Adopción global de la inteligencia artificial en la gestión de riesgos
La inteligencia artificial puede detectar pagos inusuales, analizar señales de deterioro crediticio y revisar miles de alertas de cumplimiento normativo con mayor rapidez que un equipo humano. Esto la convierte en una herramienta de gestión de riesgos potencialmente valiosa, pero no en un guardián autónomo de una entidad financiera. Los modelos pueden pasar por alto amenazas desconocidas, reproducir sesgos y crear nuevas dependencias respecto a los proveedores de datos y tecnología. Por lo tanto, la cuestión práctica no es si un banco debe utilizar la IA, sino qué riesgos puede ayudar a gestionar y qué controles son necesarios para evitar que la tecnología se convierta en otra fuente de exposición.
La adopción avanza más rápido que la regulación
La inteligencia artificial ya se utiliza ampliamente en el sector bancario. La Autoridad Bancaria Europea informó en 2025 de que el 92 % de los bancos de la UE la estaban utilizando, mientras que el resto de las entidades estaban llevando a cabo proyectos piloto o estudiando posibles aplicaciones. El Banco de Inglaterra y la Autoridad de Conducta Financiera han constatado, de igual modo, un uso generalizado en los servicios financieros del Reino Unido.
No obstante, las estadísticas sobre la adopción pueden exagerar el grado de maduración de su implementación. Un banco puede considerarse usuario de IA por el mero hecho de aplicar el aprendizaje automático a la detección de fraudes o de permitir a sus empleados utilizar un asistente generativo interno. Eso no significa que la inteligencia artificial esté tomando sus decisiones fundamentales en materia de crédito, liquidez o riesgo de mercado.
Muchas instituciones siguen mostrándose cautelosas a la hora de incorporar la inteligencia artificial directamente en procesos de gran repercusión. Pueden utilizarla para identificar casos que requieran investigación, al tiempo que mantienen los modelos establecidos y la aprobación humana para la decisión final.
Esta distinción es importante. La IA puede desempeñar una función de control sin asumir la responsabilidad del resultado. La entidad financiera sigue siendo responsable, independientemente de si el error se originó en un empleado, en un modelo desarrollado internamente o en un proveedor de tecnología externo.
La detección del fraude es uno de los casos de uso más sólidos
Los sistemas de detección de fraudes deben analizar un volumen muy elevado de transacciones y, al mismo tiempo, determinar cuáles requieren una intervención. Las reglas convencionales pueden señalar cualquier pago que supere un importe determinado o cualquier ubicación inusual. Los sistemas de aprendizaje automático pueden analizar una combinación más amplia de comportamientos, incluyendo el historial de transacciones, la información del dispositivo, el momento en que se realizan y las relaciones entre cuentas.
Esto puede ayudar a identificar patrones que una regla fija pasaría por alto. Además, permite reducir las alertas innecesarias al distinguir entre un comportamiento realmente inusual y un cambio legítimo en la forma en que un cliente utiliza su cuenta.
La ventaja no es simplemente una mayor capacidad de detección. Un número excesivo de falsos positivos puede provocar que se bloqueen pagos legítimos, lo que impide a los clientes acceder a su dinero mientras los investigadores dedican tiempo a revisar actividades inofensivas.
La inteligencia artificial puede ayudar a priorizar las alertas, pero el fraude evoluciona en respuesta a los controles diseñados para detenerlo. Los delincuentes ponen a prueba los sistemas, manipulan identidades y adaptan los patrones de transacción. Un modelo entrenado con los fraudes del pasado puede no funcionar bien frente a un método nuevo.
Por lo tanto, las instituciones necesitan un seguimiento continuo, una retroalimentación rápida por parte de los investigadores y la capacidad de actualizar los controles sin dar por sentado que un modelo que haya tenido éxito anteriormente seguirá siendo eficaz indefinidamente.
Las inspecciones contra el blanqueo de capitales podrían centrarse más en aspectos concretos
Los bancos dedican importantes recursos a supervisar las transacciones e investigar posibles casos de blanqueo de capitales. Los sistemas actuales suelen generar un gran número de alertas, muchas de las cuales no dan lugar a un informe de actividad sospechosa.
La inteligencia artificial puede mejorar este proceso al establecer conexiones entre clientes, empresas, cuentas y transacciones que, si se analizan por separado, parecen no tener relación alguna. El análisis de redes puede revelar direcciones comunes, vínculos de propiedad o vías de pago entre varias entidades.
Las herramientas de lenguaje natural también pueden ayudar a los investigadores a organizar los expedientes de los casos, resumir las actividades anteriores y recuperar las normas pertinentes. Esto puede reducir la carga administrativa y permitir que los especialistas se concentren en el fondo del asunto.
La tecnología no debe determinar por sí sola que un cliente esté involucrado en actividades delictivas. Los patrones pueden tener explicaciones legítimas, y las conclusiones automáticas pueden acarrear graves consecuencias para el acceso a la cuenta y la reputación.
Los bancos también deben evitar utilizar la inteligencia artificial únicamente para resolver las alertas con mayor rapidez. La eficiencia solo tiene valor cuando mejora la identificación y la investigación de los riesgos reales, en lugar de servir para cerrar los casos más rápidamente.
La evaluación crediticia requiere especial atención
El aprendizaje automático puede analizar los estados financieros, los historiales de pago, los patrones de flujo de caja y otra información para estimar la probabilidad de que un prestatario devuelva el préstamo. Puede identificar relaciones que resultan difíciles de detectar mediante los sistemas de puntuación convencionales.
Esto puede mejorar la rapidez y la coherencia de la evaluación crediticia, sobre todo en el caso de las pequeñas empresas o los consumidores con un historial crediticio tradicional limitado. Los datos alternativos también pueden ayudar a evaluar a los solicitantes que, de otro modo, serían difíciles de evaluar.
Este mismo enfoque puede dar lugar a situaciones de discriminación. Las variables que parecen neutras pueden actuar como indicadores indirectos de características protegidas o de desventaja económica. Un modelo podría arrojar resultados diferentes según el barrio, la profesión o el tipo de dispositivo, incluso cuando esas características no recojan explícitamente el origen étnico, el género u otro atributo protegido.
Los datos históricos también reflejan decisiones de concesión de créditos tomadas anteriormente. Si determinados grupos recibieron menos crédito o condiciones menos favorables en el pasado, un modelo puede aprender ese patrón y reproducirlo como si se tratara de una prueba objetiva de riesgo.
Por lo tanto, las decisiones crediticias deben someterse a pruebas en los grupos de clientes pertinentes, deben justificarse claramente los resultados desfavorables y deben existir vías de revisión significativas. En virtud de la Ley de la UE sobre la IA, determinados sistemas de IA utilizados para evaluar la solvencia se clasifican como de alto riesgo y están sujetos a requisitos adicionales.
En este contexto, la explicabilidad no es simplemente una cuestión técnica. A un cliente al que se le deniega un producto financiero importante no se le debería dar como única explicación que “así lo ha decidido el algoritmo”.
Los modelos de riesgo de mercado pueden detectar patrones, pero no ofrecen certezas sobre el futuro
Las entidades financieras utilizan modelos para estimar cómo pueden responder las carteras a los cambios en los tipos de interés, las divisas, los diferenciales de crédito y los precios de los activos. La inteligencia artificial puede procesar más variables y modelar relaciones más complejas que algunos enfoques tradicionales.
Puede ayudar a identificar concentraciones en las distintas carteras de negociación o revelar que varias posiciones aparentemente diferentes dependen del mismo factor económico subyacente. También puede facilitar la detección de anomalías en tiempo real durante períodos de tensión en los mercados.
El inconveniente es que las relaciones financieras cambian. Un modelo entrenado durante un período de inflación estable o de abundante liquidez puede comportarse de forma diferente cuando la guerra, la política o la estructura del mercado cambian de forma brusca.
Los datos históricos pueden contener pocos ejemplos del fenómeno extremo que la institución está tratando de modelar. Un sistema puede llegar a ser muy preciso a la hora de explicar las condiciones habituales, pero subestimar el fenómeno que más importa.
Por lo tanto, la inteligencia artificial debería complementar, y no sustituir, las pruebas de resistencia. Las entidades siguen necesitando escenarios hipotéticos que vayan más allá de los datos históricos y pongan a prueba las hipótesis sobre la liquidez, las correlaciones y el comportamiento del mercado.
Un modelo de riesgo no es fiable por el mero hecho de contener más variables. Es fiable cuando se comprenden sus limitaciones y las decisiones siguen siendo sólidas aunque esas variables se comporten de forma diferente.
El riesgo operativo va más allá de la ciberseguridad
La inteligencia artificial puede ayudar a las instituciones a identificar anomalías en los sistemas, predecir fallos en los equipos o el software y clasificar los incidentes. También puede analizar las comunicaciones internas o procesar datos para detectar debilidades operativas emergentes.
Las herramientas generativas pueden ayudar a los empleados a consultar procedimientos y a responder ante situaciones rutinarias. Sin embargo, también pueden generar instrucciones erróneas precisamente en el momento en que el personal necesita una orientación fiable.
El riesgo operativo aumenta cuando una entidad pasa a depender de un modelo o un proveedor sin disponer de una alternativa viable. Si un servicio de inteligencia artificial dejara de estar disponible, los procesos críticos deberían poder seguir funcionando.
El banco debe saber qué funciones dependen del sistema, qué ocurre durante una interrupción del servicio y cómo el personal pasará a utilizar procesos manuales o convencionales. Los planes de continuidad del negocio deben someterse a pruebas, en lugar de darse por sentados.
La automatización puede reducir un tipo de error humano, pero al mismo tiempo genera otro: una dependencia excesiva de un sistema cuyos fallos nos resultan menos familiares y que podrían tener un alcance mayor.
La IA es tanto una defensa cibernética como una amenaza cibernética
Los equipos de seguridad pueden utilizar la inteligencia artificial para detectar accesos inusuales, analizar la actividad de la red y priorizar un gran número de alertas. Puede identificar patrones sutiles en distintos dispositivos y cuentas con mayor rapidez que los analistas que trabajan de forma manual.
Los atacantes utilizan tecnologías similares. La IA generativa puede crear mensajes de phishing convincentes, imitar estilos de comunicación y facilitar la ingeniería social. Las voces e imágenes sintéticas facilitan suplantar la identidad de directivos o clientes.
Por lo tanto, las entidades financieras deberían combinar la supervisión técnica con controles rigurosos de los pagos y la identidad. Un mensaje de voz aparentemente auténtico procedente de un alto directivo no debería anular el requisito de doble aprobación ni la verificación independiente.
Los propios sistemas de IA pueden ser objeto de ataques. Se pueden manipular los datos de entrada para alterar el resultado, se puede extraer información confidencial y se pueden ocultar instrucciones maliciosas en los documentos procesados por herramientas generativas.
Un modelo conectado a bases de datos internas o capaz de iniciar acciones requiere controles más estrictos que un sistema que genera resúmenes. El acceso debe limitarse en función del daño potencial que pueda causar la herramienta, y no únicamente en función de la sensibilidad de la información a la que pueda acceder.
La calidad de los datos es el primer control
El Banco de Pagos Internacionales señaló en 2026 que la calidad de los datos sigue siendo uno de los principales obstáculos para la puesta en marcha de los sistemas de inteligencia artificial en el sector financiero. Las instituciones se enfrentan a problemas derivados de una información incompleta, incoherente, desactualizada o inadecuada para el fin previsto.
La IA no corrige automáticamente los datos de mala calidad. De hecho, puede agravar el problema al generar un resultado claro y certero a partir de datos poco fiables.
Los grupos financieros suelen almacenar información sobre clientes, transacciones y riesgos en distintos sistemas creados en diferentes momentos. Las definiciones pueden variar entre las distintas unidades de negocio, mientras que las adquisiciones pueden dar lugar a varias versiones contradictorias de un mismo registro.
Antes de implantar un modelo avanzado, la institución debe determinar qué datos son fiables, quién es su titular y cómo se corrigen los errores. El conjunto de datos de entrenamiento debe ser representativo de las condiciones en las que funcionará el sistema.
El linaje de los datos es igualmente importante. Los equipos de gestión de riesgos deben poder rastrear el origen de un resultado importante y comprender cómo se transformó la información. Sin ese registro, resulta difícil investigar una decisión inesperada.
La explicabilidad debe estar en consonancia con las consecuencias
No todas las aplicaciones de IA requieren el mismo grado de explicación. Un modelo que clasifica documentos internos tiene implicaciones diferentes a las de uno que influye en la concesión de un crédito o que identifica una transacción como potencialmente delictiva.
Las autoridades reguladoras se inclinan cada vez más por un enfoque proporcionado. Cuanto mayor sea el impacto sobre los clientes, el capital o la estabilidad financiera, mayor deberá ser la capacidad de la entidad para explicar, poner a prueba y cuestionar el modelo.
Algunos sistemas avanzados no pueden ofrecer una descripción sencilla de todos los cálculos internos. Eso no los hace inutilizables, pero las instituciones necesitan otras formas de garantía. Entre ellas pueden figurar comprobar cómo varían los resultados cuando cambian los datos de entrada, comparar el modelo con un punto de referencia más sencillo y examinar el rendimiento en los distintos grupos de clientes.
Un gestor de riesgos debe ser capaz de explicar para qué está diseñado el modelo, qué información utiliza, en qué aspectos presenta deficiencias y en qué casos no se debe confiar en sus resultados.
La tecnología opaca no debería ser objeto de un escrutinio menos riguroso por el hecho de que su complejidad dificulte su explicación.
La dependencia de terceros se está convirtiendo en un problema sistémico
Muchas instituciones no desarrollan su infraestructura de IA íntegramente de forma interna. Recurren a proveedores de servicios en la nube, desarrolladores de modelos base, empresas especializadas en datos y proveedores de software externos.
Esto puede facilitar el acceso a una tecnología cuya creación por cuenta propia resultaría costosa. Además, concentra los servicios esenciales en un número relativamente reducido de proveedores a nivel mundial.
Si muchos bancos dependen del mismo modelo o de la misma plataforma en la nube, una interrupción del servicio, una vulnerabilidad o una actualización defectuosa podrían afectar a varias entidades al mismo tiempo. Además, los modelos similares pueden responder a la información del mercado de forma similar, lo que aumenta la posibilidad de que se produzca un comportamiento correlacionado.
Un banco sigue siendo responsable de los sistemas externalizados. Los contratos deben regular el acceso a los datos, la notificación de incidentes, los derechos de auditoría, los cambios en los modelos, los subcontratistas y el proceso de recuperación de la información cuando finalice la relación.
La institución también debería saber si puede recurrir a otro proveedor o continuar el proceso de forma interna. Un plan de salida teórico resulta insuficiente cuando el traslado de datos y la reconstrucción de las integraciones llevarían años.
¿En qué merece la pena invertir?
Es fundamental disponer de inventarios de modelos. Una institución debe saber qué sistemas de IA utiliza, dónde se emplean, a qué datos acceden y quién es el responsable de cada uno de ellos. Las herramientas no registradas que los empleados introducen de manera informal pueden generar riesgos que quedan fuera del ámbito de la supervisión oficial.
También merece la pena financiar la validación independiente. Las personas que evalúan un modelo deben tener la autoridad y los conocimientos suficientes para cuestionar al equipo que lo ha desarrollado o adquirido.
El seguimiento debe continuar tras la implementación. Es necesario revisar periódicamente la precisión, los falsos positivos, los resultados para los clientes y los incidentes operativos. Un modelo que haya superado sus pruebas iniciales puede deteriorarse a medida que cambian el comportamiento y las condiciones del mercado.
La formación de los empleados debe ir más allá de los aspectos técnicos del uso de la herramienta. El personal debe comprender los conceptos de confidencialidad, sesgo y verificación, así como saber cuándo es necesario escalar un caso.
Invertir en controles más sencillos puede, en ocasiones, aportar un mayor valor. Una mejor verificación de la identidad, gestión de accesos o conciliación de datos puede reducir el riesgo de forma más fiable que un modelo avanzado aplicado sobre unos procesos deficientes.
Lo que las instituciones deben evitar
No se debe adquirir la IA únicamente porque la utilicen los competidores. La institución necesita identificar un problema de riesgo concreto, establecer una referencia medible y explicar por qué la IA supone una mejora con respecto a un método ya consolidado.
Los sistemas de «caja negra» no deben utilizarse directamente en decisiones de gran trascendencia sin que se hayan sometido a pruebas y revisiones suficientes. Tampoco deben aceptarse las afirmaciones de un proveedor sobre el rendimiento sin que se hayan validado con los datos y las condiciones operativas de la propia institución.
Los bancos deben evitar que sus empleados introduzcan información confidencial sobre los clientes o sobre los riesgos en servicios generativos de acceso público. Las herramientas autorizadas deben contar con normas claras sobre el tratamiento de datos y restricciones técnicas, en lugar de basarse únicamente en una política escrita.
Las afirmaciones sobre una menor tasa de falsos positivos o una reducción de los costes operativos deben evaluarse teniendo en cuenta los casos no detectados, las quejas de los clientes y el trabajo adicional de revisión. Un sistema puede parecer más eficiente porque traslada los costes a otro departamento o genera errores que solo se detectan más adelante.
Y lo más importante: la IA no debe considerarse un sustituto de los profesionales con experiencia en gestión de riesgos. La tecnología puede ampliar el alcance del análisis, pero son las personas las que deben interpretar los casos excepcionales, cuestionar los resultados poco realistas y seguir siendo responsables de la decisión.
Un marco práctico para la implantación
Empieza por definir claramente un caso de uso y compara el sistema de IA con el proceso actual. Determina qué mejoras son necesarias en cuanto a precisión, velocidad, coste o detección de riesgos antes de que comience la fase piloto.
Clasifica la aplicación en función de su impacto potencial. Una herramienta interna de bajo riesgo puede requerir controles básicos, mientras que un modelo que influya en las decisiones sobre crédito, exposición al mercado o actividades sospechosas necesita una validación formal y supervisión por parte de altos cargos.
Prueba el modelo con datos representativos, incluyendo casos difíciles y períodos de tensión. Examina el rendimiento en los distintos grupos de clientes y transacciones relevantes, en lugar de basarte en una tasa de precisión media.
Introduce la revisión humana en el momento en que pueda influir de forma significativa en el resultado. Una persona de la que solo se espera que apruebe cientos de recomendaciones automatizadas no lleva a cabo una supervisión eficaz.
Establece umbrales para suspender el modelo cuando el rendimiento se deteriore, los datos dejen de ser fiables o las condiciones del mercado se salgan del rango en el que se ha probado. Mantén un proceso alternativo viable.
Por último, comunica los resultados a la alta dirección y al consejo de administración en un lenguaje que les permita plantearlos. La gobernanza fracasa cuando la IA se presenta como un tema técnico que escapa a la responsabilidad de los responsables de la toma de decisiones.
La IA puede agilizar y hacer más selectiva la gestión del riesgo financiero, especialmente en la detección de fraudes, la supervisión de transacciones, el análisis de datos y los controles operativos. También puede ocultar sesgos, generar una falsa sensación de confianza y hacer que las instituciones se concentren en los mismos proveedores y modelos. Por lo tanto, la implementación más sólida no es la más autónoma, sino aquella en la que los datos son fiables, las limitaciones son visibles y el personal cualificado conserva tanto la autoridad como la obligación de intervenir.


