Las Regulaciones de la UE No Están Preparadas para Incidentes de IA Multi-Agente
En agosto de este año, las directrices de la Comisión Europea para el Artículo 73 de la Ley de IA de la UE entrarán en vigor. Estas directrices obligan a los implementadores y proveedores a reportar incidentes graves relacionados con sistemas de IA en entornos de alto riesgo, como la infraestructura crítica.
Este es un lanzamiento oportuno. Se ha advertido que este puede ser uno de los últimos años en los que aún podemos prevenir un desastre de IA, tal como lo define la OCDE. La escala y el crecimiento de los incidentes que estamos presenciando ya son preocupantes.
¿Es la regulación que estamos desarrollando adecuada?
Como hemos expresado en nuestra reciente presentación a la consulta de la Comisión sobre el borrador de las directrices y la plantilla de reporte sobre incidentes graves de IA, el borrador ya contiene una preocupante laguna que debe ser abordada. Se centra en fallos de un solo agente y de una sola ocurrencia, y asume un mapa de causalidad simplista para los incidentes relacionados con IA. Sin embargo, algunos de los riesgos más serios ya están surgiendo de las interacciones entre sistemas de IA, donde múltiples ocurrencias pueden llevar a efectos en cascada y acumulativos.
Un marco de reporte de incidentes que asegure la responsabilidad por estos nuevos riesgos debe ser parte de la implementación de la Ley de IA de la UE. Con las directrices del Artículo 73 establecidas para volverse vinculantes en agosto, el tiempo se está agotando para que la Comisión Europea incorpore estos cambios.
No todos los incidentes serán causados por un solo agente
La redacción actual de las directrices del Artículo 73 asume que solo un sistema contribuirá a un incidente de alto riesgo. Sin embargo, los sistemas de IA están volviéndose más agentes: capaces de razonamiento complejo, descomposición de objetivos y acción proactiva sin intervención humana continua. Una vez desplegados, es probable que interactúen con otros agentes de IA y usuarios, lo que lleva a dependencias complejas. En tales casos, asignar un solo culpable en un incidente se convierte en un enfoque obsoleto.
Por ejemplo, cuando los algoritmos de precios en el mercado de combustibles de un país comenzaron a reaccionar entre sí, los precios aumentaron sin ninguna coordinación explícita. Este resultado, conocido como colusión algorítmica, ilustra la brecha de responsabilidad más amplia en las regulaciones actuales.
No todos los incidentes derivarán de una sola ocurrencia
Cuando los sistemas de trading automatizados reaccionaron entre sí durante el «Flash Crash» de 2010, los precios del mercado colapsaron en casi un billón de dólares en minutos. Este ejemplo ilustra cómo los incidentes relacionados con la IA pueden surgir de múltiples interacciones rápidas entre sistemas en lugar de una sola ocurrencia.
Los incidentes acumulativos también deben ser abordados por la regulación. Un reciente ataque cibernético realizado con agentes de IA dirigidos a industrias críticas mostró cómo tareas aparentemente inocuas pueden acumularse para causar un daño significativo.
Los incidentes multi-agente amenazan nuestros intereses colectivos
Las lagunas actuales en el borrador de las directrices del Artículo 73 crean ambigüedad legal en la responsabilidad y exponen daños que se extienden más allá de los usuarios individuales. Los aseguradores ya se protegen, excluyendo la cobertura para responsabilidades relacionadas con la IA causadas por riesgos sistémicos.
A medida que los gobiernos despliegan sistemas de IA para pronosticar tendencias económicas, los errores pueden afectar a poblaciones enteras. Esos intereses colectivos, incluida la protección del medio ambiente y la salud pública, son precisamente lo que busca proteger el Artículo 73, pero su enmarcación actual no captura cómo las interacciones multi-agente pueden erosionar estos intereses.
Faltan mecanismos de reporte de terceros
Dada la naturaleza de alto riesgo y difusa de estos incidentes multi-agente, la importancia de mecanismos de reporte confidenciales es innegable. Las directrices del Artículo 73 no proporcionan caminos estructurados para el reporte de terceros y denunciantes. Esto es crítico para abordar incidentes que son complejos y pueden permanecer ocultos.
Es hora de cerrar la brecha
El borrador de las directrices del Artículo 73 revela una alarmante falta de preparación para regular sistemas de IA agentivos. A partir de agosto de 2026, estas directrices serán legalmente vinculantes y, como están redactadas actualmente, no nos proporcionan herramientas para asignar responsabilidad por incidentes multi-agente y prevenir daños acumulativos a nuestros intereses colectivos.
Es fundamental que la Comisión Europea amplíe su comprensión y respuesta a los incidentes relacionados con la IA, comenzando con una definición más realista de daño. Los incidentes reportables no deben limitarse a fallos aislados, sino incluir descomposiciones que surgen cuando los sistemas de IA interactúan entre sí, a menudo de maneras impredecibles y acumulativas.
