Ley de IA de la UE vs DORA
Como la regulacion especifica de IA se cruza con el marco de resiliencia operativa digital del sector financiero
Comparación Rápida
Vista lado a lado de las dimensiones regulatorias clave
Regular los sistemas de IA en todos los sectores basandose en la clasificacion de riesgos, desde practicas prohibidas hasta obligaciones de transparencia de riesgo minimo
Asegurar la resiliencia operativa digital de las entidades financieras gestionando riesgos TIC, incidentes, pruebas y dependencias de terceros
Todos los sectores: cualquier proveedor, implementador, importador o distribuidor de sistemas de IA comercializados en el mercado de la UE o que afecten a personas en la UE
Solo sector financiero: bancos, aseguradoras, empresas de inversion, instituciones de pago, proveedores de servicios de criptoactivos y proveedores criticos de servicios TIC de terceros
Sistema de cuatro niveles clasificando sistemas de IA por uso previsto: riesgo inaceptable (prohibido), alto riesgo (requisitos estrictos de conformidad), riesgo limitado (transparencia), riesgo minimo (voluntario)
Basado en proporcionalidad: los requisitos de gestion de riesgos escalan con el tamano de la entidad, perfil de riesgo y criticidad de los servicios TIC, pero todas las entidades deben cumplir requisitos minimos
Evaluaciones de conformidad para IA de alto riesgo (autoevaluacion o de terceros segun la categoria), evaluaciones de impacto en derechos fundamentales para implementadores y obligaciones de vigilancia poscomercializacion
Programa obligatorio de pruebas de resiliencia operativa digital incluyendo evaluaciones de vulnerabilidades, pruebas basadas en escenarios y pruebas de penetracion basadas en amenazas (TLPT) para entidades significativas
Sistemas de gestion de calidad, sistemas de gestion de riesgos, documentacion tecnica, mecanismos de supervision humana y requisitos de transparencia para proveedores e implementadores de IA
El organo de direccion debe aprobar la estrategia de riesgos TIC, recibir formacion regular en riesgos TIC, asignar presupuestos y asumir responsabilidad personal del cumplimiento de DORA
Practicas prohibidas: hasta 35 millones EUR o 7% de facturacion global; incumplimiento de alto riesgo: hasta 15 millones EUR o 3%; informacion erronea: hasta 7,5 millones EUR o 1,5%
Determinadas por los Estados miembros; para proveedores TIC criticos, penalizaciones periodicas de hasta el 1% del volumen de negocios medio diario mundial por dia de incumplimiento (max 6 meses)
Obligaciones en la cadena de valor: los proveedores deben asegurar que los implementadores posteriores reciban informacion adecuada; importadores y distribuidores tienen deberes de debida diligencia; los proveedores de modelos de IA de proposito general enfrentan obligaciones de transparencia y seguridad
Marco dedicado de riesgo de terceros TIC: registro de todos los proveedores TIC, disposiciones contractuales obligatorias, gestion de riesgo de concentracion y supervision directa a nivel de la UE de proveedores TIC criticos via Supervisor Principal
Diferencias Clave
Qué distingue a estas regulaciones
La Ley de IA regula un tipo de tecnologia; DORA regula un sector
La Ley de IA se aplica dondequiera que se utilicen sistemas de IA, en todas las industrias. DORA se aplica especificamente a entidades financieras independientemente de la tecnologia que utilicen. Una institucion financiera que use IA debe cumplir con ambas: la Ley de IA para sus sistemas de IA y DORA para su resiliencia TIC general.
DORA exige pruebas continuas de resiliencia operativa
DORA requiere programas de pruebas continuas incluyendo escaneo de vulnerabilidades, pruebas de escenarios y pruebas de penetracion basadas en amenazas (TLPT) cada tres anos. La Ley de IA requiere evaluaciones de conformidad precomercializacion y vigilancia poscomercializacion pero no prescribe el mismo tipo de regimen de pruebas operativas continuas.
La Ley de IA prohibe ciertas practicas de IA directamente
La Ley de IA prohibe los sistemas de IA que se consideran de riesgo inaceptable, como la puntuacion social por parte de gobiernos, la identificacion biometrica en tiempo real en espacios publicos (con excepciones limitadas), la manipulacion de grupos vulnerables y el reconocimiento de emociones en lugares de trabajo. DORA no prohibe tecnologias especificas; requiere resiliencia independientemente de la tecnologia utilizada.
DORA aborda el riesgo de concentracion TIC
DORA aborda de forma unica el riesgo de concentracion, el peligro de que demasiadas entidades financieras dependan del mismo proveedor TIC. Requiere que las entidades evaluen si la externalizacion crea dependencias sistemicas y preve la supervision a nivel de la UE de proveedores TIC criticos. La Ley de IA no tiene disposiciones equivalentes para la concentracion de proveedores de IA.
La Ley de IA tiene las multas potenciales mas altas
La multa maxima de la Ley de IA de 35 millones EUR o 7% de la facturacion global para practicas prohibidas es la mas alta en la historia regulatoria de la UE. El marco de sanciones de DORA esta menos definido a nivel de la UE, con la mayoria de los importes dejados a la discrecion nacional excepto las penalizaciones para proveedores TIC criticos.
Dónde se Superponen
Áreas donde ambas regulaciones comparten terreno común
Ambas requieren marcos robustos de gestion de riesgos (la Ley de IA para sistemas de IA y DORA para sistemas TIC), con las instituciones financieras necesitando integrar ambos en su gestion de riesgos empresarial
Ambas imponen obligaciones de gobernanza a la alta direccion: la Ley de IA requiere supervision humana de los sistemas de IA, mientras que DORA requiere responsabilidad del organo de direccion por la resiliencia TIC
Ambas abordan el riesgo de terceros: la Ley de IA a traves de obligaciones en la cadena de valor para proveedores, implementadores y distribuidores de IA; DORA a traves de su marco de riesgo de terceros TIC
Ambas requieren documentacion y mantenimiento de registros: la Ley de IA exige documentacion tecnica y registros para IA de alto riesgo, mientras que DORA requiere documentacion de gestion de riesgos TIC y notificacion de incidentes
¿Cuál te Aplica?
Escenarios comunes y qué regulación prevalece
Es un banco que despliega IA para calificacion crediticia y deteccion de fraude
Ambas regulaciones se aplican. La calificacion crediticia basada en IA se clasifica como de alto riesgo bajo la Ley de IA, requiriendo evaluaciones de conformidad, transparencia y supervision humana. Como entidad financiera, DORA requiere que gestione el sistema de IA como parte de su marco de riesgos TIC, incluyendo pruebas de resiliencia y supervision de terceros si la IA es proporcionada externamente. Construya un enfoque de cumplimiento integrado.
Es una startup de IA que vende soluciones a empresas fuera del sector financiero
La Ley de IA se aplica a sus sistemas de IA basandose en su clasificacion de riesgo. DORA no se aplica ya que sus clientes no son entidades financieras. Concentrese en los requisitos de conformidad de la Ley de IA, particularmente si sus soluciones caen en la categoria de alto riesgo (ej. IA para contratacion, educacion, aplicacion de la ley).
Es una compania de seguros que usa IA para automatizar el procesamiento de reclamaciones
Ambas se aplican. La IA en seguros se considera de alto riesgo bajo la Ley de IA, requiriendo evaluaciones de conformidad, explicabilidad y supervision humana. DORA requiere que el sistema de IA forme parte de su marco de gestion de riesgos TIC, con pruebas de resiliencia apropiadas y gestion de riesgos de terceros si utiliza un proveedor externo de IA.
Es una institucion de pago que no utiliza sistemas basados en IA
Solo se aplica DORA. Como entidad financiera, debe cumplir con los requisitos de DORA de gestion de riesgos TIC, notificacion de incidentes, pruebas de resiliencia y supervision de terceros independientemente de si utiliza IA. La Ley de IA no se aplica si no desarrolla, despliega o utiliza sistemas de IA.
Preguntas Frecuentes
Preguntas comunes sobre estas regulaciones
Se aplica la Ley de IA a los sistemas de IA utilizados por instituciones financieras?
Como deberia relacionarse la gestion de riesgos de IA de un banco con su marco de riesgos TIC de DORA?
Si un sistema de IA utilizado por una institucion financiera falla, que regulacion gobierna la respuesta?
Cuando son plenamente aplicables estas regulaciones?
Como puede Reversa ayudar con el cumplimiento de la Ley de IA y DORA?
Alinee el Cumplimiento de la Ley de IA y DORA con Reversa
Las instituciones financieras que utilizan IA enfrentan requisitos de ambos marcos. Reversa le ayuda a integrar la gobernanza de IA en su estrategia de resiliencia TIC desde una unica plataforma.