Café & Negocios > Unión Europea
Inteligencia Artificial y Bancos: notas sobre la regulación de la Unión Europea
Por Daniel Lage Etchart: doctorando en TICs (UDC) Master en Derecho Digital e Inteligencia Artificial (UDC) Master en Banca y Mercados Financieros (UDC) Escribano Público (UDELAR)
En 2023, según un informe de la Autoridad Bancaria Europea, el 77,6% de los bancos en Europa utilizaban inteligencia artificial (IA) con diversos fines. Esta cifra se eleva al 84% si se incluyen los bancos en diferentes etapas de implementación, como pruebas piloto, desarrollo activo o discusiones preliminares. Las aplicaciones de la IA se enfocan principalmente en reducir costos, aumentar la productividad y crear nuevas formas de competir en el mercado financiero.
Los sistemas de IA son ampliamente empleados en el sector bancario, abarcando todos los aspectos de la cadena de valor. En la atención al cliente, ofrecen personalización, recomendaciones, gestión de cuentas e inversiones, y asesoramiento financiero a través de chatbots y asistentes virtuales. En operaciones internas, automatizan procesos, optimizan actividades y gestionan el cumplimiento normativo. Para la gestión de riesgos, se utilizan en la prevención de fraude, ciberseguridad y modelos predictivos de contratación. Además, se emplean en el cálculo del capital regulatorio, generando potenciales ahorros significativos de costos.
La Propuesta de Reglamento de IA (RIA) establece prácticas prohibidas que inicialmente no parecen alinearse con los usos esperados de la IA en el sector financiero. Sin embargo, al estar definidas en función de ciertos efectos, no pueden descartarse por completo y deben considerarse como líneas que no se deben cruzar. Por ejemplo, prohibiciones relacionadas con el uso de técnicas subliminales en el marketing personalizado o el aprovechamiento de vulnerabilidades específicas en sistemas de préstamos. Aunque estas prohibiciones tienen ciertos ámbitos específicos, como su relación con el uso por autoridades públicas o en espacios públicos para la aplicación de la ley, podrían dejar fuera del ámbito prohibido aplicaciones de IA en el sector financiero, como sistemas de reconocimiento biométrico o evaluaciones de solvencia para determinar la idoneidad de los solicitantes de productos bancarios.
Los sistemas de alto riesgo que se desarrollan en el Anexo III del RIA a través de una lista de sistemas definidos por su uso, destino o finalidad, fácilmente reflejan aplicaciones comunes en el sector financiero. Entre estos se incluyen sistemas destinados a la identificación biométrica remota de personas físicas, sistemas para la contratación o selección de personal, así como para la evaluación de solvencia y calificación crediticia de individuos.
La implementación del Reglamento de IA (RIA) en el sector financiero implica requisitos más estrictos para el uso de sistemas de IA considerados de alto riesgo. Estos requisitos incluyen auditorías, evaluaciones y gestión del riesgo, así como la gobernanza de datos, documentación técnica, registro de eventos, ciberseguridad y transparencia e información. Esta normativa refleja una estrategia regulatoria familiar en el sector financiero, acostumbrado a medidas similares de supervisión y gestión de riesgos. Además, los sistemas de IA generativa con o sin riesgo sistémico deben cumplir con requisitos propios. Sin embargo, el RIA no se aplica a sistemas de IA generativa sin riesgo sistémico utilizados para procesos internos no esenciales para suministrar un producto o un servicio a terceros. Los sistemas utilizados o desarrollados por entidades de crédito estarán sujetos a la regulación de la Directiva 2013/36/UE, con supervisión del Banco Central Europeo o el Banco de España, según corresponda.
En el marco normativo actual, dos principios fundamentales guían el uso de sistemas de IA en el sector financiero: el principio de equivalencia funcional y el principio de no discriminación y neutralidad tecnológica. Estos principios respaldan la utilización de la IA para la toma de decisiones y la automatización de tareas sin necesidad de una aprobación previa explícita de la normativa. Esto significa que, en general, no hay impedimentos para emplear sistemas de IA en diversas actividades financieras, siempre y cuando se cumplan los requisitos regulatorios específicos del sector. En ocasiones, se hace referencia a la posibilidad de automatización con o sin intervención humana, como en la Directiva de Servicios Digitales, pero también se incluyen limitaciones expresas a la automatización total de ciertos procesos, como la gestión de reclamaciones en plataformas digitales según la misma Directiva. A pesar de estas limitaciones particulares, la regla básica es la viabilidad del uso de la IA en el ámbito financiero.
La adopción de un sistema de IA debe garantizar el cumplimiento de las normas aplicables al proceso automatizado, como lo haría si no estuviera automatizado. Los sistemas de IA deben diseñarse, implementarse y operarse de manera que cumplan con el régimen regulatorio correspondiente en el ámbito financiero. Por ejemplo, si se automatiza la comercialización de productos financieros a través de una aplicación de banca digital, se deben cumplir los requisitos legales de información precontractual. Del mismo modo, si se implementa un sistema automatizado de asesoramiento financiero, deben cumplirse los requisitos aplicables a dicho asesoramiento.
En el proceso normativo sobre IA, surge una pregunta crucial: ¿Son los sistemas legales actuales adecuados para abordar los riesgos emergentes en entornos tecnológicos complejos? Si no lo son, se deberá considerar la viabilidad de instituir un régimen de responsabilidad específico para la IA. En este contexto, es fundamental analizar la eventual responsabilidad de los bancos, ya sea como proveedores u operadores de sistemas de IA de alto riesgo, o como usuarios de sistemas de IA generativa que puedan generar riesgos sistémicos al ser entrenados por la propia entidad bancaria para potenciar su actividad comercial.
