Cuando los responsables de las organizaciones financieras y de seguros podían dar por concluida la implementación del marco de gestión de DORA en sus negocios, un nuevo marco regulatorio ha impactado en su operativa: el Reglamento de Inteligencia Artificial (RIA).

Y es que no se puede afirmar que la adopción de la inteligencia artificial en el sector bancario y de seguros sea puntual o superficial, si no que está transformando el núcleo de sus modelos de negocio.

En ambos sectores, la IA se está despegando en multitud de procesos internos y en la relación con sus clientes, en concreto en la banca es un componente central en áreas críticas como el scoring y concesión de crédito, ya que son los algoritmos los que analizan las variables financieras y de comportamiento para evaluar la solvencia de clientes con gran precisión, o en la prevención del fraude a través de la detección en tiempo real de transacciones sospechosas mediante análisis de patrones, identificación de anomalías y correlación de datos.

Mientras que el sector asegurador aprovecha la IA en la suscripción y tarificación dinámica, esta es capaz de analizar grandes volúmenes de datos (historial médico, hábitos de conducción, IoT en hogares y vehículos, etc.) para personalizar primas. Aplicándola también a uno de sus procesos más importantes como es la gestión de siniestros, automatizando la recepción, validación y tramitación de reclamaciones, incluyendo el análisis de documentos, imágenes y vídeos para estimar los daños.

Por lo tanto estos sectores se están viendo impactados de pleno por la entrada en vigor del el RIA el pasado 1 de agosto de 2025.

NUEVAS OBLIGACIONES PARA GESTIONAR NUEVOS RIESGOS

El RIA añade una capa regulatoria que obliga a las empresas ya sujetas a DORA a extender su marco de gestión de riesgos TIC hacia aspectos específicos de la IA, en concreto afecta a la calidad y gobernanza de los datos, incluye la necesidad de supervisión humana, impone prohibiciones de prácticas y hace obligatoria trazabilidad técnica de los procesos y las evaluaciones del impacto de la IA.

Es innegable que desde la publicación del Reglamento Europeo sobre la resiliencia operativa digital del sector financiero (DORA) el marco de gestión de riesgos de ciberseguridad de las entidades del sector financiero está sufriendo grandes cambios. Sobre todo, en lo que se refiere a asegurar sus operaciones, cada vez más dependientes de las TIC, lo que ha hecho a este sector muy vulnerable a los problemas que afectan a estas tecnologías, como es el caso de los ciberataques.

Hasta la llegada de DORA, los riesgos cibernéticos que afectaban al sector financiero se abordaban de forma fragmentada. Existían normas generales de aplicación parcial para el sector financiero y normas destinadas al sector financiero que trataban la gestión de riesgos TIC de forma irregular y con cierta incoherencia.

En este entorno, el Reglamento DORA está llamado a unificar y facilitar la aplicación de un marco que permita mantener el pleno control del riesgo relacionado con las TIC. Las entidades financieras necesitan disponer de capacidades globales para realizar una gestión del riesgo tecnológico sólida y eficaz, así como de mecanismos y políticas específicos para gestionar los incidentes relacionados con las TIC y notificar aquellos que sean graves.