Decisiones crediticias discriminatorias
Modelos de scoring que perjudican a grupos protegidos mediante datos sesgados o variables sustitutivas: un problema de préstamo justo y del EU AI Act a la vez.
ISO/IEC 42001 por sector
El scoring crediticio, la detección de fraude, la tarificación del riesgo, el roboasesoramiento y la supervisión AML funcionan con IA, y están sometidos al mayor escrutinio regulatorio de cualquier sector. ISO/IEC 42001 ofrece a bancos, prestamistas, aseguradoras y fintechs un sistema de gestión de IA auditable que encaja limpiamente junto a las obligaciones de riesgo de modelos, DORA y de préstamo justo.
Por qué esto es de alto riesgo
El EU AI Act clasifica la IA usada para evaluar la solvencia crediticia o establecer una puntuación de crédito, y la IA usada para la evaluación y tarificación del riesgo en seguros de vida y de salud, como de alto riesgo en el Annex III (la detección de fraude queda excluida). Superpuesto a ello: las expectativas de gestión del riesgo de modelos de los supervisores financieros, DORA para la resiliencia operativa y de las TIC (aplicable desde enero de 2025), los límites del GDPR sobre elaboración de perfiles y decisiones automatizadas, y las normas de larga data sobre préstamo justo y no discriminación. Pocos sectores combinan tanta presión horizontal y sectorial.
Los riesgos
Aquí los modos de fallo se miden en multas, reparaciones y daño reputacional:
Modelos de scoring que perjudican a grupos protegidos mediante datos sesgados o variables sustitutivas: un problema de préstamo justo y del EU AI Act a la vez.
Decisiones de modelos que nadie puede explicar plenamente, sin validación documentada ni proceso de modelo retador.
Los cambios económicos mueven el terreno bajo el modelo; una deriva no detectada erosiona silenciosamente la calidad de las decisiones.
La regulación exige cada vez más una razón significativa para una denegación, difícil de dar sin una lógica de modelo documentada.
Los modelos comprados y las API de IA introducen un riesgo que debes gobernar pero que no construiste.
El exceso de marcado perjudica a los clientes y crea riesgo operativo y de conducta.
Cómo lo cubre ISO/IEC 42001
El kit asocia cada riesgo a un control específico del Annex A y a un documento listo para usar:
| Annex A control | Toolkit document | Why it matters |
|---|---|---|
| A.6 — Ciclo de vida y validación | Plan e Informe de V&V + Ficha de Modelo (VV-PLN-01 / VV-REC-01 / LIFE-TPL-05) | Documenta la validación, los criterios de puesta en producción y la documentación del modelo: la columna vertebral de una gestión defendible del riesgo de modelos. |
| A.7 — Gobernanza de datos | Política de Gobernanza de Datos + Registro de Procedencia + Evaluación de Calidad (DATA-POL-01 / DATA-TPL-02 / DATA-TPL-03) | Procedencia, calidad y base legal de los datos que sustentan las decisiones de crédito y tarificación. |
| A.5 / A.7.4 — Impacto, sesgo y equidad | Evaluación de Impacto de IA + Registro de Sesgo y Equidad (RISK-TPL-01 / DATA-TPL-05) | Prueba de que el scoring y la tarificación no perjudican sistemáticamente a grupos protegidos. |
| A.9.3 — Supervisión humana | Plan de Supervisión Humana (USE-PLN-01) | Revisión humana significativa y capacidad de anulación para decisiones financieras de consecuencias importantes. |
| A.6.2 — Seguimiento y deriva | Plan de Seguimiento de Sistemas de IA y Registro de KPI (MON-PLN-01) | Detecta la deriva y el deterioro del rendimiento antes de que lleguen a los clientes. |
| A.10 — IA de terceros | Cuestionario para Proveedores + Registro de Terceros (TPR-TPL-01 / TPR-REG-01) | Gobierna las dependencias de modelos fundacionales y proveedores de IA con debida diligencia y una asignación clara de responsabilidades. |
Cómo llegar
Registra cada modelo de IA y servicio de IA dentro del alcance —crédito, fraude, tarificación, asesoramiento, AML— con un responsable.
Valida y documenta cada modelo (V&V, ficha de modelo) y evalúa el impacto, el sesgo y la procedencia de los datos.
Implanta la supervisión humana y la explicabilidad de la acción adversa para las decisiones de consecuencias importantes.
Ejecuta un seguimiento continuo de la deriva y alinea el AIMS con tus procesos de riesgo de modelos y DORA.
Preguntas
Los complementa. ISO 42001 aporta la capa de gobernanza específica de IA —evaluación de impacto y de sesgo, validación del ciclo de vida, seguimiento— que se conecta a los procesos existentes de gestión del riesgo de modelos y de resiliencia operativa de DORA en lugar de duplicarlos. La estructura común de sistema de gestión hace que la integración sea sencilla.
El EU AI Act excluye la IA usada únicamente para detectar fraude financiero de la categoría de alto riesgo del scoring crediticio, pero aun así la gobiernas bajo tu AIMS en cuanto a datos, seguimiento y gestión de falsos positivos. El scoring crediticio y la tarificación del riesgo de seguros siguen siendo de alto riesgo.
No. La responsabilidad por los resultados sigue siendo de la firma que los despliega. Los controles de terceros de ISO 42001 te dan las herramientas de debida diligencia, contrato y asignación de responsabilidades para gestionar el riesgo de proveedores y de modelos fundacionales.
Relacionado
El kit incluye los controles de validación, gobernanza de datos, sesgo, supervisión y proveedores que una firma supervisada necesita, listos para adaptar a tus modelos.