiva, dejando deliberadamente la puerta abierta para que la industria defina qué aspecto tiene la IA responsable en la práctica. Esto representa una elección política deliberada y consecuente, que lleva un peso real para cada institución que actualmente está implementando o evaluando herramientas de IA.

El segundo desarrollo importante llegó el 17 de abril con la emisión de SR-26-2, “Orientación revisada sobre gestión de riesgos de modelos”, de la OCC, la Junta de la Reserva Federal y la FDIC. Esto fue una actualización largamente esperada de la orientación SR-11-7 que había gobernado la gestión de riesgos de modelos durante más de 15 años. En muchos sentidos, SR-26-2 es un documento bienvenido. Es más corto, pasando de 21 páginas densas y con un solo espacio a 12 páginas con doble espacio y más legibles. Reemplaza el lenguaje prescriptivo “debe” con principios descriptivos. Introduce umbrales de materialidad, centrándose en la revisión de los bancos con $30 mil millones o más en activos. Y fomenta la pensamiento de ciclo de vida, tratando el desarrollo, la validación, la implementación y el monitoreo de modelos como una disciplina continua en lugar de un ejercicio de cumplimiento único.

La excepción conspicua de la IA

Pero aquí es donde la orientación se vuelve significativa y sobria. SR-26-2 es explícita en sus limitaciones autoimpuestas: “Esta orientación no establece estándares ejecutables ni requisitos prescriptivos; por lo tanto, el incumplimiento de esta orientación no resultará en críticas supervisoras”. En lenguaje plano: figurenlo ustedes mismos.

Aún más sorprendente es la Nota al pie 3, que excluye completamente los modelos y agentes de IA generativos del alcance de la orientación, describiéndolos como “nuevos y en rápida evolución”. La nota reconoce que los bancos deben aplicar sus prácticas de gestión de riesgos y gobernanza existentes a estas herramientas, pero no ofrece ninguna dirección específica sobre cómo hacerlo. En el momento preciso en que los riesgos de la IA se están volviendo más concretos y consecuentes, el gobierno federal se ha apartado formalmente.

Se puede entender la lógica. La orientación federal prematura o mal informada sobre la IA podría sofocar la innovación, crear desventajas competitivas o generar consecuencias no deseadas. Los reguladores pueden preferir recopilar comentarios de la industria antes de codificar estándares. Pero la brecha que crea es real y en crecimiento. Los modelos y agentes de IA generativos ya están operando dentro de las instituciones financieras, tomando decisiones, automatizando flujos de trabajo e interactuando con los clientes, mientras que el marco regulatorio que los gobierna sigue siendo efectivamente silencioso.

Los riesgos no son teóricos

Seamos directos sobre lo que está en juego. Los modelos y agentes de IA generativos plantean una categoría de riesgo que simplemente no existía cuando se escribió SR-11-7 en 2011. Estos sistemas pueden aprender sobre la marcha, adaptando su comportamiento de maneras que pueden divergir de su diseño original. Introducen vulnerabilidades de seguridad novedosas que los marcos de riesgos de modelos tradicionales no estaban diseñados para detectar. El Centro de Seguridad de Internet emitió un informe formal en abril de 2026 advirtiendo que los ataques de inyección de prompt representan una amenaza grave y creciente para las organizaciones que utilizan IA generativa, señalando que las instrucciones maliciosas ocultas en documentos, correos electrónicos y sitios web pueden llevar a la pérdida de datos sensibles, acceso no autorizado al sistema y perturbación operativa. Los ataques de inyección de prompt ahora figuran como la principal vulnerabilidad en la lista de los 10 principales de OWASP para aplicaciones de modelos de lenguaje grande.

Los sistemas de IA agente, capaces de tomar acciones de forma autónoma en el mundo a alta velocidad, amplifican estos riesgos aún más. Pueden crear fallos en cascada antes de que cualquier revisor humano tenga la oportunidad de intervenir. Y el sector financiero está directamente en la mira: un análisis de ciberseguridad de 2026 confirmó 340 víctimas de ransomware en servicios financieros durante 2025 solo, con ataques de ransomware acelerados por IA que permiten a los actores de amenazas moverse a velocidad de máquina a través de sistemas interconectados.

Estas no son preocupaciones hipotéticas para algún futuro lejano habilitado por IA. Son realidades operativas de hoy. Y las instituciones financieras que implementan estas herramientas sin marcos de gobernanza robustos no solo están asumiendo riesgos para su reputación. Están asumiendo el peso total de la responsabilidad que los reguladores han decidido no compartir.

La industria debe responder al momento

La ausencia de mandatos federales no es una señal de luz verde para la inacción. Los concesionarios, bancos, prestamistas y sus proveedores de tecnología ahora ocupan una posición sin precedentes: deben construir la infraestructura de gobernanza que el gobierno ha elegido no prescribir. Esto es tanto una carga como una oportunidad, y los datos sugieren que muchas instituciones aún no están listas para ello.

La Encuesta de Impacto de la IA en la Banca de Grant Thornton de 2026 encontró que los bancos son más propensos que cualquier otra industria a informar que sus controles de IA no han sido probados. Solo el 18 por ciento de los líderes bancarios expresaron plena confianza en sus controles de IA, y la mitad de los encuestados citaron barreras de gobernanza y cumplimiento como contribuyentes al rendimiento deficiente o al fracaso de la IA. Esta no es una postura que se mantendrá a medida que se profundice la implementación de la IA y se agote la paciencia regulatoria.

Las instituciones que se mueven rápidamente para desarrollar marcos de gobernanza de IA rigurosos, que abarquen el monitoreo de modelos, la explicabilidad, la detección de sesgos, las pruebas de seguridad y los protocolos de supervisión humana, no solo gestionarán su riesgo de manera más efectiva. También darán forma a los estándares liderados por la industria que la Casa Blanca y los reguladores federales han invitado explícitamente al sector privado a crear. Los primeros en moverse en la gobernanza responsable de la IA tienen una oportunidad genuina de escribir las reglas que todos los demás eventualmente seguirán.

El mercado de la IA generativa en los servicios financieros ya es enorme y está acelerando rápidamente. Según Research and Markets, el sector de la IA generativa en los servicios financieros se espera que crezca de $1.89 mil millones en 2025 a $2.48 mil millones en 2026, lo que representa una tasa de crecimiento anual compuesta de más del 31 por ciento. Esa tasa de crecimiento hace que la gobernanza no sea un lujo, sino un imperativo estructural. Las instituciones que implementan la IA a esta escala sin controles probados no están construyendo ventaja competitiva. Están construyendo responsabilidad no valorada.

El gobierno federal nos ha dicho, en términos claros, que confía en la industria para que lo haga bien. Esa confianza no es incondicional, y no es permanente. La paciencia regulatoria tiene una fecha de caducidad. Si los fracasos de la IA de alto perfil comienzan a acumularse, el péndulo de la supervisión se inclinará hacia atrás, y las reglas escritas en ese entorno casi seguramente serán más restrictivas y menos viables que cualquier cosa que la industria podría haber diseñado para sí misma. La ventana para actuar en nuestros propios términos está abierta ahora. La pregunta es si la industria la utilizará.

mm

Tom Oscherwitz es el consejero general de Informed. Tiene más de 25 años de experiencia como regulador gubernamental senior (CFPB, Senado de EE. UU.) y como ejecutivo legal de fintech que trabaja en la intersección de datos de consumidores, análisis y política regulatoria. Para más información, visite www.informediq.com.