A los bancos no les faltan ambiciones en materia de IA. En toda la industria, hay anuncios casi semanales sobre nuevas implementaciones, nuevas asociaciones y nuevas capacidades.
Pero entre los rascacielos, no se presta suficiente atención a la arquitectura subyacente que los hace sostenibles.
El Comité del Tesoro del Reino Unido ya advirtió que el sistema financiero no está adecuadamente preparado para un evento importante relacionado con la IA y, desde mi punto de vista, esa advertencia está dirigida a cómo se están ejecutando los programas de modernización.
Director de Riesgos y Cumplimiento en 10x Banking.
Es un problema administrativo que surge de decisiones indeterminadas; La mayoría de los bancos aún tienen que desarrollar el compromiso estratégico a nivel de toda la organización que debería definir lo que se construirá antes de que alguien comience a construir.
Al invitar al equipo de riesgos a ser parte del diseño antes de comenzar la entrega, existe una oportunidad real de realizarla.
Se invita demasiado tarde a la mesa de negociaciones a los grupos de riesgo
En las estructuras de programas tradicionales, el riesgo y el cumplimiento se incorporan para validar las decisiones ya tomadas. Se seleccionan plataformas, se acuerdan diseños y se establecen plazos, y el papel de la función de riesgos suele ser comprobar más que dar forma a estas cosas. Ese modelo nunca fue ideal, pero ahora, tras la modernización de la era de la IA, es estructural en el mejor de los casos y peligroso en el peor.
Un banco verdaderamente preparado para la IA requiere un linaje de datos continuo, controles integrados en tiempo de ejecución y un núcleo nativo de la nube en tiempo real. Ninguno de estos puede modernizarse de forma económica una vez que ya se han tomado las decisiones arquitectónicas. Cuando un equipo de cumplimiento descubre que una nueva plataforma no puede cumplir con los requisitos de gobernanza de IA o de trazabilidad de datos, el costo de arreglarla es prohibitivo.
Si la función de riesgo es parte del proceso de diseño desde el principio, los bancos pueden construir arquitecturas conscientes del riesgo sin ser reacios al riesgo. La diferencia en los resultados es sustancial y, cada vez más, la diferencia entre una organización que puede trabajar con confianza con IA y otra que no.
Cómo los núcleos heredados crean riesgos invisibles
La historia de las limitaciones de la arquitectura heredada a la innovación está bien contada, pero también crea puntos ciegos que los profesionales del riesgo no pueden ver, y mucho menos gestionar.
Los núcleos de procesamiento por lotes son ejemplos obvios de esto. Cuando un núcleo actualiza sus posiciones de la noche a la mañana en lugar de hacerlo en tiempo real, los sistemas de lucha contra el lavado de dinero y el fraude operan con datos obsoletos. La actividad sospechosa que ocurre dentro de un lote permanece invisible hasta el siguiente ciclo, una responsabilidad operativa directa a medida que los delitos financieros aumentan en volumen y velocidad.
Los canales de datos fragmentados plantean un problema relacionado. El linaje continuo (la capacidad de rastrear cada decisión hasta su fuente de datos) es un requisito previo para la gobernanza de la IA. En arquitecturas donde los datos pasan a través de múltiples sistemas desconectados antes de llegar a una capa de análisis, es estructuralmente imposible mantener ese linaje sin una arquitectura moderna nativa de la nube.
Por último, las implementaciones de IA de terceros añaden una capa adicional de exposición. Un banco no tiene control total cuando los modelos están integrados en las plataformas, lo que deja a los equipos de cumplimiento con una visibilidad limitada sobre cómo se toman las decisiones.
Según la legislación de la UE sobre IA, que exige trazabilidad y explicabilidad para los sistemas de IA de alto riesgo que pueden tomar decisiones crediticias y detectar fraudes, esto se convierte en un riesgo regulatorio directo y en uno de los numerosos regímenes de IA emergentes que los bancos deben sortear.
El riesgo es de crónico a agudo.
Lo que ha cambiado es la velocidad a la que se mueve el riesgo.
Ahora que los bancos deben lidiar con el aumento de los ciberataques estatales a las cadenas de suministro financieras, una tendencia acelerada por la inestabilidad geopolítica, la IA agente ha aumentado significativamente la velocidad y la escala de esos ataques.
Bajo regímenes como DORA, que permite informar eventos cibernéticos en tiempo real, las organizaciones necesitan una infraestructura de detección y respuesta que opere con datos en vivo, capaz de detectar incidentes y escalarlos en lugar de hacerlo a posteriori. Las arquitecturas por lotes no cumplen con este estándar y el margen para la corrección es limitado.
La Ley de IA de la UE plantea nuevas limitaciones a la trazabilidad y la interpretabilidad, en particular para la toma de decisiones crediticias y la detección de fraude, ambas áreas donde la adopción de la IA se está acelerando.
Los bancos que no están diseñados para cumplir con estos requisitos están acumulando riesgos, en lugar de evitarlos. Se conocen los plazos reglamentarios. Se entienden los requisitos técnicos. La pregunta es si la arquitectura que se elige hoy es capaz de cumplir con las obligaciones que se impondrán mañana.
¿Cómo es la modernización inteligente en cuanto al riesgo?
He formado parte de suficientes comités directivos de programas para saber que el momento en que los profesionales en riesgo son incorporados a un programa de modernización determina todo lo que sigue.
Cuando llegamos a establecer la arquitectura, estamos debatiendo decisiones que ya son costosas de revertir. Cuando estamos en la sala desde el principio, podemos diseñar elementos no negociables en lugar de atornillarlos.
El punto de partida práctico son tres preguntas que todo banco debería responder antes de decidirse por una plataforma:
¿Qué postura de riesgo debemos proteger durante la migración? La respuesta define los elementos no negociables de cualquier arquitectura nueva: integridad de los datos, continuidad de las auditorías, controles de acceso y estructuras de gobernanza que no se pueden perder durante la transición.
¿Contra qué estamos trabajando en un horizonte de diez años? Los requisitos regulatorios en 2036 serán diferentes a los de 2026. La arquitectura elegida hoy debe ser capaz de cumplir con obligaciones que aún no existen plenamente, lo que significa que la flexibilidad y las capacidades de datos en tiempo real no son extras opcionales. Algunas fintechs nuevas, nativas digitalmente, han demostrado que construir con este horizonte en mente desde el principio crea una arquitectura materialmente diferente y más resiliente que modernizar el cumplimiento en una propiedad existente.
¿Qué cambios de gobernanza debemos hacer para evitar incorporar riesgos heredados en una plataforma moderna? La nueva infraestructura que ejecuta procesos antiguos es un escaparate. Si moderniza la tecnología sin modernizar la gobernanza, recreará las mismas fallas de gobernanza en un entorno diferente.
La modernización no está exenta de riesgos. Pero el riesgo de quedarse quieto ahora supera el riesgo de actuar con cuidado, y el costo de conseguir los compuestos arquitectónicos equivocados cada año es incalculable.
Almacene los datos de su empresa en la nube con los mejores servicios de almacenamiento en la nube empresarial.
Este artículo fue producido en parte Perspectiva profesional de TechRadarNuestro canal para mostrar las mejores y más brillantes mentes de la industria tecnológica actual.
Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí:
