Ir al contenido principal
Volver a Hawk Nest

Insights

Implicaciones de PSD2 y DORA para la IA en servicios financieros

PSD2 y DORA conjuntamente establecen las reglas que la IA debe seguir dentro de una institución financiera regulada. PSD2 rige la autenticación fuerte de clientes y el acceso de terceros a datos de pago; DORA añade obligaciones de resiliencia operacional — gestión del riesgo TIC, notificación de incidentes y supervisión de proveedores terceros, incluyendo ahora a los proveedores de LLM e IA en la nube. Cualquier despliegue de IA hereda ambas.

El artículo completo está en preparación. El resumen y las preguntas a continuación recogen el argumento central; la pieza completa — con diagramas de arquitectura de referencia y ejemplos prácticos — estará disponible próximamente.

Preguntas relacionadas

¿Considera DORA a un proveedor de LLM como proveedor TIC externo?
En la práctica, sí — un LLM en la nube es una dependencia TIC de terceros, por lo que queda sujeto a los requisitos de gestión de riesgos, monitorización y plan de salida de DORA. Eso implica un inventario de proveedores documentado, controles contractuales y una vía testada de cambio o retirada.
¿Qué exige PSD2 cuando la IA accede a datos de pago?
Los componentes de IA heredan la autenticación fuerte de clientes y los controles de acceso de PSD2. Cualquier sistema que lea datos de cuenta o de pago debe respetar las mismas reglas de autenticación, consentimiento y privilegio mínimo que el resto del entorno, con el GDPR rigiendo la dimensión de datos personales.