In data we trust? Emerging policy and supervisory approaches to AI data use in financial services

El BIS, en su nuevo documento In data we trust? Emerging policy and supervisory approaches to AI data use in financial services, plantea una idea central: en finanzas, la IA funciona tan bien como los datos que utiliza. El reporte explica que, en especial en el caso de la IA generativa, los datos son determinantes en todo el ciclo de vida del sistema, desde el entrenamiento y la validación hasta el despliegue y el monitoreo. Por eso, no son un insumo secundario, sino el elemento que define el alcance, los límites y el comportamiento de estos modelos.

A partir de ese punto, el BIS advierte que el sector financiero arrastra debilidades estructurales en materia de datos. La información suele estar dispersa entre sistemas legados, canales digitales, distintas áreas de negocio y proveedores externos. Esa fragmentación afecta la consistencia, la calidad y la trazabilidad de los datos. Con la expansión de la IA generativa, estas fallas dejan de ser solo operativas y pasan a convertirse en un asunto estratégico para las entidades financieras.

En ese contexto, el documento identifica cuatro frentes principales de riesgo:

1. Privacidad: Los modelos avanzados procesan grandes volúmenes de datos personales y hacen más difícil aplicar principios como consentimiento, minimización, limitación de propósito y retención. 
2. Calidad: Datos incompletos, inexactos o poco representativos pueden derivar en decisiones erradas o sesgadas en actividades como crédito, seguros, pagos o vinculación de clientes.
3. Seguridad: A mayor escala de uso de datos, mayor exposición a fugas de información, accesos no autorizados, alteraciones o incidentes cibernéticos. Esto no sólo genera riesgos legales o reputacionales, sino también riesgos para la resiliencia operativa. 
4. Gobernanza: Entendida como la capacidad de definir roles, procesos, controles y responsabilidades claras sobre cómo se recolectan, procesan, comparten y supervisan los datos dentro de los sistemas de IA.

Y es precisamente alrededor de estos cuatro frentes donde empieza a ordenarse la respuesta regulatoria. En lugar de construir un marco completamente nuevo, las autoridades financieras han optado por extender y adaptar herramientas ya existentes en materia de protección de datos, gestión de riesgo de modelos, ciberseguridad, resiliencia operativa y gestión de terceros. Esto responde a que los riesgos asociados a privacidad, calidad, seguridad y gobernanza no surgen por fuera del perímetro regulatorio, sino que ya estaban presentes, de distintas maneras, en marcos previos. La novedad, entonces, no está en la aparición de riesgos completamente distintos, sino en la necesidad de reinterpretarlos y aplicarlos al uso de IA.

Sin embargo, el reporte advierte que persisten vacíos importantes. Muchos marcos regulatorios fueron diseñados para usos tradicionales de datos o para generaciones anteriores de IA, por lo que no siempre capturan la complejidad de la IA generativa. Además, la creciente dependencia de terceros (como proveedores de nube, modelos o datos) reduce la visibilidad sobre toda la cadena de información y hace más difícil la supervisión.

En esa medida, la conclusión del BIS es clara: si la IA quiere escalar de forma segura en los servicios financieros, la prioridad no puede limitarse al modelo. También debe fortalecerse la gobernanza de datos. Esto implica elevar estándares de calidad, reforzar controles de seguridad, aclarar expectativas supervisoras y profundizar la coordinación entre autoridades financieras y autoridades de protección de datos.