Esta semana han salido dos noticias que, leídas por separado, parecen de mundos distintos. El Consejo de Estabilidad Financiera (FSB) publica doce recomendaciones para una adopción responsable de la inteligencia artificial en el sector financiero y pide controles más estrictos sobre la IA agéntica: sistemas capaces de planificar, razonar y ejecutar tareas con supervisión humana mínima. El mismo día, JPMorgan anuncia que desplegará agentes de IA de larga duración que pueden trabajar horas sin intervención humana. Yo no se como lo ves tu, pero a mi me suena a que alguien va a tener que ceder, y no creo que sea el banco más grande de Estados Unidos.
El informe del FSB, abierto a consulta pública hasta el 22 de julio, no es un papel decorativo. El organismo advierte que la IA agéntica puede materializar riesgos a gran velocidad: acciones no autorizadas, filtraciones de datos, interrupciones en sistemas conectados. Propone que los consejos de administración definan límites claros, que las transacciones de alto riesgo requieran aprobación humana y que, en algunos casos, se trate a los agentes de IA como «empleados sintéticos» con controles de recursos humanos adaptados. Traducción: la tecnología ya está en la calle, pero la gobernanza va con retraso.
En paralelo, Frank Elderson del BCE ha confirmado que enviarán una carta a todos los CEO bancarios europeos pidiendo medidas proactivas contra los riesgos de la IA, con seguimiento individualizado por entidad. El detonante no es abstracto: el modelo Mythos de Anthropic, capaz de detectar vulnerabilidades en sistemas informáticos, ha puesto nervioso al sector. El BCE ya reunió a los bancos en abril y la semana pasada volvió a sentarse con ellos. Santander, BBVA, CaixaBank y el resto de entidades supervisadas directamente por Frankfurt tienen deberes sobre la mesa.
Y aquí está la ironía que me revienta. Los mismos bancos que testean herramientas como Mythos para encontrar fallos en sus defensas son los que presionan para desplegar agentes autónomos en operaciones críticas. JPMorgan invierte casi 20.000 millones de dólares al año en tecnología y su CEO, Jamie Dimon, lleva años vendiendo la IA como el siguiente gran salto de productividad. Según Tech Startups, la firma planea agentes que operen durante horas sin input humano, con un responsable de IA reconociendo que la seguridad sigue siendo la barrera principal pero afirmando que «los tendremos en 2026». En private banking ya hablan de un 20% más de ventas brutas gracias a sistemas que analizan mercados y posiciones de clientes durante la noche.
¿Ves el problema? El FSB te pide umbrales de aprobación humana para transacciones sensibles y el mayor banco del país más regulado del mundo te dice que los agentes autónomos llegan este mismo año. Alguien está exagerando las salvaguardas o alguien está minimizando los riesgos, y sospecho que las dos cosas ocurren a la vez según convenga al interlocutor.
Lo que menos me convence del informe del supervisor global es su carácter no vinculante. Doce buenas prácticas, casos de estudio, consulta pública… y cero consecuencias si un banco las ignora. Mientras tanto, Bloomberg Linea recoge que McKinsey calcula que los bancos están reduciendo las clases de analistas junior hasta en dos tercios mientras obtienen el 62% de su talento en IA de esas mismas cohortes. Barclays resume millones de llamadas de atención al cliente con IA generativa. Bank of America mantiene sus 4.000 contrataciones de verano pero exige que la plantilla total se quede plana gracias a la eficiencia artificial. La narrativa es coherente: la IA no sustituye empleos, optimiza procesos. Claro, y el FSB pide tratar a los agentes como empleados sintéticos porque intuye exactamente lo contrario.
Tampoco me fío de la distribución del riesgo entre grandes y pequeños. Elderson del BCE reconoce que las defensas avanzadas pueden ser un esfuerzo excesivo para entidades medianas. Si Santander puede permitirse consultores de ciberseguridad y un departamento de gobernanza de IA, ¿qué hace un banco regional cuando Mythos encuentra un agujero en su infraestructura y no tiene presupuesto para parchearlo antes de que lo explote alguien con menos escrúpulos? El FSB menciona la dependencia de unos pocos proveedores cloud y de IA, pero las recomendaciones no resuelven la asimetría: los que más adoptan son los que más pueden permitirse limpiar el desastre.
En foros anglosajones la conversación va un paso por delante. Reuters recoge la advertencia del FSB sobre agentes que persiguen objetivos distintos a los de la firma sin que el personal pueda intervenir a tiempo. El FMI ya analiza cómo la IA agéntica reconfigurará los pagos, con preguntas abiertas sobre trazabilidad de autorizaciones, comportamiento correlacionado entre agentes y responsabilidad legal. Son debates de arquitectura y diseño institucional, no de si conviene instalar ChatGPT en atención al cliente. Pero en España seguimos leyendo titulares tipo «cómo la IA transforma el sector financiero» como si fuera una revolución inevitable y benigna.
Lo que me preocupa de verdad no es que la IA entre en la banca. Eso ya pasó. Me preocupa el desfase entre la velocidad de despliegue comercial y la velocidad de regulación efectiva. El Comité de Tesoro británico ya exigió en enero que el Tesoro designe a los grandes proveedores de IA y cloud como terceros críticos antes de finales de 2026. Han pasado meses y la implementación sigue siendo opaca. Si los reguladores no pueden poner orden en la cadena de suministro, ¿cómo van a supervisar agentes autónomos que operan durante horas mientras un analista junior — si es que queda alguno — revisa el informe a la mañana siguiente?
En mi experiencia con clientes del sector, la conversación interna sobre IA en banca se divide en dos bandos que no se hablan. IT y negocio quieren resultados cuantificables ya: menos costes, más ventas cruzadas, detección de fraude más rápida. Compliance y riesgos piden documentación, trazabilidad y planes de contingencia. El FSB intenta darles un lenguaje común, pero mientras las recomendaciones sean voluntarias y JPMorgan marque el ritmo comercial, adivina qué bando gana la reunión del viernes.
La semana que viene seguro saldrá otro informe, otra ronda de consulta, otra carta del BCE. Y JPMorgan seguirá anunciando agentes de larga duración como si el FSB no hubiera publicado nada. La pregunta no es si la IA agéntica llegará a la banca — ya está en la puerta — sino quién asume la responsabilidad cuando un agente autónomo ejecute una operación fuera de los límites previstos y el daño se propague antes de que alguien pueda pulsar stop. Si tu banco te promete que sus agentes de IA tendrán supervisión humana en operaciones críticas pero al mismo tiempo presume de procesar millones de interacciones sin intervención, ¿le pedirías por escrito quién firma cuando algo sale mal: el algoritmo, el proveedor cloud o tu gestor?
Fuentes
- Sound Practices for Responsible Adoption of Artificial Intelligence (AI) – Financial Stability Board
- Global watchdog calls for tighter controls on agentic AI in finance – Reuters/The Star
- Terremoto Mythos: la gran banca se pone a prueba y el BCE ultima una carta con deberes – El Confidencial
- JPMorgan plans to deploy long-running AI agents – Tech Startups
- Recomendaciones del FSB para una IA Responsable en Finanzas – Madrid Actual