La Unión Europea no es ajena a la revolución en materia de inteligencia artificial (IA) que viene acompañándonos en nuestro día a día desde hace ya tiempo. Por ello, desde los organismos comunitarios, se viene trabajando en una regulación pionera a nivel mundial y que pretende marcar la senda de actuación ante diferentes "sistemas de IA". La regulación en torno a esta tecnología ha sido un tema de debate en la UE durante los últimos años, con el objetivo de proteger a los consumidores y fomentar la innovación.
El resultado ha sido el Reglamento (UE) 2024/1689 por el que se establecen normas armonizadas en materia de inteligencia artificial y el nuevo acto de Inteligencia Artificial que lo acompaña.
Estos documentos definen las normas y áreas de aplicación de la regulación, pero aún no especifican las medidas a nivel sectorial para los sistemas de 'Alto Riesgo', que serán definidas por los organismos reguladores específicos, como la Autoridad Bancaria Europea (EBA por sus siglas en ingles) o el Banco Central Europeo, entre otras.
A efectos de modelos bancarios, como los usados en riesgo de crédito, las definiciones se han ampliado desde los primeros borradores de la normativa y ahora se incluyen de forma explícita entre los sistemas de "alto riesgo", tal y como se indica en el punto 58 del reglamento (UE) 2024/1689 siempre y cuando impliquen "evaluar la calificación crediticia o solvencia de las personas físicas", considerando que "los sistemas de IA previstos por el Derecho de la Unión con vistas a detectar fraudes en la oferta de servicios financieros y, a efectos prudenciales, para calcular los requisitos de capital de las Entidades de crédito y las empresas de seguros no deben considerarse de alto riesgo en virtud del presente Reglamento".
Tras estas modificaciones, el foco se sitúa en las personas físicas y los posibles sesgos introducidos por un modelo de cara a su acceso a recursos financieros y servicios esenciales; no estando definido el alcance y los requisitos finalmente aplicables para los modelos equivalentes que conciernen a las personas jurídicas. En este sentido, quedarían fuera de alcance de la definición de "alto riesgo" los modelos de parámetros como PD, LGD o EAD.
En cualquier caso, cuando acudimos al art.3, punto 1, que establece las definiciones del reglamento, vemos que la definición de sistema de IA podría no estar alineada con lo que es un modelo de calificación: "un sistema basado en una máquina que está diseñado para funcionar con distintos niveles de autonomía y que puede mostrar capacidad de adaptación tras el despliegue, y que, para objetivos explícitos o implícitos, infiere de la información de entrada que recibe la manera de generar resultados de salida, como predicciones, contenidos, recomendaciones o decisiones, que pueden influir en entornos físicos o virtuales." Los modelos de puntuación usados en la actualidad por las Entidades para evaluar la calidad crediticia de los clientes no presentan la autonomía, adaptación y naturaleza definida en dicho artículo bajo nuestro criterio, pero tal y como están discutiendo los expertos y debatiendo en comisiones (en el podcast de la EU enlazado se comenta esto), dicha definición es un tema de discusión aún abierto y tendrá un aterrizaje definitivo una vez se establezcan guías específicas de ámbito bancario (EBA, BCE).
Los requisitos reflejados en la norma son de carácter generalista, sin un foco sectorial adaptado, y los modelos en el entorno bancario, gracias a la extensa regulación del Banco Central Europeo y la Autoridad Bancaria Europea, ya cubren de por si una gran cantidad de requisitos en materia de gestión del riesgo. En el texto de la Comisión se introduce la realización de un cuestionario de autoevaluación de los sistemas de IA existentes en el entorno de la compañía y la notificación y transparencia respecto a una oficina de IA de la UE.
La consideración de ciertos modelos como sistemas de IA, conllevará en la práctica la incorporación de consideraciones adicionales en el trabajo de las Entidades que, en su mayor caso, vendrán a ampliar o referenciar los trabajos que ya se vienen realizando, complementando el enfoque de riesgos ya presente en el sector bancario.
Finalmente, en materia de plazos de adopción de la norma, las ventanas de aplicación de la regulación son bastante amplias en este momento, resumidas en el art.113.
En el caso que nos ocupa y respecto a las obligaciones de los sistemas de alto riesgo, las que caen bajo el apartado c, la entrada en vigor del reglamento se ubica en el 2 de agosto de 2027 y la vigilancia en materia de supervisión para el sector bancario se mantendrá dentro de lo establecido en el Mecanismo Único de Supervisión establecido por el Reglamento (UE) nº1024/2013, con comunicación al Banco Central Europeo o la autoridad nacional designada.
En definitiva, la publicación del reglamento y sus definiciones para determinar qué tipo de modelos estarán afectados por el mismo, ayudan a acotar el esfuerzo que deberán llevar a cabo las Entidades en esta materia en los próximos años, de cara a su total cumplimiento a la fecha de su entrada en vigor.
Con estas nuevas regulaciones, la UE se posiciona como líder mundial en la gestión ética de la inteligencia artificial, acompañando al sector bancario en su viaje hacia nuevas tecnologías.
