La plataforma de toma de decisiones Agentic
Combinamos la rapidez de la inteligencia artificial con la supervisión humana para tomar decisiones más seguras e inteligentes.
Soluciones
Descubre cómo Taktile puede ayudarte a autorizar clientes de manera segura, detectar más casos de fraude y mantener el cumplimiento normativo.
Recursos
Obtén más información sobre nuestros clientes, descubre datos interesantes y ponte al día con los últimos seminarios web.
Eventos
Descubre los próximos seminarios web, accede a contenidos a la carta y conéctate con nosotros en los próximos eventos.

IA, AML 8 minutos de lectura

La Ley de IA de la UE y la lucha contra el lavado de dinero: Cómo preparar tu programa para la próxima ola de escrutinio sobre la IA

Dustin Eaton

Por Dustin Eaton, director de Fraude y Lucha contra el Lavado de Dinero, Taktile

Si trabajas en el ámbito de la prevención del lavado de dinero (AML), ya conoces esa sensación: la innovación llega a oleadas, pero la regulación avanza lentamente, como la marea. En los últimos años, la inteligencia artificial ha pasado de ser algo «interesante» a estar «integrada» en los equipos de lucha contra los delitos financieros, especialmente en áreas como el monitoreo de transacciones, el apoyo a las investigaciones y la verificación de sanciones.

Al mismo tiempo, la UE ha decidido que ya no quiere depender de orientaciones voluntarias ni de enfoques nacionales fragmentados.

Eso es lo que convierte a la Ley de IA de la UE, el Reglamento (UE) 2024/1689, en un hito histórico. Se considera ampliamente como el primer marco regulatorio integral y horizontal sobre IA en el mundo, y establece una base de referencia que influirá en la forma en que los reguladores y los equipos de riesgo de todo el mundo aborden la gobernanza de la IA.

El primer aspecto que muchas instituciones pasan por alto es el alcance. En la práctica, la Ley de IA no se limita «solo a la UE». Al igual que el RGPD, su impacto se extiende más allá de las fronteras de la UE: si tu sistema de IA se comercializa en el mercado de la UE, o si sus resultados afectan a personas en la UE, las obligaciones pueden aplicarse a ti.

Para los bancos globales, las empresas de tecnología financiera y las empresas de pagos, esto es importante porque las operaciones de lucha contra el lavado de dinero (AML) rara vez se limitan estrictamente a una sola jurisdicción. Las bases de clientes son internacionales, las estructuras de proveedores son transfronterizas y el desarrollo de modelos suele estar centralizado.

En resumen: si utilizas la IA para prevenir o detectar delitos financieros en un contexto relacionado con la UE, la Ley de IA ahora forma parte de tu panorama de riesgos en materia de lucha contra el lavado de dinero, junto con las normas prudenciales, las expectativas de conducta, la legislación sobre protección de datos y las obligaciones de larga data de los programas contra el lavado de dinero.

El marco basado en el riesgo de la Ley de Inteligencia Artificial y el lugar que ocupa la lucha contra el lavado de dinero

La Ley de IA se basa en una clasificación basada en el riesgo. Si bien los detalles y los casos límite seguirán evolucionando a través de las directrices, la lógica central es estable: cuanto más pueda influir un sistema de IA en los derechos o la seguridad de las personas, más exigentes serán las obligaciones.

En la mayoría de los resúmenes, verás que se mencionan cuatro niveles:

  • Riesgo inaceptable: Casos de uso prohibidos.
  • Alto riesgo: Se permite, pero solo con una gobernanza y controles estrictos.
  • Riesgo limitado: Obligaciones de transparencia para ciertas interacciones.
  • Riesgo mínimo: Prácticamente no está regulado por la Ley de Inteligencia Artificial.

Entonces, ¿qué papel juega la prevención del lavado de dinero?

Esta es la respuesta práctica: muchos casos de uso de AML parecerán «cercanos al alto riesgo», incluso cuando no se los clasifique explícitamente como de alto riesgo.

En la práctica, aunque la Ley de IA exime explícitamente a los sistemas de detección de fraudes de la lista de alto riesgo del Anexo III, la línea divisoria se vuelve borrosa rápidamente. Cuando los resultados del monitoreo de transacciones para la prevención del lavado de dinero o de la calificación de riesgo de los clientes impulsan decisiones posteriores, como el cierre de cuentas, la retención de pagos o la denegación de servicios, el impacto funcional comienza a asemejarse a los casos de uso de alto riesgo que sí cubre la Ley.

Las instituciones prudentes podrían tratar estos sistemas como si se les aplicara un régimen de alto riesgo, incluso cuando la clasificación formal sea discutible. Los sistemas de lucha contra el lavado de dinero influyen en el acceso a los servicios (apertura y cierre de cuentas, retención de pagos), dan lugar a decisiones adversas (retiros, congelaciones, investigaciones) y pueden afectar de manera significativa la vida de las personas. Ese es el tipo de impacto secundario que podría preocupar a los reguladores.

Al mismo tiempo, el Anexo III señala explícitamente las categorías de alto riesgo relacionadas con los servicios financieros, como la solvencia y la calificación crediticia (así como ciertas evaluaciones de riesgo de seguros). El desafío de cumplimiento para los equipos de lucha contra el lavado de dinero radica en que las formas modernas de delito financiero combinan cada vez más estos ámbitos:

  • La «calificación de riesgo del cliente» puede influir en las decisiones de incorporación de manera similar a la calificación crediticia o de elegibilidad.
  • Los modelos de detección de fraude y de lucha contra el lavado de dinero suelen compartir flujos de datos y características.
  • Las herramientas de gestión de casos pueden influir en las decisiones de los investigadores, en el establecimiento de prioridades y en los resultados narrativos.

Por eso, las recomendaciones en materia de servicios financieros suelen hacer hincapié en que las empresas no solo deben fijarse en las etiquetas, sino también analizar cómo se utiliza el resultado de la IA dentro de los procesos de negocio.

Proveedor frente a implementador: Obligaciones de cumplimiento para las instituciones financieras

Una de las distinciones más importantes desde el punto de vista operativo en la Ley de Inteligencia Artificial es la diferencia entre actuar como proveedor o como implementador:

  • Un proveedor desarrolla un sistema de inteligencia artificial (o encarga su desarrollo) y lo comercializa o lo pone en servicio.
  • Una empresa de implementación utiliza un sistema de inteligencia artificial en sus operaciones.

Esa distinción es importante porque modifica lo que su institución debe poder demostrar: la madurez de su sistema de gestión de riesgos, la integridad de la documentación técnica, los requisitos de evaluación de la conformidad y la forma en que supervisa el sistema después de su implementación.

En términos prácticos de la lucha contra el lavado de dinero (AML), existen dos patrones comunes:

1. Modelos y herramientas de fabricación propia

Muchas instituciones de mayor tamaño desarrollan modelos personalizados de monitoreo de transacciones, resolución de entidades y priorización de alertas. Si desarrollas e implementas estos sistemas internamente, a menudo te encuentras asumiendo responsabilidades tanto de «proveedor» como de «implementador». 

Eso significa que tu programa de gobernanza de la IA debe parecerse más a un programa de calidad del producto y cumplimiento normativo, y no solo a una «versión simplificada de la gestión de riesgos de los modelos».

2. Sistemas de IA de proveedores

Si adquieres herramientas de lucha contra el lavado de dinero (AML), tal vez pienses: «El proveedor se encarga del cumplimiento». Sin embargo, quienes implementan estas herramientas siguen teniendo obligaciones importantes: deben utilizar el sistema según lo previsto, garantizar que la supervisión humana sea efectiva y mantener un marco de gobernanza lo suficientemente sólido como para detectar desviaciones, sesgos o fallas en las operaciones reales.

Es aquí también donde los equipos de compras y de cumplimiento deben trabajar en conjunto. La diligencia debida de los proveedores ya no se limita a cuestionarios de seguridad e informes SOC. Cada vez más, debe abarcar aspectos como: la disponibilidad de la documentación, los artefactos de explicabilidad, los rastros de auditoría y la forma en que se lleva a cabo, en la práctica, el monitoreo posterior a la comercialización.

El principal reto de la lucha contra el lavado de dinero impulsada por la inteligencia artificial será mantener la transparencia y la explicabilidad

Si hay un tema que los líderes de AML suelen subestimar, es la brecha entre el desempeño de los modelos y su defendibilidad ante las autoridades reguladoras.

En el caso de los sistemas de IA de alto riesgo, la transparencia y la «información para los implementadores» son temas centrales en la estructura de la Ley de IA. E incluso fuera de la clasificación estricta de alto riesgo, los reguladores financieros esperan cada vez más que, cuando la IA influya en decisiones críticas, la institución pueda explicar:

  • ¿qué datos determinaron el resultado?,
  • ¿qué características eran importantes?,
  • ¿qué controles evitaron que se produjeran resultados inadecuados, y
  • lo que se esperaba que hiciera un revisor humano.

Los equipos de lucha contra el lavado de dinero (AML) perciben esta tensión de manera aguda, ya que algunos de los enfoques de detección más eficaces también pueden ser los menos interpretables (por ejemplo, las arquitecturas de aprendizaje profundo). Pero la pregunta correcta no es «caja negra o caja blanca». La pregunta correcta es: ¿qué nivel de interpretabilidad es necesario para el contexto de la decisión, las partes afectadas y las expectativas del regulador?

Según mi experiencia, la mayor brecha no es técnica, sino que los equipos dan por sentado que la explicabilidad es una propiedad del modelo, cuando en realidad es una propiedad del proceso. He visto equipos dedicar meses a desarrollar una capa de explicabilidad para un modelo, solo para darse cuenta de que los investigadores nunca revisaron los códigos de motivo. Puedes tener un modelo perfectamente interpretable y, aun así, no pasar una auditoría regulatoria si no puedes demostrar cómo se utilizó realmente esa interpretabilidad en las decisiones de los casos.

En la práctica, las instituciones suelen poder salvar esa brecha mediante una combinación de las siguientes medidas:

  • Técnicas de IA explicable que proporcionan códigos de razonamiento comprensibles para los humanos y análisis de sensibilidad,
  • Una documentación y unas pruebas exhaustivas (incluidas pruebas de sesgo y de robustez),
  • Registros de auditoría a nivel de caso que muestran cómo se generó una alerta y cómo se resolvió,
  • Un diseño que incorpora la participación humana de manera genuina, no solo como un detalle superficial.

En la literatura sobre la AML se reconoce desde hace tiempo que la IA puede mejorar los resultados en materia de cumplimiento, pero solo si las instituciones mantienen estructuras de gobernanza y rendición de cuentas que se ajusten al riesgo.

La interacción entre la Ley de Inteligencia Artificial, el RGPD y el paquete de medidas contra el lavado de dinero de la UE

La gobernanza de la IA no existe en el vacío. En lo que respecta a los programas contra el lavado de dinero, la Ley de IA se relaciona más estrechamente con:

  • El RGPD, especialmente en lo que se refiere a las bases legales para el tratamiento, la minimización y las medidas de seguridad cuando se utilizan datos personales en la capacitación y el monitoreo.
  • El marco de la UE en materia de lucha contra el lavado de dinero, en constante evolución, que incluye la convergencia en materia de supervisión y las nuevas estructuras institucionales.
  • Expectativas de resiliencia operativa, incluyendo un enfoque al estilo DORA respecto al riesgo de las TIC y la respuesta ante incidentes.

Una forma útil de plantearlo es que estos regímenes no son necesariamente contradictorios, sino que son acumulativos. El trabajo radica en la integración: armonizar la gobernanza, la documentación, los controles y la rendición de cuentas para poder cumplir con múltiples expectativas regulatorias mediante un solo programa coherente, en lugar de múltiples «proyectos» de cumplimiento que se superponen. La EBA ha hecho hincapié en este desafío de integración para el sector bancario y de pagos, y también destaca que se espera recibir más orientación sobre la clasificación de alto riesgo y su aplicación práctica.

Casos prácticos de uso de la IA en la lucha contra el lavado de dinero y sus implicaciones normativas

Veamos esto con más detalle. A continuación se presentan casos de uso comunes de AML y lo que suele significar en la práctica estar «preparado para la Ley de IA».

1) Monitoreo de transacciones (reducción de falsos positivos sin perder cobertura)

La IA puede mejorar drásticamente la calidad de la señal al aprender patrones que las reglas nunca captan. Pero eso requiere:

  • objetivos y niveles de tolerancia al riesgo documentados,
  • pruebas exhaustivas (incluido el monitoreo de la deriva),
  • flujos de trabajo de revisión humana bien definidos, y
  • trazabilidad desde la alerta → características → resultado.

El GAFI ha destacado que las nuevas tecnologías pueden mejorar la eficacia, pero las instituciones deben gestionar los riesgos de implementación y mantener una gobernanza sólida.

2) Calificación de riesgo de los clientes

La calificación de riesgo de los clientes suele actuar como un «enrutador» en las etapas iniciales que determina las decisiones posteriores (desencadenantes de la EDD, frecuencia de revisión, salidas). Eso significa que el sistema de calificación debe:

  • gobernanza de datos de entrada justificables,
  • pruebas de sesgo, cuando corresponda,
  • interpretabilidad adecuada para la decisión, y
  • una gestión sólida del cambio.

3) Redacción de informes narrativos SAR (o STR)

Los sistemas generativos pueden acelerar la redacción y la estandarización, pero el enfoque de la gobernanza cambia:

  • evitar las alucinaciones y las afirmaciones sin fundamento,
  • garantizar que las citas de las pruebas de los casos subyacentes sean trazables,
  • y exigir la validación manual antes de la presentación.

4) Verificación de sanciones e identificación de entidades

Este es un ámbito en el que la IA puede reducir significativamente la carga operativa. En la práctica, los responsables de la implementación deberán demostrar:

  • controles de calidad de la lógica de emparejamiento,
  • reglas claras de escalación,
  • y la documentación que respalda la auditabilidad.

En todos estos casos, las buenas prácticas del sector suelen coincidir en los mismos principios básicos: gobernanza interfuncional, diligencia en la selección de proveedores y un seguimiento y documentación rigurosos.

Divergencias normativas internacionales: los enfoques de la UE, EE. UU. y el GAFI

Un desafío clave para las instituciones multinacionales es que la gobernanza de la inteligencia artificial se está fragmentando según la jurisdicción, a pesar de que los riesgos de delitos financieros son globales.

  • La Ley de IA de la UE es exhaustiva y prescriptiva. Su objetivo es estandarizar las obligaciones en todos los sectores mediante una taxonomía común y requisitos explícitos.
  • El enfoque de Estados Unidos se basa más en los sectores y en los organismos reguladores. Las expectativas suelen surgir a través de las directrices de supervisión, las medidas de cumplimiento y los principios de gestión del riesgo de los modelos, más que a partir de una ley horizontal sobre IA.
  • El GAFI mantiene un enfoque tecnológicamente neutral y basado en el riesgo. Insta a las instituciones a gestionar el riesgo sin imponer enfoques técnicos específicos.

Para las instituciones globales, esto supone una verdadera carga operativa: las políticas, la documentación y los programas de monitoreo deben cumplir con múltiples «tipos» de regulación al mismo tiempo. Las empresas que aborden esto como un problema de diseño de gobernanza (en lugar de como un conjunto de listas de verificación de cumplimiento independientes) estarán en una mejor posición.

El camino a seguir: cronograma de implementación y preparación para el cumplimiento

El calendario por etapas de la Ley de IA es una razón más por la que los equipos de lucha contra el lavado de dinero deberían empezar a actuar desde ya. Las prácticas prohibidas en materia de IA entrarán en vigor a partir de febrero de 2025; las obligaciones relacionadas con la IA de alto impacto general (GPAI), a partir de agosto de 2025; y la mayoría de las obligaciones de alto riesgo del Anexo III están previstas para agosto de 2026, aunque la propuesta del Omnibus Digital de la Comisión Europea podría retrasar ese plazo hasta diciembre de 2027 al vincularlo a la disponibilidad de normas armonizadas y herramientas de apoyo. Aun cuando las obligaciones específicas se implementen gradualmente con el tiempo, las capacidades que necesitas (por ejemplo, inventario, documentación, supervisión, monitoreo) tardan más en desarrollarse de lo que la mayoría de las instituciones espera.

Un programa práctico de preparación para los equipos de AML y de lucha contra el fraude suele incluir:

1. Inventario y clasificación de la IA

Realice un inventario real de los sistemas de IA en la pila de AML. Incluya herramientas de proveedores, modelos internos, sistemas de apoyo a la toma de decisiones y copilotos de IA generativa.

2. Gobernanza y responsabilidad

Defina a los responsables (negocios, cumplimiento, riesgo y tecnología). Asegúrese de que los cambios en los modelos y sistemas estén controlados.

3. Documentación y paquete de evidencia

Elabore un paquete repetible y «listo para auditoría»: objetivos, linaje de datos, resultados de pruebas, plan de monitoreo y procedimientos de supervisión humana.

4. Pruebas más allá de la precisión

Incorpore pruebas de sesgo, robustez y modos de falla. En AML, el «costo del error» no es solo una métrica. Es una exposición regulatoria.

5. Actualización de la diligencia debida de los proveedores

Trate la gobernanza de la IA como un requisito para los proveedores, no como algo opcional.

El cumplimiento normativo se ha convertido en una ventaja competitiva en la lucha contra el lavado de dinero

Es tentador considerar la Ley de IA de la UE como una «carga» adicional para los equipos de cumplimiento, que ya están al límite de su capacidad. Yo me opondría a esa interpretación: para las instituciones que se toman en serio el uso de la IA en la lucha contra el lavado de dinero, la Ley es un impulso necesario para hacer el trabajo que, de todos modos, ya se debería haber hecho.

Si se implementa correctamente, una IA que cumpla con las normas y sea explicable puede convertirse en un factor diferenciador competitivo:

Las instituciones que saldrán ganadoras no son las que más utilizan la IA, sino las que pueden demostrarlo.

Las instituciones que saldrán ganadoras no son aquellas que «utilizan más la IA». Son aquellas que puedan demostrar por qué la IA es confiable, cómo se controla y en qué aspectos los humanos siguen siendo responsables.

¿Listo para fortalecer tus programas contra el lavado de dinero?

Reserva una reunión

Descubre Taktile