El Tesoro de Estados Unidos acaba de publicar uno de los documentos más detallados que un gobierno ha producido sobre cómo los bancos deben gestionar los riesgos de la inteligencia artificial. El Financial Services AI Risk Management Framework (FS AI RMF) es el resultado de la colaboración de más de 100 instituciones financieras y organismos reguladores, y llega con un Guidebook de implementación que define 230 objetivos de control organizados en cuatro funciones: gobernar, mapear, medir y gestionar.
El timing no es casual. La IA está entrando a las finanzas por todos los flancos —desde la detección de fraude hasta los modelos de crédito y los asistentes de inversión— y los marcos de gobernanza existentes, diseñados para software tradicional, no alcanzan para cubrir los riesgos que introduce un sistema cuyas salidas varían según el contexto y son difíciles de explicar.
¿Qué es el FS AI RMF y en qué se diferencia de lo que ya existe?
El marco se posiciona explícitamente como una extensión sectorial del NIST AI Risk Management Framework, el estándar del gobierno federal estadounidense para gestión de riesgos de IA. La diferencia: el NIST es genérico. El FS AI RMF está calibrado para las expectativas regulatorias y las prácticas operativas del sector financiero.
IA para el Resto de Nosotros
La nueva versión de mi curso estrella para aprender a usar la IA de forma práctica, simple y útil en tu día a día. Comienza el 24 de marzo.
→ Inscríbete hoy 🚀Los riesgos que identifica son concretos: sesgo algorítmico en decisiones de crédito, limitada transparencia en los procesos de decisión, vulnerabilidades de ciberseguridad, y dependencias complejas entre sistemas y datos. Los modelos de lenguaje reciben atención especial porque, a diferencia del software determinístico, su comportamiento varía según el contexto y puede ser difícil de predecir o auditar.
El framework no es prescriptivo en el sentido de “haz exactamente esto”. Funciona con un cuestionario de madurez de adopción que clasifica a las instituciones en cuatro etapas: inicial (sin IA operativa), mínima (IA en áreas de bajo riesgo), evolutiva (sistemas más complejos con datos sensibles) y embebida (IA como parte central de operaciones y toma de decisiones). Según dónde esté la institución, el framework activa controles adicionales.
Los 230 controles y lo que realmente implican
Los 230 objetivos de control cubren desde la gestión de calidad de datos hasta el monitoreo de sesgos y equidad, los controles de ciberseguridad, la transparencia de los procesos de decisión, y la resiliencia operacional. La palabra que aparece más en el documento es “gobernanza”: quien adopta IA sin fortalecer estructuras de gobierno se expone a fallos operativos, escrutinio regulatorio, o daño reputacional.
Uno de los requisitos más específicos es mantener procedimientos de respuesta a incidentes específicos para sistemas de IA y un repositorio centralizado para rastrear incidentes relacionados con IA. Eso distingue el framework de guías más genéricas: no basta con los planes de continuidad de negocio tradicionales si el fallo es un modelo que produce salidas sesgadas o impredecibles.
El documento también enfatiza la coordinación entre funciones: equipos de tecnología, oficiales de riesgo, especialistas en compliance y unidades de negocio tienen que participar activamente en el proceso de gobernanza de IA. No es un problema solo del CTO.
¿Por qué importa más allá de EE.UU.?
Formalmente, el FS AI RMF aplica al sector financiero estadounidense. En la práctica, los marcos regulatorios de referencia en finanzas tienden a propagarse globalmente: así funcionó Basel III, así funcionó FATF, y así está funcionando el EU AI Act. Bancos que operan en múltiples jurisdicciones van a encontrar que este framework se alinea con lo que la UE y otros reguladores están exigiendo por separado.
Para instituciones fuera de EE.UU., el documento sirve como referencia de qué preguntas hacerse antes de que el regulador local empiece a hacerlas. Casos como el de E.SUN e IBM en Taiwan muestran que los bancos más avanzados en Asia ya están construyendo frameworks propios que se alinean con ISO 42001 y el EU AI Act, no esperando que el regulador local los imponga.
El otro ángulo relevante es la presión que esto crea sobre fintechs y startups financieras. Millones de personas ya usan IA para asesoría financiera —a menudo a través de startups que no tienen ningún framework de gobernanza formal— y la publicación de este tipo de documentos establece una expectativa de mercado que eventualmente se convierte en obligación regulatoria.
La señal que manda el Tesoro es clara: la adopción de IA en finanzas tiene que avanzar en paralelo con la gobernanza del riesgo. Llegar primero al mercado con un modelo de crédito nuevo ya no es suficiente si no puedes explicar cómo tomó sus decisiones ni qué pasa cuando falla.
