IA, UE y soberanía industrial: novedades legales y retos tecnológicos

Revolución y evolución. Retocar sin trastocar. Binomio perfecto, y a la vez, de difícil ejecución real. Requiere cirugía fina. Requiere estadistas, sin tanta estadística. Recordemos el famoso tridente en el sector industrial internacional: EEUU fabrica, China copia y Europa regula. Parece, a raíz de las nuevas medidas que se van conociendo, que el Viejo Continente también aspira a ser actor industrial principal y no sólo el gran museo del mundo.

La inteligencia artificial (IA) ya se ha convertido en inversión estratégica para quien quiera competir en el plano global. Prueba de ello, son las decisiones adoptadas en París esta semana. Las resumimos en dos, una económica y otra legal. En primer lugar, mayor inversión. Sin medios no hay crecimiento, no hay evolución. Veremos cómo se articula el mecanismo de adjudicación, el baremos de méritos y la interacción mercantil entre empresas. En segundo lugar, la no aprobación de la Directiva sobre Responsabilidad de la IA y el Reglamento sobre Privacidad y Comunicaciones Electrónicas, al menos, durante los próximos seis meses.

La razón parece evidente. Europa quiere posicionarse como actor principal en el sector industrial de la IA. Para ello, más inversión y menos trabas/requisitos legales. Ahora bien, estas novedades no impiden, en absoluto, una realidad legal en este ámbito: la aplicación del reglamento de IA desde el pasado 2 de febrero (sólo capítulos I y II ) y sanciones a partir del 2 de agosto. A su vez, hemos conocido la interpretación de la comisión sobre el concepto de sistema de IA.

Se establecen siete parámetros esenciales: basado en máquinas; funciona con distintos niveles de autonomía; puede adaptarse tras su implementación; opera con objetivos explícitos o implícitos; infiere resultados a partir de la entrada recibida; genera predicciones, contenido, recomendaciones o decisiones y puede influir en entornos físicos o virtuales. Ahora bien, no es requisito sine qua non que todos estos elementos estén vigentes durante todo el ciclo de vida del sistema de IA. Todos deben ser parte del sistema, pero no estar a la vez. A su vez, esta definición de sistema de IA debe aplicarse de forma individual, conforme a los parámetros particulares y no de forma generalizada.

En este sentido, la inteligencia artificial no solo está revolucionando la forma en que compramos o gestionamos nuestro correo electrónico y redes sociales, sino que también está sacudiendo los cimientos del sector financiero. Desde la banca tradicional hasta los nuevos actores de la economía digital —fintech, insurtech y demás—, todos han sentido ya la presión de subirse al tren de la IA. Pero cuidado: con el Reglamento Europeo de Inteligencia Artificial (RIA) parcialmente aplicable desde el 2 de febrero de 2025, más la entrada en vigor de DORA (Digital Operational Resilience Act), se inaugura una temporada de alto voltaje normativo.

Para quienes operan en mercados bursátiles o gestionan fondos de inversión, la IA puede equivaler a un analista que nunca duerme, capaz de procesar en tiempo récord grandes volúmenes de datos a través de técnicas de machine learning, como algoritmos de deep learning o modelos de refuerzo (reinforcement learning). El potencial de detectar oportunidades o predecir riesgos antes que nadie es inmenso. Sin embargo, la nueva regulación exige rigor en cuestiones como la trazabilidad de los datos (data lineage) y la explicabilidad de los algoritmos (explainable AI, o XAI), elementos clave para mantener la confianza del inversor. Después de todo, ¿qué cliente no valoraría un sistema con sólidos mecanismos de interpretación legal y auditoría?

DORA, por su parte, se centra en la resiliencia de la operativa digital. Para un banco o una entidad de pago, esto se traduce en blindar todos los procesos de TI: planes de contingencia, protocolos de ciberseguridad y tests periódicos —incluyendo stress tests de IA— que reduzcan al mínimo el riesgo de un ataque o de una interrupción que deje a los clientes sin acceso a sus cuentas.

Mientras el RIA marca cómo y cuándo se puede usar la IA —especialmente en actividades críticas como la concesión de créditos, donde las decisiones automatizadas deben someterse a model risk management—, DORA refuerza la idea de un “escudo financiero” a prueba de ciberataques y disrupciones. Esta doble capa regulatoria promete un panorama empresarial más sólido y transparente. Adaptarse a estas exigencias no es gratis ni sencillo, pero supone una ventaja competitiva a largo plazo: clientes más seguros, sistemas más robustos y, en definitiva, una reputación reforzada en el mercado.

Como novedad interesante, se contempla la creación de entornos controlados o regulatory sandboxes a nivel europeo, donde las empresas puedan probar innovaciones de IA —incluso las basadas en modelos fundacionales (foundation models) como los de texto generativo— sin incurrir en riesgos masivos. Estos sandboxes buscan facilitar la experimentación responsable y garantizar que las tecnologías se alineen con los principios de transparencia y seguridad financiera.

En definitiva, revolución y evolución. Europa y soberanía. Inversión y regulación (sin sobre regulación). Ya creamos talento. Exportemos, también, crecimiento.