Cargando. Por favor, espere

Inteligencia Artificial, Blockchain y...

Inteligencia Artificial, Blockchain y mercados financieros. Nuevos paradigmas a la espera de una regulación

  • 5-4-2022 | Wolters Kluwer
  • Cada una de estas tecnologías plantea sus propios problemas jurídicos, que una normativa todavía en elaboración trata de solucionar. Pero la relación entre una y otra plantea numerosos nuevos interrogantes, a los que los juristas están dedicando creciente atención, en especial cuando dicha interacción se produce en un ámbito tan sensible como el financiero. Una reciente sesión organizada por el centro Blockchain Intelligence, en la sede del Consejo General de la Abogacía Española, ha permitido a relevantes expertos en estas materias abordar las diferentes perspectivas y problemáticas que les afectan.
Portada

Carlos B Fernández. Sin duda, la inteligencia artificial y blockchain son dos de las tecnologías más relevantes de los últimos años. La primera destaca por su creciente capacidad para tratar grandes volúmenes de datos y, a partir de la misma, descubrir patrones e identificar objetos y situaciones y, eventualmente, adoptar o sugerir decisiones, en unas condiciones de rapidez y precisión muy por encima de las capacidades normales del ser humano. El segundo por su capacidad de registrar y permitir la circulación de bienes digitales, de forma desintermediada, en elevadas condiciones de seguridad e, igualmente, rapidez.

Cada una de estas tecnologías plantea sus propios problemas jurídicos, que una normativa todavía en elaboración trata de solucionar. Pero la relación entre una y otra plantea numerosos nuevos interrogantes, a los que los juristas están dedicando creciente atención, en especial cuando dicha interacción se produce en un ámbito tan sensible como el financiero.

De ahí que resultara tan interesante la sesión organizada recientemente por el centro Blockchain Intelligence, en la sede del Consejo General de la Abogacía Española, en la que relevantes expertos en estas materias abordaron las diferentes perspectivas y problemáticas que les afectan.

Los profesionales, ante un nuevo paradigma y su próxima evolución

En la inauguración del acto, Almudena de la Mata, managing partner de Blockchain Intelligence destacó como, gracias a tecnologías descentralizadas como Blockchain estamos ante un cambio total de paradigma en las relaciones económicas entre las personas y entre personas y organizaciones.

En paralelo se ha potenciado el elemento institucional vinculado a la misma, como el EU Blockchain Partnership, acompañado de un desarrollo tecnológico (European blockchain services infrastructure, EBSI) y de medios de pago asociados a la misma.

De esta manera, la combinación de red, medios de pago e identidad digital, conforma un sistema que cambia la manera de operar y relacionarse. Se trata de un cambio estructural que hay que abordar globalmente y teniendo en cuenta que la siguiente evolución, basada en la web 3.0, el metaverso, la IoT y la realidad virtual, ya se está aproximando a rápidos pasos.

En este cambio de modelo, el aspecto jurídico es fundamental, y aunque hasta recientemente eran pocos los juristas capaces de asesorar sobre estas materias, gracias a la formación, cada vez son más los que pueden afrontar este reto. Y es que, aunque la elaboración de una regulación de esta tecnología va lenta, los profesionales han aumentado exponencialmente su preparación. De esta manera, durante el último año se ha triplicado el trabajo de los despachos en el ámbito de las criptomonedas y los tokens.

La IA a las puertas de una regulación

La IA se encuentra en puertas de una nueva regulación a escala europea, cuyos detalles conviene conocer. Además, esta tecnología está fuertemente relacionada con la protección de datos personales y con la seguridad informática, temas todos ellos que fueron objeto de detenido análisis en la primera mesa de la sesión.

En ella, Begoña González Otero, abogada e investigadora senior en el instituto Max Planck for Innovation and Competition de Múnich, abordó en primer lugar el siempre inquietante tema de la protección de datos en el uso de Inteligencia Artificial.

González destacó en primer lugar que gracias a la cantidad de datos que se mueven en este sector, la IA se está desplegando cada vez más en muchos ámbitos, como en el ámbito financiero, dando paso a unas prácticas que van desde la experiencia individual al perfilado o a la relación con los chatbots. Y precisamente en ese ámbito dónde interviene la protección de datos, pues nos sitúa ante un escenario de muchas promesas, pero también muchos peligros.

La IA es un término global que incluye muchas tecnologías, unas muy complejas y otras más tradicionales, pero cuya delimitación exacta es compleja. El Reglamento que está elaborando la Unión Europea pretende armonizar la regulación de estas tecnologías con un alcance extraterritorial, para lo que debería utilizar una definición armonizada globalmente, como la propuesta por la OCDE, y que, además, pueda evolucionar con los avances de la tecnología.

En este sentido la coordinación entre el RGPD y este futuro Reglamento resulta imprescindible, y está dando pie a un amplio debate, por la denunciada por numerosos expertos falta de alineación entre ambos textos.

Y en ese camino Begoña González mencionó los posibles puntos críticos de esa relación, a partir de los actuales contenidos del RGPD. A este respecto se refirió a las bases del tratamiento de los datos personales, en relación con la prohibición de tratamiento de determinadas categorías especiales de datos, los principios del tratamiento, como el de la minimización de datos, las decisiones basadas en tratamientos automatizados y las evaluaciones de impacto.

Para encontrar las necesarias vías de armonizar ambas normas subrayó la importancia de los principios para una IA fiable establecidos por el Grupo de Expertos de Alto Nivel sobre IA de la Comisión Europea en 2019, que pretenden favorecer la autoevaluación de los sistemas según el sector en que se opere, identificando en cada caso los riesgos que se pueden generar. Dado que estos principios se basan a su vez en los recogidos por el RGPD, podrían servir también para la coordinación entre el RGPD y la propuesta de Reglamento sobre IA.

La Propuesta de Reglamento de Inteligencia Artificial. La IA, un sector preventivamente regulado

Continuando la sesión, Alejandro Huergo, Catedrático de Derecho Administrativo de la Universidad de Oviedo, abordó el contenido de la propuesta de ley de Inteligencia Artificial presentada por la Comisión Europea.

Para precisar el concepto, Huergo señaló que la IA es una metodología para hacer predicciones y tomar decisiones a partir del análisis matemático de datos del pasado, para hacer correlaciones.

Estas tecnologías plantean unas necesidades específicas de regulación que no se dan con anterioridad, pues hasta ahora la consecuencia de aplicar automatizadamente unas reglas a unos datos permitía obtener un resultado. Sin embargo, con la IA lo que se produce es la utilización de unos datos del pasado, en un contexto determinado, para determinar una regla aplicable y la correlativa aplicación de esta. Es decir, se realiza una predicción a partir de los datos del pasado para conocer el futuro.

Ello plantea unas consecuencias jurídicas específicas, como son que el método no tiene fiabilidad jurídica sino solo fáctica; que dicho método sustituye o apoya decisiones humanas que pueden ser sesgadas o subjetivas; que su utilización depende de un contexto en el que, a su vez, pueden resultar aplicables normas jurídicas específicas (por lo que no todos los contextos plantean los mismos problemas) y que muchas circunstancias pueden hacer que una predicción realizada de este modo sea correcta o respetuosa con los derechos fundamentales de las personas.

De ahí que la ideas básicas sobre las que se sustenta la propuesta de Reglamento sean, en primer lugar, convertir a la IA en un sector regulado, al que no se puede ni se quiere renunciar; en esta regulación se establece una clasificación de los sistemas de IA en el que predominan los sistemas considerados de alto riesgo. A la vez, esta regulación se adopta de forma preventiva, antes de que se ponga en uso un sistema de IA y es válida para todos los sectores y usos, además de estar sujeta a normas generales como la protección de datos u otras específicas o sectoriales.

La propuesta establece una serie de sistemas a los que considera inaceptables y cuyo uso, por tanto, prohíbe, como son los que intentan influir subliminalmente en el comportamiento de las personas, aquellos que se pretendan aprovechar de vulnerabilidades de sus destinatarios, los de recompensa o perfilado utilizados por las administraciones públicas y los sistemas de identificación biométrica en tiempo real utilizados por los cuerpos y fuerzas de seguridad.

Entre los sistemas considerados de alto riesgo, agrupados principalmente en base al riesgo que su uso puede generar sobre los derechos de las personas, destacan, en el ámbito financiero, aquellos de evaluación de la solvencia de las personas físicas o que sirvan para establecer su calificación crediticia, salvo que sean utilizados por operadores a pequeña escala.

Para estos sistemas considerados de alto riesgo, la Ley de IA establece una serie de requisitos definidos mediante una serie de conceptos muy indeterminados. Estos requisitos consisten en la exigencia de un sistema de gestión de riesgos (para conocer y medir el riesgo asociado al uso de esos sistemas, permitiendo eliminarlo o reducirlo, por medios proporcionales a los recursos de la organización); una exigencia de calidad de los datos utilizados para el entrenamiento del sistema, que deben ser pertinentes y representativos; la elaboración de una documentación técnica que se deberá poner a disposición de los usuarios (lo que no implica la entrega del código fuente); la conservación de unos registros sobre el funcionamiento del sistema (lo que puede plantear los conocidos problemas de caja negra en relación con las redes neuronales); en la aplicación del principio de transparencia adecuado y suficiente; en la vigilancia humana de su funcionamiento, que no excluye la toma de decisiones automáticas, pero sí la posibilidad de ignorar al sistema y un control del cumplimiento.

Todos ellos son requisitos vagos e indeterminados pero que se van a usar en unas infraestructuras críticas o en unos entornos regulados específicamente, como es el financiero (lo que hará que, por ejemplo, los sistemas de evaluación de solvencia se vayan a tener que supervisar igual que se supervisa a la propia entidad financiera).

La Inteligencia Artificial en el ámbito de la Ciberseguridad

Seguidamente, Juan Luis Fernández Rodríguez, VP of Professional Services en Constella Intelligence, explicó las principales características de la situación actual en lo que la utilización de la IA en el ámbito de la ciberseguridad se refiere.

Comenzó señalando que, con motivo de la guerra iniciada por Rusia en Ucrania, se ha multiplicado por sesenta el número de ciberataques. Pero se trata de una situación que se inició entre seis y doce años atrás.

A lo largo de este tiempo se ha pasado del hacker “bueno” y aislado a verdaderas organizaciones profesionales de ciberhackers que utilizan tecnologías de IA para realizar sus ataques y ofrecen sus servicios en modelo “Crime as a service”. Se trata de empresas muy bien organizadas, con sus propios comités ejecutivos y departamentos de trabajo, que llegan a ofrecer servicios específicos de hosting para realizar, por ejemplo, ataques de denegación de servicio (DNS).

En este contexto, advirtió Fernández, la IA ha venido a cambiar a peor mucho y a peor el escenario. En general, a efectos de su protección, un sistema de IA plantea los mismos riesgos que cualquier otro sistema informático, pero en su caso, agravado por el gran volumen de datos que requiere para su entrenamiento, porque los datos se han convertido en el primer vector de ataque a sus víctimas.

Así, es posible atacar el modelo de aprendizaje utilizado y pervertirlo, por medio de los datos, de forma que ofrezca resultados que parezcan buenos, sin serlo.

En cuanto a la utilización de la IA para realizar los ataques, se ha pasado de ataques realizados solo a base de fuerza bruta (por ejemplo, para romper las contraseñas utilizadas por las víctimas), a realizar la IA para estudiar previamente a las personas o instituciones que se quiere atacar, porque conociendo sus hábitos o debilidades se ahorra mucho tiempo. Y la IA es muy útil en esas tareas.

Además, la IA se está utilizando también para el desarrollo de otros tipos de ataques, como es la impersonación o imitación de la actividad del comportamiento de una determinada persona en redes sociales (de forma que parezca que está haciendo o diciendo cosas que no ha dicho ni hecho); el hacking de redes WiFi, aprendiendo a descifrar sus contraseñas de acceso; el soporte al trading en criptomonedas, el asalta al sistema Captcha o la realización de deepfakes de imagen y voz.

Muchos de estos ataques se utilizan también para perjudicar a rivales o competidores de un sector determinado, previo encargo.

Para concluir Juan Luis Fernández subrayó que la IA va a evolucionar muchísimo en los próximos años, temiéndose que pueda servir para el hackeo de vehículos autónomos, así como para el diseño de minidrones de ataque selectivo. En este contexto, los buenos se someten a la ley pero los malos no lo hacen, por lo que debemos estar preparados y tener en cuenta la creciente convergencia entre lo físico y lo digital, que hace que podamos sufrir ataques desde ambos ámbitos.

IA y Blockchain aplicado al sector de seguros

A continuación se abrió la segunda mesa de la mañana, moderada por la profesora de la Universidad Complutense de Madrid, Isabel Fernández Torres, y que inició el abogado Alberto Tapia, con una ponencia dedicada a la IA y Blockchain aplicado al sector de seguros. Un tema sobre el que Tapia comenzó destacando que los seguros son el sector financiero más sensible a los datos biométricos, porque estos son su materia prima. Por ello, y de acuerdo con la propuesta de regulación de esta tecnología anteriormente expuesta, hay que considerar a los sistemas de IA aplicados al sector financiero como sistemas de alto riesgo, con los que hay que tener especial cuidado.

Tapia centró su intervención en la aplicación de blockchain e IA en dos aspectos concretos del ámbito asegurador, como son la contratación y el análisis coste-beneficiios.

En cuanto a la fase de contratación, este experto recordó que el sector asegurador es un sector regido por las normas de la contratación privada, pero sometido a supervisión pública.

Por lo que se refiere a la fase de contratación, las plataformas descentralizadas de aseguramiento se mutualiza el riesgo sobre una base de tecnologías de registro distribuido, eliminando intermediarios y reduciendo costes, pero aumentando los riesgos.

Estas plataformas determinan la existencia de un aseguramiento paramétrico basado en oráculos, u estructuras que operan en base a un acuerdo previo de cobertura de riesgos, parecidos a las mutuas de prima variable.

En cuanto a la experiencia en la materia, como la ya producida en Portugal y Hungría, en seguros de daños, blockchain y los contratos inteligentes, permiten una liquidación del seguro más eficiente y segura, sobre todo en los seguros de daños complejos.

En seguros de personas, como los de vida, además, facilitan mucho el pago del siniestro, lo que lleva a plantear si podría llegarse a un peritaje de la valía de una vida, lo que a su vez podría dar paso a unas primas más bajas con prestaciones variables según diferentes criterios.

Y en cuanto al análisis de costes y beneficios, que es fundamental en el sector asegurador, Tapia señaló que, por lo que se refiere a las personas, blockchain y los sistemas de IA permiten ofrecer nuevos productos más ajustados a los casos personales, pero con un mayor riesgo de exclusión.

Así mismo plantean la posibilidad de realizar inversiones en criptoactivos para las dotaciones técnicas con las entidades y, para los supervisores la elaboración de unos reporting más finos y fiables, especialmente al permitir la evaluación de riesgos sistémicos.

Inteligencia Artificial y Mercado Bancario

Seguidamente, Teresa Rodríguez de las Heras, profesora de Derecho Mercantil de la Universidad Carlos III de Madrid, abordó la utilización de la IA en el sector bancario destacando, para empezar, que en la actualidad ya existe mucha regulación sobre aplicación de sistemas algorítmicos en el sector bancario. De hecho, añadió, en el sector bancario atraviesa toda su actividad, requiriendo reglas adecuadas.

En este contexto recordó la definición de la propuesta de Reglamento de IA, que considera a la IA a los sistemas computacionales que toman imputs de su entorno que se incorporan al sistema con unos objetivos predefinidos y sometidos a determinadas técnicas, básicamente a aquellas que incorporan técnicas de aprendizaje. Pero Rodríguez señaló también que muchas otras disposiciones se refieren a sistemas automatizados o algorítmicos, por lo que la propuesta de Reglamento puede no ser suficiente.

En particular, destacó, los sistemas de IA generan como salida un resultado que puede ser una decisión, un rating o una recomendación, es decir a resultados de diferente naturaleza jurídica que conducen a diferentes marcos normativos. Ello lleva a plantearse, ante la aplicación de los algoritmos, qué norma es la relevante.

En cuanto a los usos que tiene la IA en el sector bancario, más allá de la determinación de la solvencia de una determinada persona, Teresa Rodríguez se refirió a la toma de decisiones de cualquier naturaleza (lo que no implica en todo caso el uso de sistemas inteligentes); el ya mencionado scoring y evaluación de solvencia; la personalización y recomendación de productos; el trading algorítmico; los sistemas de ayuda a la gestión y la contratación.

Todo ello determina un marco normativo complejo y múltiple, con diversas piezas normativas interconectadas, como son las reglas sobre toma automatizada de decisiones, reglas y principios contractuales, las regulaciones sectoriales y la normativa sobre responsabilidad.

En relación con este último punto, Teresa Rodríguez llamó la atención sobre a quién debe atribuirse la responsabilidad por las decisiones adoptadas por los sistemas inteligentes, recordando el debate sobre la posible personalización de los sistemas autónomos. Con independencia de ese punto, si bien en principio parece que el responsable por los posibles daños causados debería ser la entidad que adopta la decisión, ello requiere decidir sobre la existencia de un punto de imputación. Por su parte, el Grupo de Expertos de Alto Nivel sobre IA creado por la Comisión Europea en 2019 se refirió al operador del sistema, en tanto que es quien lo controla y se beneficia de su uso.

En este sentido, señaló la importancia de las cadenas de valor complejas, en las que se deben aplicar mecanismos contractuales y legales que eviten la atribución de responsabilidad o aumenten la dificultad para identificar al operador responsable de cada fase del proceso.

Por otra parte, destacó también el aspecto relativo a la transparencia y trazabilidad de los sistemas algorítmicos, según el cual cada decisión adoptada por estos debe ser trazable y venir fundamentada, sin que ninguna decisión pueda ser no fundamentada o arbitraria. En paralelo, no se debe solicitar el derecho de las partes a solicitar una explicación sobre los motivos de una decisión adoptada que les afecte.

Finalmente, en la ponencia titulada Artificial Intelligence in Securities Law and beyond,Florian Moeslein, Profesor de la Philipps-University Marburg, se refirió a las conclusiones del informe final de AI Public-Private Forum organizado por el Banco de Inglaterra,

En este informe se reseñan los principales usos de la IA en el sector financiero: transmisión de valores, asesoramiento, valoración crediticia, detección y prevención del fraude y atención al cliente.

Estas actividades están reguladas tanto por normas técnicas como sectoriales. Refiriéndose más en concreto a la propuesta de Reglamento sobre IA, se refirió a los diferentes problemas que plantea en el ámbito financiero, como son su ámbito de aplicación territorial y material, pues la propuesta piensa básicamente en productos, lo que no encaja mucho con el mundo inmaterial.

En cuanto a la definición de IA, señaló que se precisa una definición más precisa para aumentar la seguridad jurídica de sus usuarios.

Y por lo que se refiere a la aplicación en entornos descentralizados, se preguntó cómo regular su aplicación en un mundo en continua evolución. Para ello planteó dos estrategias: unos mecanismos de revisión y actualización, con limitaciones y la utilización de sandboxes o entornos de pruebas que permitan, por ejemplo, el diseño de nuevas normas.

Por otra parte, se preguntó como situar los deberes en entornos descentralizados y anónimos, planteando la posibilidad de recurrir a regulaciones basadas en la actividad, que no son la panacea, reconoció, pero pueden ayudar a pensar “fuera de la caja”.

En definitiva, concluyó, es necesario evitar el riesgo de que las normas tecnológicas sean más relevantes que las legales.

Queremos saber tu opiniónNombreE-mail (no será publicado)ComentarioLA LEY no se hace responsable de las opiniones vertidas en los comentarios. Los comentarios en esta página están moderados, no aparecerán inmediatamente en la página al ser enviados. Evita, por favor, las descalificaciones personales, los comentarios maleducados, los ataques directos o ridiculizaciones personales, o los calificativos insultantes de cualquier tipo, sean dirigidos al autor de la página o a cualquier otro comentarista.
Introduce el código que aparece en la imagencaptcha
Enviar

Últimos tweets

NÚMEROS DISPONIBLES

Scroll