Gobernanza de IA en banca: por qué menos proceso puede significar mayor seguridad

En nuestro trabajo con bancos e instituciones financieras, observamos un patrón de sobrerregulación de las aplicaciones de IA; la consiguiente difusión de responsabilidades y la incertidumbre entre el personal logran con frecuencia exactamente lo contrario de lo que la gobernanza de IA pretendía conseguir.

Pero empecemos por el principio: el deseo de implementar IA existe. También existe la presión por entregar resultados rápidamente: el mercado exige eficiencia, automatización y nuevas experiencias de cliente impulsadas por la IA generativa. Además, una escasez aguda de talento intensifica la presión para actuar — especialmente en IT, donde los expertos son desesperadamente buscados y los puestos a menudo permanecen vacantes durante meses. La IA ya no es, por tanto, una opción, sino una necesidad operativa: donde falta talento cualificado, la automatización inteligente debe cubrir precisamente ese hueco.

Y entonces llega la gobernanza. En muchos proyectos, observamos cómo el impulso de cumplir plenamente con la Ley de IA de la UE, DORA, MaRisk y BAIT termina en una sobrerregulación bienintencionada pero paralizante: los requisitos internos se formulan de forma tan restrictiva que confunden incluso a equipos de desarrollo experimentados. Los procesos se diseñan con una complejidad excesiva, y proyectos piloto prometedores se ralentizan masivamente o se abandonan por completo debido a la carga organizativa.

El patrón es comprensible, pero no está justificado, porque la gobernanza no puede ni debe ser un obstáculo. Configurada correctamente, no resta velocidad — proporciona la seguridad necesaria para poder ganar velocidad en primer lugar.

Por qué la nueva tecnología exige una nueva gobernanza

Los bancos representan tradicionalmente la seguridad y la minimización del riesgo. Cuando tecnologías probabilísticas — e inherentemente imprecisas — se encuentran con datos financieros altamente sensibles, los departamentos responsables del cumplimiento normativo están, con razón, en alerta máxima. El resultado, sin embargo, es a menudo un laberinto organizativo de responsabilidades: protección de datos, comités de empresa, estrategia corporativa y gestión de riesgos exigen todos su lugar en la mesa cuando se trata del uso de la IA.

En principio, esto es correcto; en la práctica, sin embargo, esta diversidad de voces conduce frecuentemente a una difusión de la responsabilidad. Cuando todos los empleados o los implicados en un proyecto expresan sus preocupaciones, pero nadie asume la responsabilidad operativa de los riesgos, incluso las aplicaciones inofensivas quedan en el camino. Un chatbot interno diseñado para resumir actas de reuniones pasa por los mismos circuitos de aprobación que un sistema automatizado de scoring crediticio para clientes minoristas, aunque los perfiles de riesgo sean fundamentalmente diferentes.

Este cuello de botella interno provoca inadvertidamente precisamente el riesgo que pretende prevenir: los departamentos, frustrados, migran hacia una shadow IT sin control. Los equipos recurren entonces a herramientas de IA externas sin ninguna salvaguarda porque los canales oficiales parecen demasiado largos y opacos. El resultado no son menos riesgos, sino más riesgos sin control. Una encuesta de IDC también confirma que la falta de gobernanza es una de las mayores barreras para la adopción de la IA: el 53,8% de las organizaciones encuestadas citó la falta de soluciones de gobernanza como la principal barrera — solo los costes se situaron ligeramente por delante (Jyoti, 2023).

El punto ciego: por qué el cumplimiento de la Ley de IA no garantiza la calidad

Para entender por qué surge una gobernanza excesiva, vale la pena examinar más de cerca el panorama regulatorio — pues es aquí donde reside un malentendido que a menudo pasa desapercibido.

La Ley de IA de la UE es principalmente una ley de seguridad de productos diseñada para proteger los derechos fundamentales de los ciudadanos: aborda la discriminación, la toma de decisiones no transparente y la vigilancia desproporcionada. DORA, por su parte, se centra en la resiliencia operativa y exige que los sistemas de IA se integren en los marcos de gestión de riesgos existentes como activos TIC (BaFin, 2025). Ambas normativas son importantes, pero ninguna protege al banco de los riesgos de negocio derivados de aplicaciones de IA defectuosas.

Un sistema de IA puede cumplir plenamente con la Ley de IA de la UE y estar integrado en DORA — operar de forma transparente, no discriminatoria y resiliente — y aun así proporcionar respuestas incorrectas, ser vulnerable a ataques de inyección de prompts o simplemente funcionar de manera ineficiente. La robustez, la precisión y la seguridad IT son factores cruciales para los bancos que van mucho más allá del mero texto de la ley. La guía del BSI sobre ataques de evasión a LLMs demuestra lo concretos y diversos que son los escenarios de ataque técnicos: describe la inyección de prompts, los jailbreaks y los ataques adversariales como amenazas reales para las que el cumplimiento normativo no ofrece solución (BSI, 2026).

Esto tiene dos implicaciones significativas: en primer lugar, el departamento de cumplimiento no puede gestionar la gobernanza de IA por sí solo. Se necesita un marco que combine requisitos regulatorios, calidad técnica y gestión de negocio. En segundo lugar — y esta es la conclusión clave — este marco no tiene que ser complejo. Quien intente moldear cada requisito de la Ley de IA, DORA y las directrices internas en un proceso de gobernanza monolítico crea exactamente el tipo de sobrecarga que paraliza los proyectos.

Repensar la gobernanza: barreras de protección en lugar de obstáculos

La propia BaFin ofrece la orientación crucial en su guía sobre riesgos TIC en IA: el principio de proporcionalidad (Art. 4 DORA) como principio operativo. Las aplicaciones de IA integradas en funciones críticas requieren medidas de seguridad y control más extensas que un asistente de autoservicio que opera bajo supervisión humana — esta diferenciación no solo está permitida, sino que es la intención del regulador (BaFin, 2025).

En términos concretos, esto significa: los bancos no necesitan una gobernanza de IA paralela — lo que se requiere es una extensión simplificada de las estructuras existentes que incluya unos pocos roles y procesos claramente definidos. DORA ya exige un órgano de dirección con responsabilidad última sobre los riesgos TIC, una función de gestión de riesgos TIC y funciones de control (Art. 5 DORA). La clave reside en integrar la gobernanza de IA dentro de estas estructuras existentes.

Basándonos en nuestra experiencia, tres medidas han demostrado ser especialmente eficaces:

1. Un coordinador de IA dedicado como punto de contacto central

Este rol — ya sea como AI Officer, coordinador de IA o como parte del equipo de gestión de riesgos existente — actúa como nexo entre las unidades de negocio, IT, cumplimiento y legal. En lugar de que cada departamento escale sus preocupaciones por separado, existe un único organismo responsable de los artefactos de gobernanza, la evaluación de casos de uso, la clasificación de riesgos y la coordinación de aprobaciones. Esto reduce la difusión de responsabilidades y agiliza la toma de decisiones.

2. Clasificación basada en riesgo con vías rápidas claras

Una verificación preliminar estandarizada (triage) determina desde el inicio de la fase de ideación si un caso de uso debe clasificarse como de alto riesgo o puede operarse como de bajo riesgo, ya que la mayoría de los casos de eficiencia interna no caen bajo las disposiciones más estrictas de la Ley de IA. Aquí, el banco o proveedor de servicios financieros puede establecer procesos de aprobación acelerados — mientras que los sistemas críticos se someten al escrutinio en profundidad necesario.

3. Garantía de calidad técnica como componente integral

Mientras la Ley de IA establece el marco regulatorio, estándares técnicos como el NIST AI Risk Management Framework o el OWASP Top 10 para LLMs garantizan la calidad y seguridad reales de los modelos. Una vez que la infraestructura de IA ha sido aceptada como conforme a DORA, las aplicaciones construidas sobre ella no tienen que empezar desde cero cada vez — los módulos estandarizados para logging, monitorización y protección de datos reducen significativamente el esfuerzo requerido por proyecto.

Del control de cumplimiento a la ventaja competitiva

Quienes ven la gobernanza como un estándar de calidad construyen sistemas de IA confiables. En un sector donde la confianza es la moneda más importante, esto se convierte en un auténtico diferenciador.

Un enfoque de gobernanza ágil y basado en el riesgo acorta drásticamente el tiempo de comercialización y puede reemplazar los largos procesos de aprobación con márgenes de actuación definidos. El resultado son soluciones escalables que no se quedan en la fase de PoC, sino que generan valor de negocio real — ya sea a través de procesos de back-office más eficientes, una interacción personalizada con el cliente o el alivio de equipos especializados sobrecargados.

Te acompañamos en este camino

Cabe destacar: el equilibrio entre la presión por innovar y los requisitos regulatorios es un reto, pero es alcanzable. adesso combina un profundo conocimiento del sector bancario con experiencia en inteligencia artificial. Te ayudamos a construir IA técnicamente excelente de forma rápida y segura. Desde la evaluación inicial de riesgos, pasando por procesos de cumplimiento ágiles, hasta la implementación técnica de plataformas de IA conformes con DORA, te ofrecemos un apoyo integral. Plenamente conscientes de que no es la tecnología por sí sola la que determina el éxito, sino la aceptación de los nuevos procesos dentro de la organización, nos aseguramos de que tus iniciativas de IA no queden en el escritorio de cumplimiento, sino que se implementen en el negocio.