La plataforma de toma de decisiones Agentic
Combinamos la rapidez de la inteligencia artificial con la supervisión humana para tomar decisiones más seguras e inteligentes.
Soluciones
Descubre cómo Taktile puede ayudarte a autorizar clientes de manera segura, detectar más casos de fraude y mantener el cumplimiento normativo.
Recursos
Obtén más información sobre nuestros clientes, descubre datos interesantes y ponte al día con los últimos seminarios web.
Eventos
Descubre los próximos seminarios web, accede a contenidos a la carta y conéctate con nosotros en los próximos eventos.

IA, AML 10 minutos de lectura

La IA en la lucha contra el lavado de dinero: Entender el nuevo mandato sobre el riesgo de los modelos para bancos y empresas de tecnología financiera

Dustin Eaton

Por Dustin Eaton, director de Fraude y Lucha contra el Lavado de Dinero en Taktile

Esta es la primera parte de una serie de dos artículos diseñada para ayudar a las instituciones financieras a cumplir con los requisitos relacionados con el riesgo de modelo para los sistemas de prevención del lavado de dinero basados en inteligencia artificial.

Introducción: La IA mejora el desempeño de la AML y da lugar a un despertar regulatorio

El sector de los servicios financieros está experimentando una profunda transformación en la forma en que las instituciones detectan y previenen el lavado de dinero y los delitos financieros. Las tecnologías de inteligencia artificial (IA) y aprendizaje automático (ML) se han extendido rápidamente en las funciones de lucha contra el lavado de dinero (AML), lo que ha transformado de manera fundamental las capacidades de monitoreo de transacciones, gestión de casos y detección de sanciones. En este documento, el término «IA» se utiliza en sentido amplio para abarcar tanto los modelos clásicos de aprendizaje automático (por ejemplo, la puntuación de transacciones y la detección de anomalías) como los sistemas más recientes de IA generativa, incluidos los modelos de lenguaje a gran escala (LLM) y los modelos base de terceros utilizados para tareas como la síntesis, la generación de narrativas y el apoyo a la investigación.

Investigaciones recientes demuestran que los sistemas de lucha contra el lavado de dinero (AML) impulsados por IA pueden reducir los falsos positivos en un 70 % y, al mismo tiempo, mejorar la detección de eventos de alto riesgo en un 30 %—una mejora radical con respecto a los enfoques tradicionales basados en reglas. Incluso en el complejo ámbito de las sanciones, un informe reciente de la Junta de la Reserva Federal observó hasta un 92 % menos de falsos positivos y un aumento del 11 % en la detección de casos reales.

Sin embargo, esta revolución tecnológica ha desencadenado un despertar regulatorio paralelo. Lo que comenzó como marcos de gestión de riesgo de modelos (MRM) para modelos de riesgo de crédito y de mercado ahora se está extendiendo sistemáticamente a los sistemas de IA implementados en las funciones de cumplimiento. Esta convergencia no es ni accidental ni opcional: los reguladores consideran cada vez más que los sofisticados sistemas de IA para la lucha contra el lavado de dinero (AML) son modelos sujetos a los mismos estándares rigurosos de validación, gobernanza y documentación que tradicionalmente se reservaban para los sistemas cuantitativos que afectan al capital.

La tesis de este artículo es sencilla, pero tiene importantes implicaciones: los bancos y las empresas de tecnología financiera deben tratar ahora los sistemas de IA para la lucha contra el lavado de dinero con el mismo rigor, los mismos estándares de documentación y la misma validación independiente que se aplican a los modelos de crédito. Este cambio no representa simplemente un requisito de cumplimiento más, sino un replanteamiento fundamental de la forma en que las instituciones desarrollan, validan y gestionan la IA en sus funciones de cumplimiento más críticas. Las organizaciones que reconozcan este mandato desde el principio y construyan marcos sólidos de riesgo de modelos en torno a la IA para la lucha contra el lavado de dinero obtendrán ventajas competitivas significativas en cuanto a la velocidad de implementación, la confianza regulatoria y los resultados operativos.

Si bien muchos de los ejemplos de este artículo se centran en modelos predictivos y de puntuación comunes en el monitoreo de transacciones para la lucha contra el lavado de dinero, los mismos principios de gestión de riesgo de modelos se aplican a los sistemas de IA generativa y agentiva que se integran cada vez más en los flujos de trabajo de lucha contra el lavado de dinero.

La norma SR 11-7 llega al sector de los préstamos hipotecarios: cómo se ha expandido y por qué aumenta la presión regulatoria

El marco regulatorio para la gestión del riesgo de modelos se estableció en 2011, cuando la Reserva Federal y la Oficina del Contralor de la Moneda (OCC) emitieron conjuntamente la SR 11-7,«Orientación supervisora sobre la gestión del riesgo de modelos». Esta orientación introdujo un marco de tres pilares, en el que se definía el riesgo de modelo como «la posibilidad de que se produzcan consecuencias adversas derivadas de decisiones basadas en resultados e informes de modelos incorrectos o utilizados de manera inadecuada».

Es importante destacar que la norma SR 11-7 definió un «modelo» en términos amplios como «un método, sistema o enfoque cuantitativo que aplica teorías, técnicas y supuestos estadísticos, económicos, financieros o matemáticos para procesar datos de entrada y obtener estimaciones cuantitativas». Esta definición amplia fue intencional, diseñada para abarcar cualquier herramienta cuantitativa de toma de decisiones, independientemente de su sofisticación tecnológica o de su implementación. Durante más de una década, las instituciones aplicaron este marco principalmente a los modelos de riesgo tradicionales, tales como los cálculos del valor en riesgo, las tarjetas de puntuación crediticia, los modelos de riesgo de tasa de interés y los motores de pruebas de estrés.

El panorama regulatorio cambió de manera decisiva en 2021, cuando las agencias bancarias federales emitieron una«Declaración interinstitucional sobre la gestión del riesgo de modelos para los sistemas bancarios que respaldan el cumplimiento de la Ley de Secreto Bancario y las normas contra el lavado de dinero», en la que se confirmaba explícitamente que los principios de la gestión de riesgos de modelos (MRM) se aplican a los sistemas contra el lavado de dinero. La declaración aclaró que los sistemas de monitoreo de transacciones, las herramientas de filtrado de sanciones y las plataformas de cumplimiento impulsadas por inteligencia artificial cumplen con la definición de «modelo» según la norma SR 11-7, lo que los somete a las mismas expectativas de validación, gobernanza y control.

Esto es importante ahora porque se ha intensificado la aplicación de las normas.La División de Inspecciones de la SEC identificó la gobernanza de la IA como una prioridad de inspección para 2025, lo que indica un mayor escrutinio sobre la forma en que las empresas desarrollan, validan y supervisan los sistemas de IA. Del mismo modo, el Departamento de Servicios Financieros de Nueva York (NYDFS) y la Oficina para la Protección Financiera del Consumidor (CFPB) han demostrado —a través de medidas de aplicación de la ley y directrices de inspección— que la gobernanza de la IA dentro de las funciones de cumplimiento recibirá el mismo escrutinio que los modelos de seguridad y solidez.

El principio clave que sustenta esta convergencia es sencillo: cualquier método cuantitativo que influya de manera significativa en las decisiones relacionadas con el riesgo —incluidas las decisiones de cumplimiento— constituye un modelo sujeto a normas de validación. La sofisticación tecnológica de los sistemas modernos de IA y ML no los exime de estos requisitos; de hecho, su complejidad y su potencial para una toma de decisiones opaca intensifican la necesidad de una gestión rigurosa de los modelos (MRM).

Los tres pilares de la norma SR 11-7: cómo se aplican a los modelos de IA para la lucha contra el lavado de dinero

Pilar 1: Desarrollo, implementación y uso de modelos

El primer pilar de la norma SR 11-7 aborda la forma en que se desarrollan, implementan y ponen en funcionamiento los modelos. En el caso de los sistemas de inteligencia artificial para la lucha contra el lavado de dinero, este pilar plantea retos técnicos y de documentación únicos que difieren sustancialmente de los modelos tradicionales de riesgo crediticio o de mercado.

Requisitos de documentación para los modelos de IA en materia de lucha contra el lavado de dinero

Una gestión sólida del riesgo de los modelos comienza con una documentación exhaustiva del linaje de los datos, las decisiones de ingeniería de características y las metodologías de entrenamiento de los modelos. La integridad y la exhaustividad de los datos constituyen la base: los datos de entrada deben ser «precisos, completos, coherentes con el propósito y el diseño del modelo, y de la más alta calidad disponible». Para las aplicaciones de lucha contra el lavado de dinero (AML), esto requiere una documentación clara de:

  • Linaje de datos: trazabilidad completa desde los sistemas de origen, pasando por los flujos de transformación, hasta las entradas del modelo, incluyendo cualquier proxy de datos, agregación o proceso de enriquecimiento.
  • Ingeniería de características: Documentación clara de qué atributos de las transacciones, características de los clientes y patrones de comportamiento se seleccionaron como características del modelo, junto con la justificación de su inclusión o exclusión.
  • Enfoques de entrenamiento: Ya sea que el modelo utilice aprendizaje supervisado, agrupamiento no supervisado, aprendizaje por refuerzo o enfoques híbridos, con documentación explícita sobre la selección de datos, el ajuste de hiperparámetros y las estrategias de validación.

El Manual de gestión de riesgos de modelos de la OCC hace hincapié en que la documentación debe ser «lo suficientemente detallada como para que las partes que no estén familiarizadas con un modelo puedan comprender cómo funciona, cuáles son sus limitaciones y cuáles son sus supuestos clave». Esta norma resulta particularmente exigente en el caso de los modelos complejos de aprendizaje automático, en los que las interacciones entre las características y los límites de decisión pueden ser no lineales y difíciles de explicar.

Desafíos en el desarrollo de modelos específicos para la LMA

Hay tres retos técnicos que distinguen el desarrollo de modelos AML de las aplicaciones de modelado más tradicionales:

  • Etiquetas de referencia: A diferencia de los modelos de crédito, en los que los resultados de incumplimiento proporcionan una referencia clara, los modelos de lucha contra el lavado de dinero (AML) se enfrentan a una ambigüedad fundamental. Lo que constituye el «verdadero» lavado de dinero sigue siendo intrínsecamente ambiguo. Los informes de actividades sospechosas (SAR) representan una sospecha institucional, no una actividad delictiva confirmada. Esto plantea desafíos en el entrenamiento y la validación de los modelos, ya que la propia «referencia» refleja una determinación subjetiva en lugar de un resultado objetivo. Por lo tanto, los modelos deben entrenarse y validarse reconociendo esta incertidumbre inherente al etiquetado.
  • Desequilibrio de clases: El lavado de dinero y el financiamiento del terrorismo representan casos extremos dentro del conjunto de transacciones; a menudo, menos del 1 % de las transacciones justifican una investigación. Este grave desequilibrio de clases supone un reto para los algoritmos tradicionales de aprendizaje automático, que están optimizados para conjuntos de datos equilibrados. Los modelos deben diseñarse y ajustarse específicamente para detectar señales poco frecuentes sin generar tasas de falsos positivos prohibitivas.
  • Cobertura de tipologías: Las tipologías de lavado de dinero evolucionan continuamente a medida que los delincuentes se adaptan a los controles de detección. Los modelos contra el lavado de dinero deben demostrar que cubren todas las tipologías conocidas (por ejemplo, lavado basado en transacciones comerciales, «smurfing», «layering»), al tiempo que mantienen la capacidad de detectar patrones novedosos. Esto requiere un monitoreo continuo de los modelos y ciclos de reentrenamiento más rápidos que los ciclos típicos de actualización de los modelos crediticios.

Métricas de desempeño más allá de la precisión en la lucha contra el lavado de dinero

La precisión —la proporción de clasificaciones correctas— resulta inadecuada como métrica principal de desempeño para los modelos de lucha contra el lavado de dinero (AML) debido al grave desequilibrio entre clases. Un modelo que clasifica el 99,9 % de las transacciones como legítimas alcanza una precisión del 99,9 %, aunque no detecte ningún caso de lavado de dinero. En cambio, la validación de los modelos AML debe centrarse en métricas tales como:

  • Precisión y recuperación: La precisión mide qué fracción de las alertas generadas representa una actividad sospechosa genuina (a menudo representada por la tasa de conversión de SAR), mientras que la recuperación mide la fracción de actividad sospechosa real que detecta el modelo. El equilibrio entre estas métricas define el punto de operación del modelo.
  • PRAUC (área bajo la curva de precisión-recuerdo): A diferencia de las métricas tradicionales de ROC-AUC, que pueden resultar engañosas en conjuntos de datos desequilibrados, el PRAUC ofrece una evaluación más realista del desempeño del modelo al medir la precisión frente al recuerdo en todos los umbrales de decisión. Las investigaciones demuestran que el PRAUC «refleja mejor la realidad operativa que las alternativas tradicionales» en contextos como la lucha contra el lavado de dinero (AML), donde los casos positivos son extremadamente raros.
  • Reducción de los falsos positivos: Dado que los sistemas tradicionales de AML generan aproximadamente entre un 90 % y un 95 % de alertas de falsos positivos, medir la reducción de las tasas de falsos positivos sin comprometer la capacidad de detección constituye un indicador clave de éxito.

Métricas de desempeño para la IA generativa y los casos de uso de AML basados en modelos de lenguaje a gran escala (LLM)

En el caso de los usos de la IA generativa —como el resumen de transacciones, la síntesis de evidencia o la redacción de informes de actividades sospechosas (SAR)—, las métricas de clasificación tradicionales (por ejemplo, precisión, recuperación o PRAUC) no son aplicables. Estos sistemas no «predicen» actividades sospechosas, sino que generan contenido que respalda el juicio humano.

Para estas aplicaciones de IA, las métricas estadísticas tradicionales de desempeño resultan insuficientes. Por lo tanto, las instituciones deben recurrir a señales de validación alternativas, entre las que se incluyen:

  • Revisión de calidad con intervención humana (precisión, integridad y coherencia factual de los resultados generados)
  • Calificaciones estructuradas de comentarios de usuarios (por ejemplo, utilidad, claridad, suficiencia normativa)
  • Seguimiento de errores y alucinaciones (frecuencia de datos incorrectos, inferencias sin fundamento)
  • Métricas de resultados posteriores (tiempo ahorrado por el investigador, mejoras en la calidad de los informes de seguridad, tasas de reelaboración)

Controles de implementación para modelos de IA en la lucha contra el lavado de dinero

Los controles rigurosos de implementación distinguen a los modelos de IA para la lucha contra el lavado de dinero (AML) listos para la producción de los prototipos experimentales. La norma SR 11-7 destaca que «la gestión del riesgo de los modelos depende de una inversión sustancial en sistemas de apoyo que garanticen la integridad de los datos y los informes, junto con controles y pruebas que aseguren la implementación adecuada de los modelos, la integración efectiva de los sistemas y el uso apropiado». Entre los controles esenciales de implementación se incluyen:

  • Control de versiones: Todo el código del modelo, los archivos de configuración, las instantáneas de los datos de entrenamiento y los hiperparámetros deben estar controlados por versiones y ser trazables para garantizar la reproducibilidad y los registros de auditoría.
  • Pruebas A/B: Las nuevas versiones de los modelos deben evaluarse en comparación con los modelos actuales utilizando datos de prueba idénticos, a fin de demostrar una mejora en el desempeño antes de su implementación en producción.
  • Implementación de nodos de prueba: Antes de reemplazar los sistemas operativos, los nuevos modelos deben ejecutarse en paralelo en «modo de prueba», en el que se generan resultados pero no se toman medidas al respecto, lo que permite validar el desempeño en flujos de datos en tiempo real antes de que haya un impacto en el negocio.

Pilar 2: Validación independiente del modelo

La validación independiente constituye la piedra angular de la gestión del riesgo de modelos, ya que brinda una garantía objetiva de que los modelos funcionan según lo previsto y cumplen con sus objetivos de diseño. El Manual de gestión del riesgo de modelos de la OCC establece de manera inequívoca que «la validación debe ser realizada por personas que no sean responsables de su desarrollo o uso y que no tengan ningún interés en que se determine que un modelo es válido».

Requisitos de validación independiente

La cuestión de quién puede validar los sistemas de IA para la prevención del lavado de dinero requiere un análisis minucioso tanto de la independencia organizacional como de la experiencia técnica. El modelo de las «tres líneas de defensa» proporciona el marco regulatorio:

  • Primera línea (unidades de negocio): Los desarrolladores de modelos y los equipos de operaciones de prevención de lavado de dinero (AML) son responsables del desempeño de los modelos, pero no pueden proporcionar una validación independiente.
  • Segunda línea (gestión de riesgos independiente): Las funciones de gestión de riesgos independientes de las líneas de negocio suelen encargarse de la validación y rinden cuentas ante los comités de riesgos del consejo de administración.
  • Tercera línea (auditoría interna): Las funciones de auditoría evalúan la eficacia general del propio marco de MRM.
  • Validación externa: Los validadores externos pueden complementar la validación interna, especialmente cuando se requiere experiencia especializada en IA y aprendizaje automático.

Para los bancos comunitarios y las empresas de tecnología financiera más pequeñas, alcanzar una verdadera independencia puede requerir recursos externos de validación, ya que los conocimientos técnicos necesarios para la validación de modelos de inteligencia artificial a menudo no se encuentran fuera de los equipos de desarrollo.

Alcance de la validación del modelo 

La validación integral de los modelos de IA para la lucha contra el lavado de dinero abarca tres elementos fundamentales exigidos por la norma SR 11-7:

  • Solidez conceptual: Validación de que los fundamentos teóricos del modelo, su enfoque matemático y las decisiones algorítmicas sean adecuados para detectar tipologías de lavado de dinero. Esto incluye evaluar si las características seleccionadas tienen relaciones lógicas con el riesgo de lavado de dinero y si la arquitectura del modelo (red neuronal, bosque aleatorio, refuerzo de gradientes, etc.) se adapta a la estructura del problema.
  • Análisis de resultados: Comparación de los resultados del modelo con los resultados observados a lo largo del tiempo. En el caso de los modelos de AML, esto incluye analizar las tasas de conversión de alertas (SAR) generadas por el modelo, evaluar si las transacciones con puntuaciones altas presentaban efectivamente características sospechosas e identificar cualquier tipología que se haya pasado por alto o falsos negativos.
  • Monitoreo continuo: Evaluación constante del desempeño del modelo a medida que evolucionan los patrones de transacciones, las poblaciones de clientes y las tipologías de lavado de dinero. El Manual de la OCC destaca que «el monitoreo continuo es esencial para evaluar si los cambios en los productos, las exposiciones, las actividades, los clientes o las condiciones del mercado requieren un ajuste, un rediseño o la sustitución del modelo».

Desafíos en la validación de modelos específicos para la LMA

Hay dos retos técnicos que complican de manera particular la validación de los modelos de IA para la lucha contra el lavado de dinero:

  • Validación de la detección de tipologías desconocidas: La validación tradicional de modelos asume que el fenómeno objetivo (por ejemplo, el incumplimiento crediticio) está bien definido y es observable. Los modelos de lucha contra el lavado de dinero deben detectar tipologías futuras desconocidas —métodos de lavado de dinero que aún no existen en los datos de entrenamiento—. Por lo tanto, la validación debe evaluar la capacidad del modelo para detectar anomalías y reconocer patrones más allá de los ejemplos históricos, y no solo su precisión en tipologías conocidas.
  • Pruebas en distintas jurisdicciones: Los métodos de lavado de dinero, los requisitos regulatorios y los patrones normales de transacciones varían considerablemente de una jurisdicción a otra. Un modelo validado para transacciones nacionales en EE. UU. podría fallar al aplicarse a pagos transfronterizos que involucren a mercados emergentes. La validación debe evaluar explícitamente el desempeño del modelo en toda el área geográfica en la que se implementará, con umbrales específicos para cada jurisdicción y la calibración necesaria.

Requisitos de pruebas retrospectivas y validación de resultados

Si bien las pruebas retrospectivas tradicionales —que consisten en comparar las predicciones de los modelos con los resultados observados— resultan difíciles de aplicar a los modelos de lucha contra el lavado de dinero (ya que no existe un conjunto de datos definitivo que recoja «todos los casos de lavado de dinero que se han producido»), entre los enfoques alternativos para la validación de resultados se incluyen:

  • Métricas de calidad de los SAR: Análisis de la calidad, la integridad y la aceptación regulatoria de los SAR generados a partir de alertas de modelos.
  • Tasas de conversión de alertas a SAR: Seguimiento del porcentaje de alertas generadas por el modelo que avanzan en el proceso de investigación hasta la presentación de un SAR.
  • Pruebas «por encima de la línea» y «por debajo de la línea»: Muestreo de transacciones sobre las que el modelo sí emitió una alerta (por encima de la línea) para validar los verdaderos positivos, y de transacciones sobre las que el modelo no emitió una alerta (por debajo de la línea) para identificar los falsos negativos.

El Manual de gestión de riesgos de modelos de 2021 de la OCC ofrece orientación práctica en la que se destaca que «las pruebas retrospectivas tradicionales podrían no ser la mejor forma de analizar los resultados de los modelos de la Ley de Secreto Bancario (BSA) y de lucha contra el lavado de dinero (AML)» y se respaldan estos enfoques alternativos de validación.

Pilar 3: Gobernanza y controles

El tercer pilar aborda el marco organizativo, las políticas y los procesos de supervisión que garantizan que la gestión del riesgo de modelo funcione de manera eficaz en toda la empresa.

Requisitos de inventario de modelos

Una buena gobernanza comienza por conocer qué modelos existen en toda la empresa. La norma SR 11-7 establece que «los bancos deben mantener un conjunto completo de información sobre los modelos que se utilizan, los que se están desarrollando para su implementación o los que se han retirado recientemente». En el caso de los sistemas de inteligencia artificial para la lucha contra el lavado de dinero, esto requiere catalogar, como mínimo:

  • Modelos de monitoreo de transacciones (tanto basados en reglas como en IA/aprendizaje automático)
  • Modelos de verificación de nombres y de filtrado de sanciones
  • Modelos de calificación de riesgo de los clientes utilizados en los procesos de KYC/CDD
  • Modelos de priorización de casos y de flujo de trabajo de investigación
  • Modelos de análisis de redes y resolución de entidades
  • Modelos de puntuación de alertas y de triaje

El inventario debe reflejar no solo la existencia de cada modelo, sino también su calificación de riesgo, su estado de validación, las limitaciones identificadas, el personal a cargo y las dependencias con respecto a otros modelos o fuentes de datos. Muchas instituciones descubren, durante los ejercicios de inventario, que los componentes de IA/ML se han extendido por todas las funciones de lucha contra el lavado de dinero sin un seguimiento centralizado —una brecha de gobernanza que genera tanto riesgo de incumplimiento como ineficiencia operativa—.

Clasificación por niveles de riesgo

No todos los modelos requieren el mismo rigor de validación. El Manual de la OCC establece que «el riesgo de los modelos aumenta a medida que crece su complejidad, aumenta la incertidumbre sobre los datos de entrada y los supuestos, se amplía su uso y se incrementa su impacto potencial». Los marcos de clasificación de riesgos por niveles clasifican a los modelos como de riesgo alto, moderado o bajo en función de factores que incluyen:

  • Importancia relativa del impacto: Los modelos que determinan directamente las decisiones sobre la presentación de informes SAR o que afectan a la presentación de informes reglamentarios conllevan un mayor riesgo que los modelos de asesoría que respaldan el criterio de los analistas.
  • Grado de automatización: Los modelos que generan o ejecutan automáticamente resultados relacionados con el cumplimiento normativo (por ejemplo, alertas, escalamiento, recomendaciones sobre informes de actividades sospechosas [SAR] y acciones para los clientes) conllevan un mayor riesgo que los modelos de apoyo a la toma de decisiones que ayudan a los investigadores y requieren una revisión humana documentada antes de cualquier acción regulatoria.
  • Complejidad: Los modelos de aprendizaje profundo con millones de parámetros y límites de decisión no lineales plantean mayores desafíos de validación que los modelos de puntuación lineal.
  • Calidad de los datos: Los modelos que dependen de fuentes de datos incompletas o sustitutivas conllevan un riesgo elevado
  • Sensibilidad regulatoria: Los modelos relacionados con la concesión equitativa de préstamos, el cumplimiento de sanciones o los cálculos de capital merecen una clasificación de riesgo más alta.

En la práctica, muchos casos de uso emergentes de la IA en la lucha contra el lavado de dinero —como el resumen de transacciones, la priorización de investigaciones, la recopilación de pruebas y la redacción de informes de actividades sospechosas (SAR)— funcionan como apoyo a la toma de decisiones. Cuando los investigadores capacitados conservan plena autoridad para aceptar, modificar o rechazar los resultados de la IA, el riesgo general del modelo se reduce de manera significativa. Los reguladores suelen considerar estos sistemas de «intervención humana» como aplicaciones de menor riesgo, lo que justifica una validación y un control proporcionales, en lugar del rigor total que se exige a los modelos de toma de decisiones automatizados. Sin embargo, un menor riesgo no implica la exclusión de los inventarios de modelos ni de las expectativas de supervisión. Esta distinción es particularmente importante para las aplicaciones basadas en modelos de lenguaje grande (LLM), en las que los resultados son informativos más que determinantes, y los investigadores conservan plena autoridad sobre los juicios regulatorios.


La siguiente ilustración muestra cómo el grado de automatización suele influir en la clasificación de riesgos de los modelos de IA para la prevención del lavado de dinero (AML) en la práctica, suponiendo que otros factores de riesgo —como la calidad de los datos, la complejidad y la sensibilidad regulatoria— se mantengan constantes.

  • Alto riesgo
    • Generación o supresión de alertas totalmente automatizada
    • Recomendaciones para la presentación de informes SAR basadas en inteligencia artificial, sin necesidad de revisión humana obligatoria
    • Acciones autónomas del cliente (bloqueo, salida, congelación)
    • Expectativas del examinador: validación completa según la norma SR 11-7, revisión anual, visibilidad ante la junta directiva
  • Riesgo moderado
    • La calificación o priorización de alertas impulsada por IA influye en la carga de trabajo y la atención
    • Recomendaciones sobre el encaminamiento o la escalación de casos
    • Expectativas del examinador: validación formal, pruebas de resultados, seguimiento
  • Menor riesgo
    • Herramientas de productividad para analistas:
      • Resumen de transacciones
      • Visualización de relaciones entre entidades
      • Redacción de informes narrativos de búsqueda y rescate (SAR)
      • Recopilación de pruebas
    • Resultados revisados y finalizados por personas
    • Expectativas del evaluador: inclusión en el inventario de modelos, propósito documentado, revisión de la solidez conceptual básica, seguimiento para detectar sesgos o desviaciones

Los modelos de alto riesgo requieren una validación más frecuente (al menos una vez al año), una documentación más exhaustiva y la participación de la alta dirección en los procesos de aprobación y supervisión.

Supervisión del consejo de administración y la dirección

La norma SR 11-7 establece claramente las responsabilidades a nivel del consejo de administración: «Los miembros del consejo deben asegurarse de que el nivel de riesgo de los modelos se encuentre dentro de su umbral de tolerancia y ordenar los cambios que sean necesarios». En el caso específico de la IA aplicada a la lucha contra el lavado de dinero (AML), esto significa que los altos directivos deben comprender y aprobar:

  • El enfoque general de la institución respecto a la inteligencia artificial en el cumplimiento de las normas contra el lavado de dinero
  • Aceptación del riesgo en la generación de alertas basada en modelos y la toma de decisiones sobre informes de actividades sospechosas (SAR)
  • Asignación de recursos para la validación del modelo y el monitoreo continuo
  • Limitaciones importantes del modelo y controles compensatorios
  • Métricas de desempeño del modelo y tendencias a lo largo del tiempo

No es necesario que los consejos de administración comprendan las complejidades matemáticas de los algoritmos de gradient boosting, pero sí deben entender qué funciones de AML se basan en la inteligencia artificial, qué riesgos conllevan esos modelos y cómo se gestionan dichos riesgos. Los informes de la administración deben incluir métricas tales como modelos con validaciones atrasadas, modelos que operan bajo excepciones, tendencias de falsos positivos y tasas de conversión de SAR.

Riesgo de modelo de terceros

Muchos bancos y empresas de tecnología financiera recurren a plataformas de proveedores para obtener capacidades de inteligencia artificial (IA) en materia de lucha contra el lavado de dinero (AML), ya sean sistemas de monitoreo especializados, servicios de enriquecimiento de datos o plataformas de cumplimiento integral. La norma SR 11-7 aborda explícitamente los modelos de terceros: «No obstante, los productos de los proveedores deben incorporarse al marco más amplio de gestión de riesgos de modelos de un banco, siguiendo los mismos principios que se aplican a los modelos internos».

La diligencia debida del proveedor debe analizar:

  • Metodología de desarrollo de modelos y documentación de validación
  • Fuentes de datos y controles de calidad
  • Procesos de actualización y control de versiones de modelos
  • Posibilidades y limitaciones de personalización
  • Historial de cumplimiento normativo
  • Disposiciones contractuales relativas al acceso para fines de revisión regulatoria

Estos desafíos se acentúan en el caso de los modelos base de terceros y las API de modelos de lenguaje grande (LLM) que se utilizan como apoyo en la toma de decisiones sobre la lucha contra el lavado de dinero (AML). Las instituciones deben contar con una transparencia limitada respecto a los mecanismos internos de los modelos, sin acceso a la documentación tradicional de desarrollo de modelos y con la necesidad de confiar en las garantías de los proveedores en lugar de en informes independientes sobre los modelos. Como resultado, la validación debe centrarse más en la definición controlada del alcance de los casos de uso, las pruebas de resultados, los procesos de revisión humana y la gobernanza contractual, en lugar de en la mecánica de los modelos. Además, una gobernanza efectiva de los casos de uso de AML basados en LLM debe incluir controles tales como:

  • Límites claros de los casos de uso (para qué se puede y para qué no se puede utilizar el LLM)
  • Gestión ágil, control de versiones y control de cambios
  • Monitoreo de la producción y muestreo periódico para control de calidad realizado por personal humano

Las instituciones no pueden delegar la responsabilidad por el riesgo de modelo. Incluso cuando utilizan modelos de proveedores, los bancos siguen siendo responsables de validar que el modelo funcione adecuadamente en su entorno operativo específico, con su base de clientes y sus patrones de transacciones. La documentación de validación del proveedor sirve como referencia, pero no sustituye los requisitos de validación propios de la institución.

Normas de documentación del riesgo de modelo

El marco de gobernanza culmina en normas de documentación que garantizan la transparencia, la auditabilidad y la continuidad. La documentación requerida incluye:

  • Política de riesgo de modelo: política aprobada por el Consejo de Administración que establece el marco de gestión del riesgo de modelo (MRM) de la institución, las funciones y responsabilidades, los estándares de validación y el apetito de riesgo.
  • Informes de validación: Informes formales de validación para cada modelo, en los que se documentan las evaluaciones de solidez conceptual, los resultados del análisis de los resultados, las limitaciones identificadas y las recomendaciones de validación.
  • Informes de monitoreo continuo: Informes periódicos (por lo general, trimestrales) sobre los indicadores de desempeño del modelo, los incumplimientos de los umbrales y los problemas que surjan.
  • Seguimiento de incidencias: Seguimiento formal de las incidencias relacionadas con los modelos, las respuestas de la administración y los plazos de resolución.

Conclusión: Del mandato normativo a la implementación práctica

Los líderes en materia de prevención del lavado de dinero (AML) que dediquen tiempo a adquirir un conocimiento práctico de la norma SR 11-7 y de cómo se aplica a la gestión del riesgo de modelos para la inteligencia artificial (IA) en el ámbito de la prevención del lavado de dinero serán activos fundamentales en este nuevo panorama. Sin embargo, comprender el mandato es solo el primer paso. 

La segunda parte de esta serie explica los pasos prácticos para desarrollar capacidades de MRM que cumplan con las normas, desde la realización de un inventario exhaustivo de IA en todas las funciones de lucha contra el lavado de dinero hasta la implementación de marcos estandarizados de documentación y monitoreo. También analiza qué deben esperar las instituciones de los reguladores en el futuro y explora cómo el MRM puede convertirse en una ventaja competitiva en lugar de un gasto adicional.

Mejora tu estrategia contra el lavado de dinero con la inteligencia artificial.

Reserva una demostración

Descubre Taktile