Descifrando la Ley de IA de la UE y DORA: Una Perspectiva sobre el Cumplimiento
El nuevo panorama regulatorio para las entidades financieras se está transformando con la llegada de la Ley de IA de la UE y el DORA (Ley de Resiliencia Operativa Digital). Estas regulaciones están interconectadas y tienen implicaciones profundas para la gestión del riesgo relacionado con la inteligencia artificial.
Un Enfoque Basado en el Riesgo
La Ley de IA de la UE categoriza los sistemas de IA en riesgo inaceptable, alto riesgo, riesgo limitado y mínimo riesgo. La atención debe centrarse en los sistemas de alto riesgo, especialmente en el sector financiero. Estas categorías no son solo etiquetas; implican una serie de obligaciones de cumplimiento que requieren una cuantificación precisa del daño potencial.
Los reguladores europeos exigen transparencia, responsabilidad y mitigación demostrable del riesgo. Esto es crítico para los sistemas de IA que influyen directamente en la estabilidad financiera de las personas y del mercado.
Requisitos Clave para la IA de Alto Riesgo
Algunos de los requisitos más importantes incluyen:
- Gobernanza de Datos: Los datos utilizados deben ser relevantes y representativos, asegurando la calidad y la integridad de los datos.
- Documentación Técnica: Es necesario proporcionar documentación detallada sobre el diseño y el uso previsto del sistema de IA.
- Mantenimiento de Registros: Se debe mantener un rastro de auditoría de cada entrada, salida y decisión tomada por el sistema de IA.
- Transparencia: Si la IA interactúa con los clientes, se debe ser claro sobre su uso.
- Supervisión Humana: Es necesario que los humanos tengan la capacidad de intervenir y anular decisiones de IA cuando sea necesario.
- Exactitud y Ciberseguridad: La IA debe ser confiable y segura, con pruebas de vulnerabilidades y planes de respuesta ante amenazas cibernéticas.
Conexiones entre DORA y la Ley de IA de la UE
DORA se centra en la resiliencia operativa digital, lo que significa que los sistemas de IA no solo deben funcionar, sino que deben ser capaces de soportar interrupciones sin comprometer la infraestructura crítica. Las obligaciones de DORA amplifican las exigencias de la Ley de IA, creando un entorno de cumplimiento más complejo.
Algunas obligaciones específicas de DORA incluyen:
- Gestión de Riesgos ICT: Se debe demostrar un marco para identificar, proteger, detectar, responder y recuperarse de incidentes relacionados con ICT.
- Informe de Incidentes Relacionados con ICT: Se deben reportar incidentes rápidamente, con informes detallados y estandarizados.
- Pruebas de Resiliencia Operativa Digital: Los sistemas deben ser probados regularmente para asegurar su capacidad de resistir interrupciones.
- Gestión de Riesgos de Terceros: Si se depende de proveedores de IA de terceros, se debe asegurar que cumplen con los estándares de DORA.
Orientación Práctica para la Implementación
Para demostrar que no solo se está cumpliendo con una lista de verificación de cumplimiento, se debe adoptar un enfoque basado en datos. Utilizar un marco como FAIR AIR permite cuantificar el riesgo financiero real de los sistemas de IA y de la gobernanza de datos.
Por ejemplo, en el caso de un proveedor de almacenamiento de datos que utiliza IA, es crucial demostrar a los reguladores el impacto financiero potencial de sesgos en los algoritmos o de violaciones de datos. Este enfoque basado en datos es fundamental para negociar y gestionar los riesgos de manera efectiva.
Conclusión
Las regulaciones de la Ley de IA de la UE y DORA representan un desafío significativo para las organizaciones en el sector financiero. La clave está en adoptar un enfoque proactivo, que no solo cumpla con las regulaciones, sino que proteja la estabilidad financiera y la confianza del cliente. Es hora de dejar de lado las evaluaciones de riesgo vagues y comenzar a hablar el idioma de la finanza: el de los números.
