La inteligencia artificial en la banca ya no es un tema limitado al laboratorio de innovación. En los servicios financieros europeos, la IA, la IA generativa y el machine learning están entrando en el riesgo de crédito, la detección de fraude, la prevención del blanqueo de capitales, el servicio al cliente, el desarrollo de software, el reporting regulatorio y la resiliencia operativa. La pregunta estratégica ya no es si los bancos utilizarán IA. Lo harán. La verdadera pregunta es si podrán escalarla sin perder el control.

Aquí es donde muchas estrategias de IA en banca fracasan. Tratan la IA como un problema de despliegue tecnológico. En una entidad supervisada, la IA es un problema de modelo operativo.

El EU AI Act lo hace visible. Tomemos la evaluación de la solvencia crediticia. Según el Anexo III, los sistemas de IA utilizados para evaluar la solvencia de personas físicas o establecer su credit score se clasifican como sistemas de alto riesgo, salvo cuando el sistema se utiliza para detectar fraude financiero. Esa única distinción ya muestra la verdadera complejidad. Un banco no puede simplemente etiquetar un modelo como “analytics” y seguir adelante. Debe comprender el propósito del sistema, la población de clientes afectada, el proceso de decisión, la trazabilidad de los datos, el modelo de supervisión humana y la cadena de responsabilidad.

Eso no es burocracia. Eso es banca.

DORA añade la realidad tecnológica. Si la IA depende de plataformas cloud, desarrollo externalizado, datos externos, APIs o servicios de modelos, la gobernanza de la IA no puede separarse de la gestión del riesgo ICT, la resiliencia operativa y el riesgo de terceros. Un caso de uso de IA generativa puede parecer inofensivo en una demo. En producción, se convierte en parte del entorno de control del banco.

El Financial Stability Board ha planteado el riesgo en términos similares: la IA puede mejorar la eficiencia y las capacidades analíticas, pero también puede amplificar vulnerabilidades relacionadas con dependencias de terceros, ciber riesgos y gobernanza de modelos. Precisamente por eso los bancos deben ir más allá de la experimentación.

Europa debe ser honesta sobre el trade-off. La regulación no crea automáticamente una ventaja competitiva. A corto plazo puede aumentar costes, ralentizar el time-to-market y frustrar a equipos que quieren avanzar rápido. Algunas entidades utilizarán esto como excusa para permanecer permanentemente en modo piloto.

Pero el argumento más sólido es otro: la ventaja no proviene de la regulación en sí. Proviene de estar obligado a construir la disciplina de gobernanza que una IA escalable necesitará de todos modos.

Diagrama: la IA como problema de modelo operativo — trazabilidad de datos, supervisión humana, responsabilidad y riesgo de terceros bajo el EU AI Act y DORA

Un banco puede comprar acceso a un large language model. No puede comprar un modelo operativo de IA creíble.

Las instituciones ganadoras no serán las que tengan el mayor número de pilotos de IA. Serán aquellas capaces de operacionalizar la IA a escala: con data pipelines aprobados, ownership clara, inventarios de modelos, supervisión de proveedores y monitorización capaz de resistir el escrutinio. En ese entorno, la gobernanza no es lo contrario de la velocidad. Una gobernanza débil es lo que hace que cada nuevo caso de uso de IA sea lento, político y frágil.

La diferencia se hace visible a escala. Un chatbot puede lanzarse como experimento local. Un coding assistant puede probarse en un equipo tecnológico. Un modelo antifraude puede ser mejorado por una unidad de analytics. Pero cuando la IA afecta a resultados de clientes, capital, conduct risk, ciber riesgo o reporting regulatorio, la experimentación aislada ya no es suficiente. El banco necesita una capacidad empresarial, no veinte iniciativas desconectadas.

Ese es el verdadero reto de liderazgo para la tecnología bancaria europea. La estrategia de IA debe conectarse con el reporting al board, el risk appetite, la gobernanza de datos, la gestión del riesgo de modelo y la resiliencia operativa. De lo contrario, el banco termina con presentaciones impresionantes y una débil preparación para producción.

Por eso, los boards deberían dejar de preguntar únicamente: “¿Cuántos casos de uso de IA tenemos?” Esa es la pregunta equivocada.

Deberían plantear tres preguntas más difíciles.

Tres preguntas a nivel de consejo que separan la transformación real de IA del teatro de la innovación: titularidad, control demostrado y valor medible
  1. 1¿Qué sistemas de IA podrían afectar materialmente a clientes, empleados, decisiones de riesgo, reporting regulatorio o resiliencia operativa — y quién los controla end to end?
  2. 2¿Puede el management demostrar, y no solo afirmar, que el banco tiene un control adecuado sobre la calidad de los datos, el comportamiento de los modelos, la supervisión humana, las dependencias de terceros y la monitorización continua?
  3. 3¿Dónde crea la IA valor de negocio medible — y dónde estamos simplemente añadiendo complejidad a una arquitectura tecnológica ya fragmentada?

Estas preguntas separan la verdadera transformación de IA del innovation theatre.

Para los bancos europeos, la oportunidad no está en publicar otro manifiesto genérico sobre IA. La oportunidad está en integrar la IA en el modelo operativo de la institución: lo suficientemente cerca del negocio para crear valor, lo suficientemente cerca de risk y technology para mantenerse bajo control, y lo suficientemente cerca del board para ser realmente gobernada.

La IA en banca no la ganará la narrativa de innovación más ruidosa. La ganarán las instituciones que puedan escalar la IA, demostrar control y aun así moverse más rápido que su propia legacy.