Este artículo se centrará en las principales dinámicas regulatorias y los pasos prácticos que las instituciones financieras deben adoptar en este entorno en rápida evolución.

Autor del artículo y fuente: Xiao Naiying, Fei Si, Yu LeiMin, Estudios King & Wood Mallesons

La IA generativa se expande rápidamente: las autoridades regulatorias se centran en la práctica

A medida que las instituciones financieras continúan adoptando la inteligencia artificial generativa ("IA generativa"), el enfoque de los reguladores está pasando de declaraciones de políticas principistas a la implementación práctica. Nuestra Guía para Instituciones Financieras sobre IA Generativa, publicada en enero de 2025 [1], ya indicó que el panorama regulatorio de la IA generativa está en formación, aunque en ese momento los marcos relacionados seguían siendo principalmente principistas. [2]

Desde entonces, el enfoque regulatorio ha pasado de principios macroscópicos a la gobernanza operativa. Hong Kong, China, está transicionando de la fase de prueba a una aplicación responsable, mientras que la regulación en el continente se vuelve cada vez más detallada, especialmente en materia de gobernanza de contenido, procesamiento de datos, obligaciones de registro y regulación de modelos. Este artículo se centrará en las principales tendencias regulatorias y los pasos prácticos que las instituciones financieras deben adoptar en este entorno en rápida evolución.

Hong Kong: de la prueba a la aplicación estructurada

Los recientes desarrollos en Hong Kong indican que el sector de servicios financieros está impulsando la aplicación de la IA generativa de una manera más madura y pragmática. La regulación se centra en si las instituciones financieras pueden implementar estas tecnologías de manera responsable, controlable, enfocada en la protección del inversor y resistente a la inspección regulatoria.

El informe de la Autoridad Monetaria de Hong Kong (“AMH”) titulado “La nueva era de la GenA.I.: Fomentar la aplicación responsable de la inteligencia artificial en los servicios financieros” [3], publicado en abril de 2025, señala que la percepción de Hong Kong sobre la IA generativa está cambiando: el 75% de las instituciones financieras encuestadas ya han implementado o están desarrollando aplicaciones de IA, y se espera que este porcentaje alcance el 87% en los próximos tres a cinco años.

Al mismo tiempo, las guías prácticas se vuelven cada vez más específicas. Por ejemplo, la Oficina del Comisionado de Privacidad de Datos Personales de Hong Kong, en su guía publicada en marzo de 2025 titulada “Lista de verificación para el uso de IA generativa por empleados”[4], convierte las preocupaciones relacionadas con la privacidad y la gobernanza en medidas de control operativas concretas. La lista recomienda establecer políticas claras sobre el uso de herramientas, la entrada de datos, el almacenamiento y la retención de salidas, la verificación, la corrección y el informe de sesgos, el uso de marcas de agua y etiquetado, el acceso a dispositivos y la notificación de eventos.

La Guía de Tecnología y Aplicaciones de Inteligencia Artificial Generativa de la Oficina de Políticas Digitales de Hong Kong, publicada por primera vez en abril de 2025 y actualizada en diciembre del mismo año [5], proporciona orientación adicional sobre mejores prácticas, enfatizando principios como la equidad, la transparencia, el derecho del usuario a elegir y la corrección de sesgos. Las instituciones financieras que utilicen IA generativa para interacción con clientes, motores de recomendación, apoyo de adecuación, clasificación interna o filtrado de riesgos deben considerar esta guía como un componente esencial de su marco integral de cumplimiento.

Un avance particularmente importante es la expansión continua del marco regulatorio de IA generativa en Hong Kong. Como mencionamos en nuestro artículo de enero de 2025, la Autoridad Monetaria de Hong Kong lanzó en 2024, en colaboración con Cyberport, el sandbox de GenA.I., que proporciona a las instituciones aprobadas un entorno controlado para desarrollar y probar casos de uso innovadores de IA generativa en el sector bancario.

En octubre de 2025, la Autoridad Monetaria publicó el Informe de la Primera Fase del Sandbox de GenA.I. [6], señalando que la gestión de riesgos, las medidas contra el fraude y la experiencia del cliente son los tres ámbitos de prueba, y destacando desafíos técnicos y de gobernanza como alucinaciones de contenido y errores de información. Esto marca un cambio en la atención regulatoria, pasando de fomentar la innovación a comprender cómo integrar de forma segura la IA generativa en las operaciones bancarias.

Además, el segundo programa de sandbox de GenA.I., lanzado en octubre del mismo año, refleja un cambio significativo desde la prueba de capacidades de IA hasta la implementación segura y confiable. La AMF seleccionó 27 casos de uso que involucran a 20 bancos y 14 socios tecnológicos, enfatizando especialmente la gobernanza activa de IA, la detección automática de calidad y la simulación adversarial para mejorar la prevención de fraudes por deepfakes. Esto marca una transición clara hacia la preparación para el despliegue, la efectividad del control y la mitigación de riesgos impulsada por IA.

En marzo de 2026, la Autoridad Monetaria, junto con la Comisión de Valores y Futuros, la Autoridad de Regulación de Seguros y la Autoridad de Administración del Plan de Fondos de Jubilación Obligatorios, lanzó el GenA.I. Sandbox++, ampliando el marco a los sectores de valores, gestión de activos y patrimonio, seguros, fondos de jubilación obligatorios y herramientas de pago con valor almacenado. Mantiene los tres ámbitos centrales de gestión de riesgos, prevención de fraude y experiencia del cliente, y reafirma la continuación de la estrategia regulatoria “IA contra IA”, es decir, utilizar la IA para gestionar los riesgos relacionados con la IA.

La Autoridad Monetaria lanzó en noviembre de 2025 la estrategia "FinTech 2030", que incluye la estrategia "IA x instituciones aprobadas", destinada a impulsar la aplicación integral y responsable de la inteligencia artificial en el sector financiero y a promover el desarrollo de infraestructuras compartidas y escalables, así como modelos industriales. Desde una perspectiva legal y regulatoria, esta estrategia refuerza un mensaje importante: la gobernanza de la IA ya no es un tema de innovación aislado, sino que debe integrarse en la arquitectura empresarial, la resiliencia operativa, la protección al cliente y la preparación regulatoria.

En marzo de 2026, la Autoridad Monetaria emitió una circular a todas las instituciones aprobadas sobre modelos de negocio en el contexto de la transformación digital [7], señalando que nuevas tecnologías, incluida la inteligencia artificial asistida, están acelerando la transformación digital. La circular especifica las expectativas de la Autoridad Monetaria respecto a todas las instituciones aprobadas: evaluar y adaptar proactivamente sus modelos de negocio a largo plazo para hacer frente a los cambios tecnológicos. Entre otros aspectos, la circular requiere que cada consejo de administración de las instituciones aprobadas supervise y apruebe un plan estratégico formal sobre transformación digital y digitalización financiera antes del 9 de septiembre de 2026. Dicho plan estratégico debe identificar oportunidades de ajuste o transformación en la oferta de productos, modelos de ingresos, interacción con clientes, gestión de riesgos y operaciones. Para obtener más información sobre la circular de la Autoridad Monetaria sobre la transformación digital, consulte nuestra infografía. [8]

Las tendencias regulatorias recientes en Hong Kong indican que las instituciones financieras deben establecer un marco integral que abarque datos, resiliencia tecnológica, gobernanza y rendición de cuentas, y gestionar de manera rigurosa y documentable la generación de IA en todo su ciclo de vida.

En la práctica, esto incluye los siguientes puntos:

(Diferenciación de escenarios de aplicación) Se debe distinguir cuidadosamente los distintos escenarios de implementación. Herramientas internas, aplicaciones de clientes, herramientas de monitoreo y detección, casos de uso de apoyo a la toma de decisiones y modelos de terceros pueden generar consideraciones legales y de riesgo diferentes; clasificarlos genéricamente bajo una sola categoría de “uso de IA” puede no ser suficiente para cumplir con los requisitos;

(Gobernanza centrada) Las instituciones deben incluir dentro del ámbito de gobernanza problemas que comúnmente se describen como puramente técnicos, como el diseño de prompts, los mecanismos de recuperación, el procesamiento de salidas, la validación del modelo, los umbrales de informes y la revisión humana;

(Alineación con políticas) Las instituciones deben alinear sus políticas internas con los términos y puntos de atención actualmente visibles en las directrices de Hong Kong, incluyendo aplicación responsable, equidad, precisión, transparencia, privacidad, rendición de cuentas y respuesta a incidentes;

(Equilibrio regulatorio) Las instituciones deben prepararse para un espacio cada vez más reducido entre el apoyo a la innovación y la revisión regulatoria. Aunque la participación en sandboxes y otras interacciones regulatorias pueden acelerar la implementación, también implican requisitos de gobernanza más estrictos; y

(Comunicación regulatoria) Participar en programas de sandbox y pruebas piloto debe considerarse una actividad de preparación regulatoria, no solo una oportunidad de innovación. Antes de comunicarse con las autoridades regulatorias, las instituciones deben garantizar responsabilidades y aprobaciones claras, pruebas y validaciones documentadas (incluyendo el control de desviaciones y alucinaciones), revisiones humanas explícitas y condiciones de activación de informes, así como un conjunto completo de documentos de evidencia para su revisión.

China mainland: hacia un enfoque regulatorio operativo y orientado a reglas

El marco regulatorio de la IA generativa en el continente chino continúa evolucionando hacia una dirección más operativa, normativa y orientada a la regulación. Para las instituciones financieras, las cuestiones prácticas ya no se limitan a si se permite o no el uso de una herramienta de IA, sino a si pueden demostrar que los casos de uso relevantes han sido adecuadamente clasificados, registrados cuando sea necesario, acompañados de controles de datos apropiados y monitoreados durante todo su ciclo de vida.

Esto es muy importante, ya que los límites regulatorios se están volviendo más precisos. Los recientes avances en la etiquetación de contenido generado por IA, el registro de algoritmos y modelos, la evaluación de seguridad, los estándares nacionales y la gobernanza de datos en el sector financiero apuntan todos en la misma dirección: el cumplimiento normativo de la IA en el continente se está centrando cada vez más en la implementación de pruebas.

El "Método de identificación de contenido generado y sintetizado por inteligencia artificial", emitido conjuntamente por la Oficina Nacional de Información de Internet, el Ministerio de Industria y Tecnología de la Información, el Ministerio de Seguridad Pública y la Administración Nacional de Radiodifusión y Televisión, convierte las preocupaciones de transparencia y gobernanza de alto nivel en requisitos concretos y operativos de etiquetado de contenido y metadatos.

El núcleo de este método es el sistema de doble etiquetado, que requiere la implementación simultánea:

a) Etiquetas explícitas visibles para el usuario; y

b) Anotación implícita mediante inserción de metadatos de archivo para lograr rastreabilidad.

Este método de doble etiquetado refleja expectativas regulatorias claras: la transparencia para los usuarios y la rastreabilidad en segundo plano para fines regulatorios, de cumplimiento y de responsabilidad deben operar en paralelo. Es importante que este enfoque también amplíe la responsabilidad a toda la cadena de valor del contenido de IA. En resumen:

El proveedor de servicios de generación de contenido debe implementar etiquetado de contenido (incluyendo etiquetado explícito e implícito) durante la fase de generación de contenido, garantizando la precisión y la persistencia de las etiquetas, y respaldando la trazabilidad y la rendición de cuentas cuando el contenido generado por IA esté sujeto a revisión o investigación regulatoria;

La plataforma de distribución de contenido debe identificar, conservar y mostrar las etiquetas existentes adjuntas al contenido generado por IA, prevenir y abordar el retiro intencional, la falsificación o el abuso de etiquetas, y colaborar con las autoridades regulatorias en la supervisión, incluyendo la regulación en materia de rastreabilidad y trazabilidad del contenido; y

Los usuarios no deben eliminar, alterar, ocultar ni falsificar intencionalmente las etiquetas explícitas, ni alterar intencionalmente las etiquetas implícitas o identificadores técnicos, ni presentar de manera engañosa contenido generado por IA como si fuera creado por humanos, ni utilizar contenido sintético de forma que evite la trazabilidad o la regulación.

Este método clasifica adicionalmente el contenido generado por IA como confirmado, posible o sospechoso, para respaldar una gobernanza y regulación adecuadas. Estas categorías no imponen una obligación general de detección de IA a las plataformas de difusión ni a los usuarios. Por el contrario, reconocen distintos niveles de certeza en la identificación del origen del contenido, y la obligación de etiquetado solo se aplica al contenido generado por IA confirmado producido por proveedores de servicios de generación de contenido por IA regulados.

En conjunto, este método marca un cambio hacia un modelo de gobernanza basado en la responsabilidad compartida y el ciclo de vida, donde el etiquetado y la trazabilidad se posicionan como controles de cumplimiento básicos para la gestión de riesgos de contenido sintético dentro del marco regulatorio en constante evolución de la China continental.

A pesar de la creciente atención en la operación hacia la etiquetación y rastreabilidad de contenido, el registro de algoritmos y modelos sigue siendo el pilar fundamental de la estructura regulatoria de IA en el continente chino. Aunque no se han realizado revisiones significativas a las leyes y regulaciones relacionadas recientemente, la práctica y la implementación regulatorias continúan evolucionando.

Las siguientes observaciones merecen atención especial por parte de las instituciones financieras:

1. La inscripción de algoritmos y la inscripción de modelos son dos procedimientos regulatorios independientes que pueden superponerse. Bajo ciertas condiciones, algunos proveedores de servicios de IA generativa podrían tener la obligación de realizar una “inscripción doble” que cubra tanto el nivel de algoritmo como el nivel de modelo.
2. Algunas aplicaciones de servicios financieros enfrentan mayor incertidumbre regulatoria. El enfoque regulatorio para el registro de modelos que involucran casos de uso específicos de servicios financieros aún está en desarrollo. Según los registros de registro públicamente disponibles, hay pocos casos exitosos de aprobación de algoritmos o modelos utilizados directamente para funciones como evaluación de riesgos financieros, decisiones de crédito o préstamos, o actividades de negociación impulsadas por IA. Dado su potencial impacto en la estabilidad del mercado y la protección del consumidor, estos casos de uso parecen estar sujetos a una revisión más estricta.
3. Algunos casos de uso orientados al cliente tienen tendencias de registro más maduras. La información de registro accesible al público indica que se han aprobado varios registros de algoritmos y modelos relacionados con aplicaciones orientadas al cliente, como asistentes y servicios al cliente inteligentes basados en IA, así como ciertas herramientas de análisis financiero o de valores respaldadas por IA. Es notable que estos casos de uso suelen caracterizarse por funciones de generación de contenido o apoyo informativo, y no por actividades de toma de decisiones directa o asunción de riesgos.

Las recientes actividades de cumplimiento indican que la aprobación regulatoria o el registro completado no se consideran resultados finales ni estáticos. Para las instituciones que ofrecen servicios de recomendación algorítmica o servicios de IA generativa, las expectativas se extienden a todo el ciclo de vida del sistema. Cuando surjan condiciones legales o regulatorias de activación (por ejemplo, cambios en el caso de uso, funciones del modelo, fuentes de datos, alcance de usuarios o canales de difusión), las instituciones podrían necesitar realizar evaluaciones de seguridad complementarias, actualizar su registro existente o comunicarse proactivamente con las autoridades regulatorias.

Esta tendencia se ha reforzado debido a iniciativas regulatorias más amplias. En abril de 2025, la Oficina Nacional de Información de Internet lanzó una campaña nacional de tres meses denominada "Limpieza: Regulación del Abuso de Tecnologías de IA", durante la cual las autoridades regulatorias tomaron medidas contra numerosos productos de IA y contenidos relacionados que no cumplían con las normativas. Esto demuestra claramente que el cumplimiento normativo en IA ahora está firmemente integrado en las actividades regulatorias habituales, y no se considera un problema excepcional o transitorio. El fracaso en mantener el cumplimiento continuo puede aumentar la exposición a advertencias regulatorias, sanciones públicas, órdenes de corrección, sanciones administrativas y riesgos reputacionales asociados.

Además de la etiquetado de contenido, el registro y la evaluación de seguridad, el ámbito más amplio de la regulación de la IA generativa en el continente chino sigue expandiéndose en alcance y precisión. Las herramientas regulatorias recientes y las iniciativas políticas indican que las autoridades están ampliando gradualmente su enfoque desde la seguridad del contenido y el cumplimiento técnico hacia el impacto conductual, la gobernanza ética y la gestión de riesgos contextualizada, especialmente en escenarios de mayor riesgo.

Una dimensión importante de esta evolución es la creciente interacción entre la gobernanza de la IA generativa, los marcos de revisión ética tecnológica y los requisitos de protección de información personal bajo la Ley de Protección de la Información Personal. Aunque estos dos sistemas no son nuevos, su aplicación en casos de uso de IA se está volviendo más visible y operativa. En particular, cuando los sistemas de IA implican el procesamiento de información personal, decisiones automatizadas o funciones que podrían afectar significativamente los derechos e intereses personales, las autoridades regulatorias esperan cada vez más que las instituciones no solo evalúen la legalidad y la seguridad, sino también la equidad, la explicabilidad y los riesgos éticos.

El "Método de revisión ética y servicio para la tecnología de inteligencia artificial (prueba)" emitido conjuntamente por varios departamentos en abril de 2026 indica que ciertos desarrollos y aplicaciones de IA de mayor riesgo —especialmente aquellos que involucran datos personales sensibles, intervención en comportamientos o impactos sociales a gran escala— podrían requerir una revisión ética estructurada o una evaluación experta dentro de un marco de cumplimiento más amplio. La necesidad de este tipo de revisión dependerá del caso específico, los datos involucrados y el entorno de implementación, y debe evaluarse caso por caso.

Para las instituciones financieras, el impacto directo de cumplimiento de estos métodos puede ser limitado. Sin embargo, como señal de la dirección regulatoria, estos desarrollos tienen una importancia significativa. Indican que la regulación de la IA en el continente está evolucionando desde obligaciones generales hacia requisitos basados en escenarios, funciones e impacto en el usuario, y se espera cada vez más que la gobernanza de la IA generativa trascienda la robustez técnica para abarcar el diseño de la interacción humano-máquina, las medidas de protección y los mecanismos de actualización.

Además de las medidas legales y administrativas formales, las normas nacionales desempeñan un papel cada vez más importante en la definición de las expectativas de cumplimiento en la práctica de la IA. En el ámbito de la IA generativa, las autoridades regulatorias han emitido varias normas nacionales que ofrecen orientación sobre la evaluación de la seguridad del aprendizaje automático, la etiquetación de contenido sintético, la seguridad de los datos de entrenamiento y los requisitos básicos de servicio. Se encuentran en desarrollo normas nacionales adicionales relacionadas con la seguridad de la IA como servicio, la evaluación de la capacidad de operación segura en todo el ciclo de vida y las aplicaciones de IA basadas en agentes.

Estos estándares nacionales funcionan como una medida regulatoria, proporcionando orientación sobre cómo las autoridades regulatorias pueden evaluar prácticamente la suficiencia de las medidas de seguridad, los acuerdos de gobernanza y los controles operativos. Con el tiempo, podrían ejercer una influencia cada vez mayor en los ámbitos regulatorios y de cumplimiento, moldeando las expectativas sobre qué constituye medidas "apropiadas" para los sistemas de IA.

Paralelamente a las medidas específicas de IA, la regulación del sector financiero en el continente chino está reforzando cada vez más las expectativas en torno a la gobernanza de datos y modelos, afectando directamente la implementación de IA generativa. Específicamente:

a) Los requisitos de seguridad de datos y gobernanza del ciclo de vida se están fortaleciendo. El "Método de gestión de la seguridad de los datos en el ámbito de las operaciones del Banco Popular de China", emitido por el Banco Popular de China el 1 de mayo de 2025, exige que las instituciones financieras implementen la clasificación y graduación de datos, establezcan y actualicen periódicamente listas de datos, identifiquen datos personales, sensibles e importantes, asignen responsabilidades internas y adopten medidas de gestión de la seguridad de los datos durante todo el ciclo de vida; así como

b) La gobernanza de modelos y la regulación centralizada se están convirtiendo en prioridades regulatorias. La Administración Estatal de Regulación Financiera publicó en diciembre de 2025 el "Plan de implementación para el desarrollo de alta calidad de la finanza digital en el sector bancario y de seguros", que anima a las instituciones a construir plataformas empresariales de IA y gestión de modelos para apoyar el desarrollo, despliegue y monitoreo centralizados de los modelos.

En conjunto, estas tendencias regulatorias indican que la aplicación de IA en el sector financiero se espera cada vez más que vaya acompañada de un modelo de gobierno estructurado a lo largo del ciclo de vida, puntos claros de intervención humana y una regulación más estricta de proveedores y proveedores externos de tecnología. Por lo tanto, el cumplimiento de la IA en el continente chino está convergiendo con las normas de control establecidas en el sector financiero, enfatizando cada vez más la madurez del gobierno, la calidad de la documentación y la preparación regulatoria.

Los desarrollos recientes indican que la China continental está profundizando la implementación de la regulación de la IA. Conceptos macro como la seguridad, la transparencia y el uso responsable de los datos siguen siendo importantes, pero la presión regulatoria se centra cada vez más en cómo las instituciones registran, demuestran y operacionalizan estos conceptos en la práctica.

Para las instituciones financieras, la adopción de IA en el continente chino debe ir acompañada de gobernanza estructurada, control del ciclo de vida y registros justificables. Las instituciones financieras que integren desde el inicio el análisis de registro, la gobernanza de datos, la evaluación de seguridad, la gestión del riesgo del modelo y la supervisión de proveedores en el diseño y la operación de sistemas de IA tendrán mayor capacidad para escalar el uso de la IA de manera responsable.

Perspectiva global: monitoreo, concentración y dependencia

Fuera de Hong Kong y el continente chino, el informe de octubre de 2025 del Consejo de Estabilidad Financiera titulado “Monitoreo de la aplicación de la IA en el sector financiero y las vulnerabilidades asociadas” [9] enfatiza que la IA en el sector financiero no es solo un problema de comportamiento o tecnología, sino también un problema de estabilidad financiera. El informe destaca especialmente el ritmo acelerado del desarrollo de modelos de IA, la creciente dependencia de proveedores externos y las cadenas de suministro en constante evolución, así como la necesidad de que las autoridades monitoreen la aplicación, llenen brechas de datos y comprendan las vulnerabilidades relacionadas con la dependencia y el riesgo de concentración de terceros. Para las instituciones, la implicación es que la gobernanza de la IA debe ir más allá de las políticas éticas y la documentación de modelos, y debe incluir la externalización, la resiliencia operativa y los riesgos del ecosistema. Por ejemplo: la dependencia de pocos proveedores de modelos base, plataformas en la nube, proveedores de datos y capas de integración de IA; la limitada visibilidad sobre las fuentes de datos de entrenamiento y los ciclos de actualización del modelo; y el riesgo de que una interrupción de un solo proveedor, un cambio en el modelo o un incidente de seguridad afecten simultáneamente a múltiples instituciones.

La atención regulatoria puede extenderse desde la salida de un modelo único hasta un entorno de control más amplio, que incluye derechos contractuales y de auditoría, gestión de cambios y control de lanzamientos, continuidad del negocio y planificación de alternativas, portabilidad de datos, notificación de eventos, y monitoreo continuo del desempeño y la exposición a la concentración de terceros.

Impacto práctico en instituciones financieras

El panorama regulatorio actual no ha generado una lista única y universal. Las expectativas legales y regulatorias variarán según la industria, el modelo de negocio, los casos de uso, la presencia operativa y el diseño de implementación. Aun así, los desarrollos recientes apuntan a una agenda práctica que muchas instituciones financieras deberían considerar ahora.

1. (Gobernanza y supervisión) La junta directiva y la alta dirección deben garantizar que se establezcan responsabilidades claras, rutas de informe y un marco de aprobación para los casos de uso importantes de IA;
2. (Evaluación de casos de uso) Las instituciones deben garantizar que los casos de uso de mayor impacto reciban una revisión reforzada en materia legal, de cumplimiento, de riesgo del modelo y técnico;
3. (Datos y privacidad) Los flujos de trabajo de prompts, recuperación y entrenamiento deben revisarse en conjunto con la gobernanza de datos y las obligaciones de confidencialidad más amplias;
4. (Transparencia y procesamiento de salidas) Las instituciones deben revisar si la divulgación al cliente, las guías para empleados, la etiquetación de salidas y los procesos de control de calidad son adecuados;
5. (Riesgos de terceros y externalización) Se deben fortalecer la debida diligencia de proveedores, el control contractual, la planificación de alternativas y la supervisión continua; y
6. (Pruebas, monitoreo e informes de eventos) Las asignaciones de pruebas, registro, monitoreo de modelos e informes de eventos deben ser proporcionales al caso de uso.

La implementación única de IA generativa puede involucrar múltiples aspectos, como datos personales, secreto bancario, propiedad intelectual, comunicación con clientes, validación de modelos, resiliencia operativa, externalización y conservación de registros. Por lo tanto, generalmente no es suficiente delegar estos temas a un solo equipo de innovación o tecnología.

La supervisión humana también es crucial. Para casos de uso de mayor riesgo, mencionar genéricamente un “ciclo de participación humana” puede no ser convincente, a menos que la institución especifique cuándo se requiere una revisión, quién es responsable de la revisión, qué deben verificar los revisores, cómo se documenta la revisión y cuándo se activa una suspensión o un alto.

Observación de las prácticas de gobernanza de IA en instituciones financieras globales

Sobre la base de una revisión selectiva y no exhaustiva de las prácticas de gobernanza de IA de ciertas instituciones financieras globales, realizamos las siguientes observaciones generales. Tenga en cuenta que estas observaciones son de alto nivel y ilustrativas. No existe un enfoque universal para la gobernanza de IA; el marco de cada institución financiera generalmente refleja una combinación de factores, incluidas las regulaciones y expectativas regulatorias aplicables en las jurisdicciones relevantes, la estructura organizacional, la tolerancia al riesgo, el nivel de madurez tecnológica y la naturaleza de los casos de uso de IA.

Se está formando una estructura de gobernanza de tres niveles: muchas instituciones adoptan un modelo de “tres líneas de defensa/tres niveles” adaptado a la IA. En el nivel operativo, los casos de uso de IA suelen ser propuestos y desarrollados de manera descentralizada por los distintos departamentos de negocio. En el nivel intermedio, las instituciones suelen establecer comités interfuncionales (como el Comité de Gobernanza de IA o el Consejo de IA Responsable), compuestos por representantes senior de los equipos de riesgo, cumplimiento, datos, tecnología y negocios, encargados de revisar, aprobar y supervisar los casos de uso de IA. En el nivel más alto, la junta directiva o un comité de nivel junta (generalmente un comité existente de riesgo o tecnología, y no un nuevo comité de nivel junta dedicado a la IA) conserva la supervisión final sobre la estrategia, los riesgos y la gobernanza de la IA.

Las instituciones generalmente no tratan la gobernanza de IA como un marco independiente: en cambio, la IA se integra típicamente en estructuras de gobernanza existentes, particularmente en marcos de gestión de riesgos de modelos, riesgos operativos, gobernanza tecnológica y gobernanza de datos. Muchas instituciones consideran los modelos de IA como una extensión del marco de riesgos de modelos, sometiéndolos a procesos de validación, monitoreo y revisión periódica similares a los de los modelos tradicionales, mientras ajustan estos procesos para abordar los riesgos específicos de la IA, como la explicabilidad, el sesgo y el desplazamiento del modelo.

Fuerte compromiso con los principios internos de IA responsable: muchas instituciones han establecido principios o estándares internos de gobernanza de IA como requisitos básicos para todos los casos de uso de IA. Aunque la terminología varía, estos principios suelen converger en los siguientes temas comunes:

• Equidad y evitación de sesgos o resultados discriminatorios;
• Transparencia y explicabilidad de las salidas y limitaciones del modelo;
• Gobernanza de datos, confidencialidad y protección de la privacidad; y
• Continuous testing, monitoring, and model performance validation.

These principles are increasingly operationalized through internal policies, control frameworks, and approval workflows, rather than remaining purely declarative statements.

La gobernanza interfuncional es una característica clave: la gobernanza de IA rara vez se limita a una sola función. Las organizaciones suelen involucrar a múltiples partes interesadas de equipos de datos, tecnología, legal, cumplimiento, riesgo y negocios. Comités especializados de gobernanza de IA o centros de excelencia se utilizan comúnmente para coordinar estas funciones, establecer estándares comunes y garantizar la coherencia entre los distintos casos de uso. En algunas organizaciones, una función centralizada de IA desarrolla políticas y herramientas para todo el grupo, mientras que los departamentos de negocio conservan la responsabilidad de implementación.

El comité de aprobación por caso no tiene un enfoque uniforme: aunque algunas instituciones han establecido comités formales para aprobar casos individuales de IA, otras confían en procesos de aprobación existentes (como comités de riesgo de modelos o foros de cambios tecnológicos). En instituciones globales de gran tamaño, generalmente se tiende a integrar la IA en la infraestructura de gobernanza existente en lugar de crear nuevas entidades de aprobación, lo que refleja que los riesgos de la IA deben gestionarse como parte de un marco más amplio de riesgo empresarial.

La gobernanza del ciclo de vida está ganando cada vez más importancia: la gobernanza de IA no se limita a la aprobación inicial. Las instituciones están prestando mayor atención al control integral del ciclo de vida, incluyendo:

• Categorización de casos y niveles de riesgo;
• Pruebas y validación antes del despliegue;
• Monitoreo continuo del rendimiento y detección de derivaciones;
• Umbral de intervención humana y notificación claro; y
• Regular review, retraining, and retirement processes.

Esto refleja un cambio más amplio desde el control estático hacia la supervisión continua.

La supervisión humana sigue siendo el mecanismo de control fundamental: las instituciones reconocen ampliamente que la supervisión humana es esencial, especialmente para casos de uso de mayor riesgo. Sin embargo, los marcos más maduros han trascendido el concepto general de "ciclo de participación humana", buscando definir con mayor precisión cuándo se requiere revisión, quién es responsable de la revisión, qué estándares deben aplicarse y cómo documentar y respaldar el proceso.

La gobernanza de datos y la explicabilidad de los modelos son áreas de prioridad: las instituciones enfatizan comúnmente los desafíos relacionados con la calidad, el origen y el control de acceso a los datos, así como la explicabilidad de modelos complejos. Estos aspectos suelen considerarse problemas fundamentales de gobernanza, más allá de meras consideraciones técnicas, especialmente en entornos de servicios financieros regulados donde la explicabilidad y la auditabilidad están estrechamente vinculadas a las expectativas regulatorias.

El marco de gobernanza evoluciona continuamente con los casos de uso y las expectativas regulatorias: la mayoría de las instituciones aún están iterando sus marcos de gobernanza de IA. A medida que se amplían los casos de uso de la IA—especialmente en áreas como la interacción con clientes, el apoyo a la toma de decisiones y la gestión de riesgos—los marcos de gobernanza se perfeccionan para abordar nuevos riesgos, desarrollos regulatorios y lecciones operativas. Por lo tanto, la gobernanza de IA debe considerarse una disciplina dinámica y en constante evolución, no un marco fijo.

En conjunto, estas observaciones indican que el mundo tiende hacia la convergencia de marcos de gobernanza de la IA integrados, basados en principios y orientados al ciclo de vida, que se fundamentan en infraestructuras existentes de riesgo y control, pero que cada vez más se adaptan para abordar las características y riesgos únicos de los sistemas de IA.

En este artículo, "Hong Kong" se refiere a la Región Administrativa Especial de Hong Kong de la República Popular China.