Los agentes de inteligencia artificial ya no solo asisten: toman decisiones, ejecutan transacciones y operan de forma autónoma en nombre de los clientes bancarios. Ante este nuevo escenario, la industria financiera enfrenta un desafío inédito en materia de identidad, responsabilidad y cumplimiento normativo.
La automatización financiera entra en una nueva fase
La automatización en la banca y las fintech ha dejado atrás la etapa de los bots que ejecutan tareas repetitivas. Hoy, los clientes comienzan a delegar en agentes de inteligencia artificial la capacidad de comparar ofertas, activar servicios e incluso mover dinero entre instituciones, todo sin intervención humana directa.
Este avance, que hasta hace pocos años pertenecía al terreno de la ciencia ficción, plantea una pregunta que ninguna entidad financiera puede eludir: si un agente de IA ejecuta una transacción de extremo a extremo en nombre de un cliente, ¿quién asume la responsabilidad cuando algo falla?
Del KYC al KYA: un cambio estructural en la verificación de identidad
Durante décadas, el modelo de control financiero se sostuvo sobre el principio KYC (Know Your Customer): identificar al cliente, verificar su identidad y monitorear su actividad. Este esquema funcionaba bajo una premisa sencilla: el titular de la cuenta y quien realizaba la operación eran la misma persona.
Con la irrupción de los agentes autónomos, esa simetría se rompe. La institución financiera ahora interactúa con un actor no humano que posee autoridad delegada y capacidad para ejecutar operaciones complejas de manera independiente.
Así surge el concepto de KYA (Know Your Agent), que no reemplaza la verificación del cliente humano, sino que agrega una nueva capa de control sobre los agentes que actúan en su representación. Este marco busca responder preguntas críticas: ¿qué agente está operando?, ¿bajo qué autorización?, ¿cuáles son sus límites? y ¿cómo se puede demostrar todo esto ante un auditor o regulador?
Riesgos emergentes: más allá de las pérdidas financieras
Según un análisis publicado por la empresa de verificación de identidad Facephi, un agente legítimo puede operar dentro de los permisos asignados y aun así generar exposición indebida, errores operativos o vulneraciones regulatorias.
El problema se agrava porque muchas organizaciones ya tienen visibilidad limitada sobre identidades no humanas como cuentas de servicio, tokens o claves API. Cuando a esta ecuación se suman agentes autónomos externos que operan en nombre de clientes reales, la superficie de riesgo se amplía considerablemente.
Las consecuencias potenciales van más allá del impacto económico directo e incluyen incumplimientos regulatorios por falta de evidencia sobre la autorización de operaciones, exposición a fraude cuando agentes comprometidos ejecutan transacciones maliciosas sin activar alertas tradicionales, y daño reputacional ante la incapacidad de demostrar controles adecuados frente a clientes y reguladores.
Los pilares de la gobernanza para agentes autónomos
Para gestionar este nuevo ecosistema, las instituciones financieras necesitan construir una infraestructura de gobernanza que contemple varios elementos clave.
En primer lugar, una verificación robusta de la identidad humana que delega autoridad, mediante métodos biométricos y de identidad digital confiables. Luego, un registro verificable de cada delegación, con evidencia criptográfica que permita demostrar la intención y el alcance de los permisos otorgados.
También resulta esencial definir límites claros de operación para cada agente, con restricciones diferenciadas según el nivel de riesgo y el tipo de transacción. Para operaciones de alto impacto —como movimientos de fondos o cambios en credenciales— se requieren mecanismos de escalamiento que incluyan validación adicional o intervención humana obligatoria.
Finalmente, cada interacción del agente debe quedar registrada en un sistema de trazabilidad integral, que permita reconstruir cualquier evento con precisión ante una auditoría.
Regulación internacional: EU AI Act, DORA y AML/CFT como referentes
Las instituciones que adopten estos principios de gobernanza estarán mejor posicionadas para cumplir con marcos regulatorios internacionales como el EU AI Act, que establece requisitos de transparencia y supervisión para sistemas de inteligencia artificial; DORA (Digital Operational Resilience Act), enfocada en la resiliencia operativa digital del sector financiero europeo; y las actualizaciones más recientes en materia de AML/CFT (prevención de lavado de activos y financiamiento del terrorismo).
Oportunidad competitiva para quienes actúen primero
El tránsito del KYC al KYA no es solo un desafío regulatorio: representa una oportunidad estratégica. Las organizaciones que comprendan y gestionen adecuadamente esta nueva capa de responsabilidad podrán transformar un riesgo potencial en una ventaja competitiva, manteniendo la confianza de sus clientes y la resiliencia operativa frente a un entorno financiero cada vez más automatizado.