El futuro de la evaluación de riesgos crediticios en el marco de la regulación de la inteligencia artificial: implicaciones para la UE y más allá

En el panorama crediticio actual, es una práctica común que las entidades crediticias mejoren las calificaciones crediticias externas de los prestatarios utilizando sus propios indicadores, modelos estadísticos avanzados o heurísticas para tomar decisiones crediticias.

Sin embargo, este enfoque se encuentra ahora al borde de una regulación más estricta, ya que la primera Ley de Inteligencia Artificial (IA) de la UE está a punto de entrar en vigor. Con las nuevas regulaciones en el horizonte, surgen dos preguntas cruciales para los prestamistas:

1. ¿Cómo se clasificarán las actividades de evaluación de crédito en virtud de la Ley de IA propuesta?

2. ¿Qué nuevas regulaciones deben tener en cuenta los prestamistas una vez que la ley entre en vigor?

Maximilian Eber, director de tecnología (CPTO) de Taktile, y Philipp Hacker, profesor de Derecho y Tecnología en la Universidad Europea Viadrina de Fráncfort y asesor de políticas sobre la Ley de Inteligencia Artificial (a nivel de la UE), han unido fuerzas para responder a estas preguntas.

En este artículo, resumen el proyecto de Ley de Inteligencia Artificial y analizan en profundidad las posibles implicaciones de las nuevas regulaciones que se avecinan para las entidades crediticias, incluso para aquellas que no utilizan la inteligencia artificial en el sentido técnico estricto.

La Ley de Inteligencia Artificial es la legislación insignia de la UE que regula el desarrollo y la implementación de sistemas de inteligencia artificial en numerosos sectores de la sociedad, desde aplicaciones empresariales —como la calificación crediticia y los seguros— hasta la administración pública y la aplicación de la ley.

Su objetivo es regular los riesgos específicos de la IA —como la opacidad, la discriminación, el comportamiento imprevisible o la falta de calidad predictiva— al imponer a los desarrolladores y usuarios de estos modelos varias obligaciones legales específicas. 

La ley formaliza y amplía las mejores prácticas que suelen utilizarse en el sector, incorporando normas específicas en materia de monitoreo, transparencia, documentación, supervisión humana y gobernanza de datos.

Actualmente existen tres versiones diferentes de la Ley de Inteligencia Artificial:

En este momento, estos tres actores están negociando a puerta cerrada en un proceso denominado «trílogo». Se espera que la versión final de la Ley de Inteligencia Artificial esté lista hacia finales de este año, y la mayoría de sus normas entrarán en vigor a partir de mediados de 2026 aproximadamente. 

Sin embargo, debido a su amplio alcance y a sus numerosas obligaciones, las empresas que utilicen inteligencia artificial o cualquier modelo de toma de decisiones complejo deberían prepararse para cumplir con la Ley de Inteligencia Artificial mucho antes.

Como verás más adelante, se espera que la Ley de IA se aplique a los desarrolladores y usuarios de casi cualquier proceso complejo de toma de decisiones, independientemente de si utilizan redes neuronales, IA generativa o cualquier otra tecnología avanzada de aprendizaje automático.

La Ley de IA establece cuatro categorías de riesgo diferentes para los modelos de IA, según los casos de uso en los que se implementa el sistema: 

1. Usos prohibidos
2. Usos de alto riesgo
3. Usos de riesgo limitado
4. Usos no regulados

Los riesgos prohibidos se refieren a casos de uso como la «calificación social» o la identificación biométrica a distancia en espacios públicos (con excepciones limitadas). Sin embargo, la mayor parte de la Ley de IA abarca casos de uso de alto riesgo, que van desde aplicaciones de IA en contextos migratorios o de justicia penal hasta casos de uso económico en medicina, seguro de desempleo y calificación crediticia. 

Cualquier otro sistema de IA que siga interactuando con seres humanos se considera de riesgo limitado; la principal obligación en este caso es que se debe notificar a las personas con las que interactúan que están tratando con un sistema de IA.

La calificación crediticia es uno de los principales casos de uso económico señalados como de alto riesgo en el marco de la Ley de Inteligencia Artificial.

Sin embargo, se contemplan dos excepciones en las que la calificación crediticia no se consideraría de alto riesgo. Tanto la propuesta original de la Comisión como la versión del Consejo eximirían a las pymes si utilizan el modelo de calificación crediticia para su propio negocio. Sin embargo, el Parlamento Europeo no quiere eximir a las pymes; en cambio, pretende eximir a los sistemas utilizados para la detección de fraudes financieros. Por lo tanto, es fundamental seguir de cerca la versión final de la Ley de IA para saber qué exenciones, si las hay, se han agregado a la calificación crediticia.

Es importante destacar que la Ley de IA solo se aplica si el modelo de calificación crediticia entra dentro de la definición de IA. 

La amplia definición de IA que establece la Ley de IA incluye no solo el aprendizaje automático avanzado —como el aprendizaje profundo para la IA generativa—, sino también los modelos estadísticos, tal como se utilizan habitualmente en la calificación crediticia. Es probable que los sistemas de toma de decisiones automatizados, compuestos por puntuaciones externas, modelos estadísticos internos, heurísticas y reglas, también se consideren IA según la definición de la Ley de IA.

Retomando el ejemplo de la introducción, imaginemos nuevamente que, para tomar una decisión crediticia, un banco utiliza un puntaje crediticio externo, lo complementa con algunos indicadores propios y aplica modelos estadísticos, heurísticas o reglas. ¿Esto equivale al uso de IA según la Ley de IA? Lo más probable es que sí.

La definición de IA aún no se ha concretado, y existe un desacuerdo considerable en cuanto a su significado. Sin embargo, la propuesta de la Comisión y la versión del Consejo de la ley incluyen actualmente «técnicas estadísticas de aprendizaje e inferencia […] y métodos de búsqueda y optimización». 

Es interesante señalar que el Parlamento Europeo quiere incluir «enfoques basados en el conocimiento, la estimación bayesiana o los árboles de decisión», además de los procesos clásicos de aprendizaje automático. Si esto fuera así, la Ley de IA podría considerarse más bien como la «Ley de Toma de Decisiones Complejas». 

También es importante señalar que el hecho de tener su sede fuera de la UE no exime a las empresas sujetas a la Ley de IA. Al igual que el RGPD, la Ley se aplicará tan pronto como se ofrezcan servicios «basados en IA» o se utilicen modelos relacionados con cualquier cliente de la UE. Basta incluso con que el resultado del sistema se utilice en la UE para que esté sujeto a la Ley de IA.

Aunque la Ley de IA hace referencia con frecuencia a las regulaciones bancarias vigentes en diversos pasajes, se proponen varios artículos y obligaciones adicionales.

A continuación se presenta un breve resumen de las disposiciones clave de la Ley de IA que deben tener en cuenta los prestamistas de tecnología financiera y las instituciones financieras.

Puedes encontrar más detalles sobre estas disposiciones aquí (consulta la información adicional).

Los proveedores de sistemas de inteligencia artificial deberán implementar un régimen de gobernanza de datos que garantice que los datos de entrenamiento sean de alta calidad, no discriminatorios y representativos.  

Para las entidades crediticias, esto significa que los datos deben estar depurados y ser representativos de los segmentos de clientes. Además, deben poder certificar que sus datos cumplen con estas nuevas normas de datos, todo lo cual se suma a las regulaciones bancarias ya existentes.

Además, las entidades crediticias deberán implementar procedimientos exhaustivos de documentación y mantenimiento de registros. Los modelos deben ser lo suficientemente transparentes y funcionar bajo supervisión humana. Y, lo que es más importante, deben cumplir con exigentes estándares de desempeño, solidez y ciberseguridad. 

Estas obligaciones son independientes de la regulación bancaria vigente y se suman a ella. Si bien el Parlamento Europeo incorporó algunas disposiciones en la Ley de IA con el objetivo de reforzar el recurso a la regulación sectorial existente —como la legislación bancaria—, no está claro en qué medida dichas referencias se incluirán en la versión final de la Ley de IA.

Una vez que entre en vigor la Ley de Inteligencia Artificial, las entidades crediticias contarán con cierta certeza jurídica sobre cómo operar al utilizar sistemas que aprovechan la inteligencia artificial. 

Además, tendrán la oportunidad de forjar una relación de confianza más sólida con sus clientes. 

En el caso de las instituciones de crédito reguladas, se integrará un procedimiento de evaluación de conformidad con la Ley de IA en el proceso de revisión y evaluación supervisora previsto en la legislación bancaria. Además, las entidades crediticias pueden solicitar por su cuenta una certificación que confirme a los clientes que operan con la seguridad y la experiencia «conformes a la Ley de IA» en lo que respecta al almacenamiento y uso de datos.

La Ley de IA se ultimará en los próximos meses, probablemente hasta finales de 2023. Uno de los puntos clave sobre los que los negociadores aún deben ponerse de acuerdo es el período de transición entre la publicación de la Ley de IA en el Diario Oficial de la UE y su aplicación en el sector. 

En lo que respecta a la calificación crediticia, es probable que la Ley de Inteligencia Artificial entre en vigor dos años después de su publicación, aproximadamente a mediados de 2026. 

Sin embargo, es necesario actualizar desde ya los sistemas de modelización, cumplimiento y gestión para garantizar la implementación oportuna de funcionalidades que cumplan con la Ley de Inteligencia Artificial. Independientemente de cuál sea la versión final, contar con una infraestructura sólida y ágil —especialmente en lo que respecta a la gobernanza de datos— para tomar decisiones crediticias automatizadas será más importante que nunca.

La Comisión Europea también recibirá el mandato de actualizar la Ley de IA periódicamente y cuando lo considere oportuno. Es probable que esto se aplique principalmente a la lista de casos de uso de alto riesgo, la cual podría ampliarse. Es importante destacar que las pymes (definidas como empresas con menos de 250 empleados y una facturación inferior a 50 millones de euros o un balance de menos de 43 millones de euros) podrían quedar exentas de algunas obligaciones relacionadas con el alto riesgo, dependiendo del resultado de las negociaciones del diálogo tripartito. 

Para la UE, la Ley de IA seguirá siendo un tema clave para los legisladores, y cabe esperar actualizaciones rápidas si surgen novedades en el ámbito tecnológico o normativo. 

Un ámbito importante al que hay que prestar atención es el de la estandarización. Muchos de los términos bastante vagos de la Ley de IA —como la representatividad y la ausencia de errores, mencionados en el apartado de gobernanza de datos— se definirán con mayor precisión en las normas que están elaborando en este momento las organizaciones de normalización. 

Es de esperar que estas normas ofrezcan cierto marco de seguridad a las empresas que utilizan la IA o toman decisiones complejas, siempre y cuando puedan incorporarlas a sus modelos y procedimientos de calificación crediticia. Por lo tanto, cualquier proceso de suscripción de crédito preparado para el futuro debería seguir de cerca los avances relacionados con la Ley de IA de la UE y sus iniciativas de estandarización.

Descargo de responsabilidad
La información proporcionada en este artículo no constituye ni pretende constituir asesoramiento profesional o legal; por el contrario, toda la información, el contenido y el material tienen únicamente fines informativos y educativos generales. Por lo tanto, antes de tomar cualquier medida basada en dicha información, le recomendamos que consulte con los profesionales adecuados.

P: ¿Qué es la Ley de Inteligencia Artificial (IA) de la UE?

R: La Ley de Inteligencia Artificial de la UE es la primera normativa integral sobre IA, y clasifica la evaluación de riesgos crediticios como un caso de uso de IA de alto riesgo. Establece requisitos estrictos en materia de transparencia, gobernanza de datos y supervisión humana en la toma de decisiones automatizada.

P: ¿Cómo afectará la Ley de IA a la evaluación de créditos?

R: Los modelos de evaluación de crédito que utilicen puntuaciones crediticias, modelos estadísticos o algoritmos de inteligencia artificial deberán cumplir con nuevas obligaciones de cumplimiento normativo. Las entidades crediticias deben documentar sus decisiones, garantizar la calidad de los datos y mantener procesos de evaluación explicables y auditables.

P: ¿Se aplica la Ley de IA fuera de la UE?

R: Sí. Al igual que el RGPD, la Ley de IA se aplica a cualquier entidad crediticia que ofrezca servicios de crédito a clientes de la UE, incluso si la empresa tiene su sede fuera de la UE. Las entidades crediticias internacionales deben prepararse desde ahora para seguir cumpliendo con la normativa.

P: ¿Qué medidas deben tomar las entidades crediticias para prepararse para la regulación de la IA?

R: Las entidades crediticias deberían empezar por fortalecer la gobernanza de los datos, la infraestructura de toma de decisiones crediticias y la transparencia de los modelos. El uso de plataformas flexibles y automatizadas ayuda a garantizar que estén preparadas para cumplir con la Ley de Inteligencia Artificial.

P: ¿Cómo puede Taktile ayudar en la evaluación de crédito conforme a la IA?

R: Taktile ofrece una plataforma de toma de decisiones de bajo código con registros de auditoría integrados, integraciones de datos sin interrupciones y herramientas de IA explicables. Solicita una demostración para ver cómo Taktile permite a las entidades crediticias mantener su agilidad y cumplir con la Ley de IA de la UE.