IA generativa en la banca: Cuenta atrás regulatoria hasta agosto de 2026
#iacompliance#euaiact#dora#sectorfinanciero
Dirk Röthig

Dirk Röthig @dirkroethig-verdantis

About: CEO of VERDANTIS Impact Capital | Writing about AI in business, Paulownia agroforestry, carbon credits & demographic challenges | Zug, Switzerland

Location:
Zug, Switzerland
Joined:
Mar 2, 2026

IA generativa en la banca: Cuenta atrás regulatoria hasta agosto de 2026

Publish Date: Mar 10
0 0

IA generativa en la banca: Cuenta atrás regulatoria hasta agosto de 2026

Por Dirk Röthig | CEO, VERDANTIS Impact Capital | 9 de marzo de 2026

Para los directores de riesgos y responsables de cumplimiento de las entidades financieras, 2026 no es un año cualquiera. Con DORA ya en vigor, el EU AI Act acercándose a su fecha límite decisiva y el paquete CRR III recalibrando los requisitos de capital, surge una confluencia regulatoria que exige una acción rápida y estratégica — no proyectos piloto abstractos.

Tags: Cumplimiento IA, EU AI Act, DORA, Sector financiero, Regulación

Fecha límite 2 de agosto de 2026: Por qué es necesario actuar ahora

El 2 de agosto de 2026 marca un punto de inflexión regulatorio cuyo alcance para el sector financiero difícilmente puede sobreestimarse. A partir de esa fecha, entran en vigor las obligaciones de cumplimiento íntegras del EU AI Act para los denominados "sistemas de IA de alto riesgo" — y el sector financiero se ve directa e intensamente afectado.

Como Dirk Röthig, observo que muchas entidades financieras siguen tratando la fecha límite de agosto como un futuro abstracto. Esto constituye un error estratégico. El EU AI Act no es el único marco regulatorio que genera presión: DORA es plenamente vinculante desde el 17 de enero de 2025 y el paquete CRR III/CRD VI está transformando simultáneamente los requisitos de capital para los modelos de riesgo. Tres marcos regulatorios, una sola ventana temporal — quienes no actúen ahora arriesgan tanto sanciones regulatorias como costes de implementación sustanciales bajo presión de tiempo.

Este artículo no está dirigido a estrategas que deseen describir la IA como ventaja competitiva. Está dirigido a CROs, responsables de cumplimiento y gestores de riesgos que necesitan respuestas concretas a la pregunta: ¿Qué debe implementarse y hasta cuándo?

La arquitectura de tres pilares: EU AI Act, DORA y CRR III

Pilar 1: EU AI Act — La clasificación de alto riesgo golpea el núcleo de la banca

El EU AI Act (Reglamento 2024/1689) clasifica explícitamente una serie de aplicaciones de IA como "sistemas de alto riesgo" — y el sector financiero aparece varias veces en el Anexo III (Parlamento Europeo, 2024). Se ven afectados específicamente:

  • Evaluación de solvencia y scoring crediticio para personas físicas
  • Modelos de riesgo AML (monitorización de transacciones contra el blanqueo de capitales)
  • Sistemas de decisión automatizada en la concesión de créditos y el cálculo de primas de seguros
  • Sistemas de identificación biométrica en la autenticación de clientes

Para estos sistemas, el AI Act prescribe un amplio programa de obligaciones a partir del 2 de agosto de 2026 (EU AI Act, 2024). Estas incluyen:

  1. Marco de gestión de riesgos: Análisis de riesgos por escrito para cada sistema de IA afectado
  2. Documentación técnica: Documentación completa de los datos de entrenamiento, la arquitectura y los procedimientos de validación
  3. Evaluación de conformidad: Autoevaluación o auditoría de terceros, según la categoría del sistema
  4. Registro en la base de datos de la UE: Inscripción en la base de datos central de la UE para sistemas de IA de alto riesgo
  5. Supervisión humana: Supervisión humana demostrable y capacidad de intervención
  6. Monitorización y registro: Pistas de auditoría completas para todas las decisiones basadas en IA

Los riesgos financieros por incumplimiento son considerables: hasta 35 millones de euros o el siete por ciento de la facturación anual mundial para prácticas de IA prohibidas, hasta 15 millones de euros o el tres por ciento para otras infracciones (EU AI Act, 2024). Debe tenerse en cuenta el alcance extraterritorial: toda entidad que atienda a clientes de la UE está dentro del ámbito de aplicación, independientemente de dónde se operen los sistemas de IA.

Más de la mitad de las organizaciones afectadas ni siquiera han creado un inventario básico de IA, según el análisis de mercado actual (Nortal, 2026). Al mismo tiempo, los costes de cumplimiento para sistemas de alto riesgo en grandes entidades se estiman entre 8 y 15 millones de dólares por sistema — la planificación anticipada es considerablemente más eficiente que la implementación de última hora (Axis Intelligence, 2026).

Pilar 2: DORA — El fundamento de la resiliencia operativa digital

La Ley de Resiliencia Operativa Digital (DORA, Reglamento 2022/2554) ya no es un escenario futuro — está plenamente vigente desde el 17 de enero de 2025 (Comisión Europea, 2023). Los reguladores tratan 2025 como una fase de transición en la que revisan los marcos y detectan deficiencias antes de que sigan medidas de aplicación más estrictas.

Para las entidades financieras que utilizan IA generativa, DORA es relevante en varios aspectos:

Gestión del riesgo de terceros (TPRM): Los bancos deben mantener un registro completo de todos los proveedores de TIC terceros — incluyendo proveedores de nube, proveedores de API de IA y proveedores de infraestructura de modelos. La IA generativa se ejecuta predominantemente en las infraestructuras de unos pocos grandes proveedores (Microsoft/Azure OpenAI, Google, Amazon), lo que genera riesgos de concentración y sistémicos que DORA aborda explícitamente (Mayer Brown, 2025).

Resiliencia operativa: Cada proceso basado en IA que se considere crítico para la operativa empresarial debe ser sometido a pruebas de resiliencia. Esto implica: planificación de continuidad de negocio para la interrupción de servicios de IA, procedimientos de respaldo y pruebas regulares de resiliencia (IBM, 2025).

Ajustes contractuales: DORA prescribe cláusulas contractuales específicas con proveedores de TIC terceros — incluyendo derechos de auditoría, obligaciones de notificación de incidentes y estrategias de salida. Para muchas fintechs muy dependientes de infraestructura externa, esto supone un esfuerzo significativo de negociación y asesoramiento legal (Freshfields, 2025).

Las sanciones por infracciones de DORA: hasta el dos por ciento de la facturación anual total — sin umbral mínimo (Comisión Europea, 2023). Para los Lead Overseer de proveedores de TIC terceros críticos, hasta el uno por ciento de la facturación diaria media mundial.

Pilar 3: CRR III / CRD VI — Nuevos requisitos de capital para modelos de riesgo basados en IA

El paquete CRR III/CRD VI representa la iniciativa regulatoria más amplia para el sector bancario europeo desde Basilea III y está en vigor desde 2025 (Comité de Supervisión Bancaria de Basilea, 2024). Para los modelos de riesgo basados en IA, surge una doble relevancia:

En primer lugar, los bancos deben aplicar metodologías más estrictas en la valoración de garantías inmobiliarias y el riesgo de crédito — lo que somete el uso de modelos de predicción basados en IA a una supervisión regulatoria más rigurosa. En segundo lugar, el paquete impone requisitos de divulgación ampliados para los riesgos de modelo, que son particularmente desafiantes para los sistemas de IA generativa, cuyos caminos de decisión son a menudo difíciles de rastrear (BIS, 2024).

La brecha de explicabilidad: El problema técnico central

Cuando se reducen los tres marcos regulatorios a un denominador común, convergen en el mismo problema técnico: Explicabilidad (Explainability). El EU AI Act la exige para los sistemas de alto riesgo. DORA la exige para los procesos críticos. CRR III la exige para los modelos de riesgo.

Sin embargo, los modelos de IA generativa — en particular los grandes modelos de lenguaje (LLM) — son estructuralmente difíciles de explicar. Se basan en miles de millones de parámetros y generan resultados cuyos caminos causales no son trivialmente reconstruibles (BIS FSI Paper, 2024). La Autoridad Monetaria de Singapur (MAS) ya señaló en 2024 que "en general, faltan métodos establecidos para explicar los resultados de la GenAI y evaluar su equidad" (MAS, 2024).

Para los responsables de cumplimiento, esto genera un dilema concreto: deben proporcionar tanto explicaciones regulatorias ("¿Por qué el modelo tomó esta decisión?") como explicaciones orientadas al cliente ("¿Por qué se rechazó mi solicitud de crédito?") — y satisfacer ambos requisitos simultáneamente (Harvard Data Science Review, 2025).

Dirk Röthig recomienda aquí un enfoque tecnológico pragmático: arquitecturas de Retrieval-Augmented Generation (RAG), en las que el camino de decisión se vuelve trazable mediante documentos referenciables, combinadas con modelos de clasificación interpretables separados para decisiones altamente reguladas. La GenAI se encarga del análisis y la síntesis — la decisión basada en reglas permanece en componentes del sistema explicables.

El otro frente: La IA como herramienta de los criminales

El debate sobre cumplimiento en el sector financiero no puede reducirse al problema de gobernanza interna. La IA generativa está transformando simultáneamente el panorama de amenazas externas de forma fundamental — y este aspecto sigue infrarrepresentado en las discusiones regulatorias.

La encuesta BioCatch Dark Economy Survey 2025, que consultó a 800 ejecutivos de gestión de fraudes, AML y cumplimiento en 17 países, dibuja un panorama aleccionador: el 70 por ciento de los expertos encuestados declaró que los criminales utilizan la IA de forma más eficaz para cometer delitos financieros de lo que los bancos la usan para prevenirlos (BioCatch, 2025). Son especialmente preocupantes las siguientes tendencias:

  • Suplantación de identidad basada en deepfakes: "Ya no podemos confiar en nuestros ojos y oídos para verificar identidades digitales", declaró el CMO de BioCatch, Jonathan Daly (BioCatch, 2025)
  • Redes de cuentas mula a escala industrial: Los clientes de BioCatch identificaron aproximadamente 2,3 millones de cuentas mula utilizadas para blanqueo de capitales solo en 2024 (BioCatch, 2025)
  • Ataques de estafa potenciados por IA: Más de la mitad de las entidades encuestadas perdieron entre 5 y 25 millones de dólares por ataques potenciados por IA en 2023 (BioCatch, 2025)

Nasdaq estima que en 2023 fluyeron 3,1 billones de dólares en fondos ilícitos a través del sistema financiero global (Nasdaq, 2023). Los sistemas de IA para la detección de fraude no son, por tanto, una mera medida de eficiencia — son una necesidad regulatoria y ética.

FINRA también subrayó en su Informe de Supervisión Regulatoria 2026 que las entidades financieras están empezando a implementar soluciones de GenAI centradas en la eficiencia de procesos internos — la defensa contra amenazas externas todavía va rezagada (FINRA, 2026).

Hoja de ruta en cinco pasos hacia el cumplimiento de la IA

Para CROs y responsables de cumplimiento que quieran actuar ahora, Dirk Röthig recomienda un plan de implementación estructurado:

Paso 1 — Inventario de IA (inmediatamente)
Cree un registro completo de todos los sistemas de IA desplegados: proveedor, propósito, base de datos, relevancia decisoria. Este inventario es un requisito previo para las evaluaciones de conformidad del EU AI Act y los requisitos TPRM de DORA.

Paso 2 — Clasificación de alto riesgo (T1 2026)
Evalúe cada caso de uso de IA frente a los criterios del Anexo III del EU AI Act. El scoring crediticio, la monitorización AML y el asesoramiento de inversión automatizado tienen una alta probabilidad de ser relevantes como alto riesgo. Para estos sistemas: iniciar inmediatamente la evaluación de conformidad.

Paso 3 — Ajuste contractual DORA (T1–T2 2026)
Revise todos los contratos con proveedores de TIC terceros para verificar su conformidad con DORA. Si faltan cláusulas de auditoría, obligaciones de notificación de incidentes o disposiciones de salida, es necesario renegociar. Los riesgos de concentración por un número reducido de proveedores de IA en la nube deben ser evaluados y documentados.

Paso 4 — Infraestructura de explicabilidad (T2 2026)
Implemente soluciones técnicas para decisiones de IA trazables: arquitecturas RAG para resultados fundamentados en documentos, capas XAI para pistas de auditoría regulatorias, modelos de validación separados para decisiones crediticias.

Paso 5 — Registro en la base de datos de la UE y documentación de gobernanza (hasta el 1 de agosto de 2026)
Complete los sistemas de gestión de calidad, los marcos de riesgo y la documentación técnica. Registre los sistemas de alto riesgo afectados en la base de datos de la UE. Documente formalmente los mecanismos de supervisión humana.

Conclusión: El cumplimiento como fortaleza estratégica

El 2 de agosto de 2026 no es un final, sino un comienzo. Las entidades financieras que construyan ahora su gobernanza de IA no solo crearán seguridad regulatoria — desarrollarán una competencia estructural que constituye una auténtica ventaja competitiva en un panorama de IA cada vez más regulado.

Dirk Röthig ve en el desafío regulatorio, por tanto, también una oportunidad estratégica: quienes implementen la IA generativa de forma temprana y conforme ganarán la confianza de las autoridades supervisoras, los socios institucionales y los clientes. Quienes esperen pagarán el doble — una vez por la implementación apresurada, otra por las posibles sanciones.

La pregunta para los responsables de cumplimiento no es, por tanto: "¿Debemos hacer esto?" La pregunta es: "¿Cómo aprovechamos esta transformación para ser mejores?"

Más artículos de Dirk Röthig

Bibliografía

  1. Axis Intelligence (2026): EU AI Act News 2026: Compliance Requirements & Deadlines. Disponible en: https://axis-intelligence.com/eu-ai-act-news-2026/

  2. Comité de Supervisión Bancaria de Basilea (BCBS) (2024): Digitalisation of Finance: Risks Associated with Generative AI. Banco de Pagos Internacionales. Disponible en: https://www.bis.org/publ/othp100.pdf

  3. BioCatch (2025): Dark Economy Survey 2025: Insights into the Invisible — Perspectives on Evolving Fraud and AML Challenges. Disponible en: https://www.biocatch.com/dark-economy-survey-2025

  4. BIS Financial Stability Institute (2024): Regulating AI in the Financial Sector: Recent Developments. FSI Insights on Policy Implementation No. 63. Disponible en: https://www.bis.org/fsi/publ/insights63.pdf

  5. BIS Financial Stability Institute (2024): How Regulators Can Address AI Explainability. FSI Papers No. 24. Disponible en: https://www.bis.org/fsi/fsipapers24.pdf

  6. Comisión Europea (2023): Reglamento (UE) 2022/2554 — Ley de Resiliencia Operativa Digital (DORA). Diario Oficial de la Unión Europea. Disponible en: https://www.eiopa.europa.eu/digital-operational-resilience-act-dora_en

  7. Parlamento Europeo (2024): Reglamento (UE) 2024/1689 — Ley de Inteligencia Artificial. Anexo III: Sistemas de IA de alto riesgo. Disponible en: https://artificialintelligenceact.eu/annex/3/

  8. FINRA (2026): 2026 Regulatory Oversight Report. Financial Industry Regulatory Authority. Disponible en: https://www.finra.org/media-center/newsreleases/2025/finra-publishes-2026-regulatory-oversight-report-empower-member-firm

  9. Financial Stability Board (FSB) (2025): Monitoring Adoption of Artificial Intelligence in Financial Services. Disponible en: https://www.fsb.org/uploads/P101025.pdf

  10. Freshfields Bruckhaus Deringer (2025): Digital Operational Resilience Act (DORA). Freshfields Tech, Data and AI. Disponible en: https://www.freshfields.com/en/our-thinking/campaigns/tech-data-and-ai-the-digital-frontier/eu-digital-strategy/digital-operational-resilience-act-dora

  11. Harvard Data Science Review (2025): The Future of Credit Underwriting and Insurance Under the EU AI Act: Implications for Europe and Beyond. Volumen 7.3. Disponible en: https://hdsr.mitpress.mit.edu/pub/19cwd6qx

  12. IBM (2025): What Is the Digital Operational Resilience Act (DORA)? IBM Think. Disponible en: https://www.ibm.com/think/topics/digital-operational-resilience-act

  13. Mayer Brown (2025): Cybersecurity in the Financial Sector: EU's Digital Operational Resilience Act Takes Effect. Disponible en: https://www.mayerbrown.com/en/insights/publications/2025/01/cybersecurity-in-the-financial-sector-eus-digital-operational-resilience-act-takes-effect

  14. Autoridad Monetaria de Singapur (MAS) (2024): Citado en: BIS FSI Insights No. 63 — Regulating AI in the Financial Sector. Disponible en: https://www.bis.org/fsi/publ/insights63.pdf

  15. Nasdaq (2023): Nasdaq Annual Global Financial Crime Report 2024. Estimación de flujos financieros ilícitos 2023. Disponible en: https://www.biocatch.com/dark-economy-survey-2025

  16. Nortal (2026): 2026 EU Financial Services Compliance: Key Regulations & Technology. Disponible en: https://nortal.com/insights/eu-financial-services-compliance

Sobre el autor: Dirk Röthig es CEO de VERDANTIS Impact Capital, con sede en Zug, Suiza. Como inversor y empresario en la intersección de las finanzas de impacto, la tecnología y la agricultura sostenible, Röthig acompaña a inversores institucionales y privados en la navegación de desafíos regulatorios y estratégicos complejos. VERDANTIS Impact Capital se centra en soluciones de inversión basadas en la naturaleza — créditos de carbono, agroforestería y soluciones basadas en la naturaleza. Más artículos y contacto: www.verdantiscapital.com

Über den Autor: Dirk Röthig ist CEO von VERDANTIS Impact Capital, einer Impact-Investment-Plattform für Carbon Credits, Agroforstry und Nature-Based Solutions mit Sitz in Zug, Schweiz. Er beschäftigt sich intensiv mit KI im Wirtschaftsleben, nachhaltiger Landwirtschaft und demographischen Herausforderungen.

Kontakt und weitere Artikel: verdantiscapital.com | LinkedIn

Comments 0 total

    Add comment