Libera tu mente y alcanza tus metas
Nuevo impacto normativo para banca y seguros, llega el RIA, el nuevo reglamento de IA.
General
Nuevo impacto normativo para banca y seguros, llega el RIA, el nuevo reglamento de IA.

Cuando los responsables de las organizaciones financieras y de seguros podían dar por concluida la implementación del marco de gestión de DORA en sus negocios, un nuevo marco regulatorio ha impactado en su operativa: el Reglamento de Inteligencia Artificial (RIA). Y es que no se puede afirmar que la adopción de la inteligencia artificial en […]

La entrada Nuevo impacto normativo para banca y seguros, llega el RIA, el nuevo reglamento de IA. aparece primero en Security Art Work.

General

Nuevo impacto normativo para banca y seguros, llega el RIA, el nuevo reglamento de IA.

Cuando los responsables de las organizaciones financieras y de seguros podían dar por concluida la implementación del marco de gestión de DORA en sus negocios, un nuevo marco regulatorio ha impactado en su operativa: el Reglamento de Inteligencia Artificial (RIA).

Y es que no se puede afirmar que la adopción de la inteligencia artificial en el sector bancario y de seguros sea puntual o superficial, si no que está transformando el núcleo de sus modelos de negocio.

En ambos sectores, la IA se está despegando en multitud de procesos internos y en la relación con sus clientes, en concreto en la banca es un componente central en áreas críticas como el scoring y concesión de crédito, ya que son los algoritmos los que analizan las variables financieras y de comportamiento para evaluar la solvencia de clientes con gran precisión, o en la prevención del fraude a través de la detección en tiempo real de transacciones sospechosas mediante análisis de patrones, identificación de anomalías y correlación de datos.

Mientras que el sector asegurador aprovecha la IA en la suscripción y tarificación dinámica, esta es capaz de analizar grandes volúmenes de datos (historial médico, hábitos de conducción, IoT en hogares y vehículos, etc.) para personalizar primas. Aplicándola también a uno de sus procesos más importantes como es la gestión de siniestros, automatizando la recepción, validación y tramitación de reclamaciones, incluyendo el análisis de documentos, imágenes y vídeos para estimar los daños.

Por lo tanto estos sectores se están viendo impactados de pleno por la entrada en vigor del el RIA el pasado 1 de agosto de 2025.

NUEVAS OBLIGACIONES PARA GESTIONAR NUEVOS RIESGOS

El RIA añade una capa regulatoria que obliga a las empresas ya sujetas a DORA a extender su marco de gestión de riesgos TIC hacia aspectos específicos de la IA, en concreto afecta a la calidad y gobernanza de los datos, incluye la necesidad de supervisión humana, impone prohibiciones de prácticas y hace obligatoria trazabilidad técnica de los procesos y las evaluaciones del impacto de la IA.

La clave para las organizaciones sometidas a la aplicación de DORA será integrar ambos marcos en un único sistema de gestión de riesgos tecnológicos y de resiliencia digital, evitando duplicidades pero asegurando que la organización puede demostrar su cumplimiento, tanto frente a supervisores financieros (DORA) como frente a autoridades reguladoras de los mercados y de protección de datos (IA).

Las principales exigencias del RIA que deberán integrarse en la gestión del marco de DORA serán:

  1. La gobernanza de competencias internas: el RIA impone que las empresas evalúen sus capacidades en IA, desarrollen planes de formación, sensibilización y acreditación de competencias, documentando todo el proceso.

En este punto la conexión con DORA es clara, está ultima exige a las entidades disponer de personal capacitado en gestión de riesgos, ahora además deberá estar capacitado para incorporar la IA a las operativas de la organización.

  • Prohibición de prácticas de IA: el RIA exige adoptar políticas internas que impidan el desarrollo o uso de sistemas prohibidos, como el social scoring o la manipulación subliminal.
  • Gestión de riesgos específica para IA: los sistemas de alto riesgos deberán someterse a un ciclo continuo de identificación análisis, tratamiento y monitorización de riesgos, con pruebas antes de su puesta en operación.

De modo que, en el caso de uso de estos sistemas de alto riesgo, se producirá una convergencia natural con los requisitos de gestión de riesgo de DORA, de modo que podrán abordarse poniendo en marcha su propio marco de gestión de riesgos.

  • Gobernanza de datos y ciberseguridad: el RIA impone estándares de calidad y gestión de datos para entrenamiento, validación y testeo, así como medidas técnicas y organizativas de protección de datos personales y de resiliencia frente a ciberataques.

Para las entidades sujetas a DORA, esto amplía los requisitos de seguridad TIC, pues se deberán acreditar no sola la protección de los sistemas, sino también la trazabilidad y robustez de los conjuntos de datos.

  • Documentación, trazabilidad y auditoría: antes de la puesta en marcha de sistemas de alto riesgo deberá existir una documentación técnica completa, registros automáticos de las actividades conservados durante al menos 6 meses, manuales de uso accesibles y actualizados, y reportes de prueba y validaciones.

Toda esta obligación de documentar no se puede realizar de forma separada al marco documental integrado ya exigido por DORA y que es vital para las auditorias de terceros y para rendir cuentas ante las autoridades competentes.

  • Supervisión humana y responsabilidad operativa: el RIA establece que los sistemas de alto riesgo no podrán operar sin supervisión humana cualificada en determinados casos. Además, los operadores tendrán deberes de uso conforme a la documentación, de supervisión continua, de gestión de incidencias y notificación de anomalías a proveedores, distribuidores y autoridades.

En este caso las obligaciones superan con mucho el marco de gestión de riesgos de DORA que únicamente contempla la obligación de gestión de incidencias de ciberseguridad y notificación a las autoridades.

  • Evaluaciones de impacto: en algunos casos, además de las evaluaciones de impacto en protección de datos (EIPD bajo el RGPD), se requerirá una evaluación específica de impactos sobre derechos fundamentales antes de la puesta en operación de sistemas de alto riesgo.

BANCA Y SEGUROS: ALTO RIESGO Y DIFERENTES ROLES

Podría pensarse que el RIA solo supone la inclusión de nuevos riesgos en el marco de gestión de DORA y que adaptando algunos procesos o incorporando medidas específicas en algunos casos su cumplimiento está garantizado, pero su impacto no acaba aquí.

Para las entidades financieras y aseguradoras entender si los sistemas de IA que usan entran en la categoría más exigente del RIA, esto es si son sistemas de alto riesgo, es vital a la hora de identificar sus responsabilidades.

El Reglamento de IA establece que un sistema será de alto riesgo cuando esté incluido en el Anexo III del Reglamento, que recoge usos de IA considerados de alto impacto en derechos fundamentales, seguridad o acceso a servicios esenciales. En concreto cuando el Anexo menciona expresamente el Acceso a servicios esenciales privados y públicos, se refiere a los sistemas que:

  • Evalúen la solvencia crediticia o determinen la elegibilidad para créditos.
  • Determinen primas, suscripción o aceptación de seguros de vida y salud.
  • Influyan en la toma de decisiones que afectan a derechos económicos o sociales de las personas.

Por lo tanto los sistemas de scoring crediticio y concesión de préstamos, los modelos de prevención de blanqueo de capitales (si implican decisiones automáticas que restringen acceso a servicios financieros) y los robo-advisors y sistemas de gestión patrimonial (cuando sus decisiones impacten en derechos financieros de clientes) utilizados en el sector bancario son considerados de alto riesgo.

Mientras que la suscripción y tarificación dinámica en seguros de vida y salud, los sistemas de detección de fraude en siniestros (si determinan automáticamente la aceptación o denegación de una reclamación) y la gestión de siniestros automatizada (cuando las decisiones automatizadas afecten a las indemnizaciones económicas o provoquen rechazos de cobertura de las pólizas), son ejemplos de sistemas de alto riesgo.

De este modo los bancos y aseguradoras deberán cumplir el marco más restrictivo del RIA, que despliega múltiples obligaciones dependiendo de los roles que estos desempeñen en el uso y adopción de estos sistemas de alto riesgo.

ESCENARIOS DE ALTO RIESGO Y CUMPLIMIENTO DE DORA

Teniendo en cuenta que el RIA y DORA se superponen como marcos regulatorios que afectan al sector bancario y de seguros, podemos analizar varios escenarios de alto riesgo que suponen que las entidades bancarias en este caso, deben revisar su marco de control de riesgos para poder extenderlo y cumplir así con todas sus obligaciones

Por ejemplo cuando un banco adquiera un sistema de scoring crediticio de un proveedor externo que utilice IA y lo utilice internamente para evaluar solicitudes de prestamos actuará como un operador de alto riesgo lo que supone que además de la monitorización continua del sistema, el reporte de incidentes al proveedor y autoridades y la conservación de logs que ya realiza en cumplimiento de DORA deba añadir además que garantiza que el componente de IA se usará conforme al manual y límites establecidos por el proveedor, deberá asegurar supervisión humana cualificada y deberá controlar de calidad de datos de entrada, así como informar a sus empleados y clientes afectados.

Por lo tanto actuar como un operador de alto riesgo supone para la entidad crediticia nuevas obligaciones que exceden el marco de gestión de riesgos implementado en aplicación de DORA.

Otro ejemplo de un escenario de alto riesgo para el banco sería la importación de un sistema de biometría que usase IA para el onboarding digital de clientes y en concreto para la verificando su identidad. En este caso el banco actuaría como importador de alto riesgo debiendo garantizar que el sistema cuenta con la declaración de conformidad, documentación técnica y marcado CE. En este caso la importación se superpone a la obligación de evaluar a proveedores de DORA, ya que la entidad no solo debería evaluar a este tercero, sino que asumiría directamente la responsabilidad del cumplimiento regulatorio en la Unión Europea, lo cual eleva sustancialmente el nivel de riesgo operacional.

NUEVOS TIEMPOS

En conclusión podemos afirmar que la mejor estrategia para gestionar la llegada del RIA a las actividades de bancos y aseguradoras es analizar los componentes de IA que utilizan las organizaciones, identificar el papel que desempeñan y todas las obligaciones que conlleva y adaptar el marco de gestión de riesgos a la nueva realidad incrementando el nivel de responsabilidad operativa y regulatoria en la adopción de tecnologías de IA.

No bastará con modificar algunos controles implantando para cumplir con DORA, la mera ampliación de su marco de gestión de riesgos puede ser insuficiente, se debe ir más allá integrando exigencias específicas de gobernanza de datos, trazabilidad, supervisión humana, documentación técnica y evaluaciones de impacto en derechos fundamentales.

La entrada Nuevo impacto normativo para banca y seguros, llega el RIA, el nuevo reglamento de IA. aparece primero en Security Art Work.