Durante décadas, la banca española ha sabido identificar y gestionar sus riesgos fundamentales —crédito, mercado, liquidez, solvencia— todos ellos visibles, cuantificables y sujetos a marcos de control bien definidos. Sin embargo, de forma silenciosa y sin provocar grandes titulares, está emergiendo un nuevo riesgo sistémico que no se mide en ratios ni en puntos básicos, sino que se escribe en líneas de código.
La nueva generación de agentes inteligentes ya puede razonar, planificar y actuar con un creciente grado de autonomía. Esto significa que un algoritmo puede ajustar límites operativos, bloquear transacciones o reestructurar posiciones sin una instrucción humana directa. El riesgo ya no reside únicamente en un posible error de cálculo, sino en la pérdida de trazabilidad sobre quién tomó realmente la decisión y bajo qué criterios.
La Autoridad Bancaria Europea lo confirmó en su informe de noviembre de 2025: los bancos europeos han superado la fase experimental y están integrando agentes autónomos en operaciones reales. Los datos lo corroboran — el 56% de las entidades bancarias ya utilizaba inteligencia artificial en 2025, el doble que cuatro años antes, y el 44% de los equipos financieros prevé usar IA agéntica en 2026, un incremento del 600% en un solo año. La innovación avanza más rápido que el marco de supervisión tradicional.
A esta realidad se suma una capa regulatoria que ya es exigible. Desde el 17 de enero de 2025, el Reglamento DORA obliga a las entidades financieras a mapear, testar y reportar cualquier incidente de resiliencia tecnológica —incluyendo el comportamiento de los sistemas de IA— con la misma rigurosidad que un riesgo de crédito. Ya no es una cuestión de buenas prácticas: el riesgo en el código tiene consecuencias legales directas.
El salto de la IA generativa a la IA agéntica es tan disruptivo como lo fue en su momento el paso de Excel a los modelos avanzados de gestión del riesgo. El propio Fondo Monetario Internacional advertía en 2026, en su nota How Agentic AI Will Reshape Payments, que esta capacidad de ejecución autónoma redefinirá la arquitectura de riesgo de los sistemas de pago globales. Y el ABA Banking Journal formulaba a finales de 2025 una pregunta incómoda que el sector no puede ignorar: ¿estamos siendo sonámbulos ante la crisis de la IA agéntica?
En este contexto, el principio de Human in the Loop deja de ser una consigna tecnológica para convertirse en un elemento estructural de control bancario. Mantener al humano dentro del circuito de decisión no es un gesto de prudencia, sino una exigencia de responsabilidad. Las entidades con protocolos estructurados de supervisión humana registran un 47% menos de incidentes asociados a la IA. Un agente puede identificar una transacción sospechosa, pero el criterio para bloquearla corresponde al analista. Puede sugerir un rebalanceo de cartera, pero el profesional es quien valida y explica al cliente.
La regulación europea ha clasificado los sistemas financieros como de alto riesgo bajo el AI Act. Y aunque el AI Omnibus acordado el 7 de mayo de 2026 amplía el plazo de cumplimiento hasta diciembre de 2027, los agentes autónomos ya operan hoy en producción. El riesgo no espera al calendario. El BCE lo sabe: ha convertido la gobernanza de la IA en su segunda prioridad supervisora para 2025-2028. No deja de ser significativo que el propio supervisor utilice ya Delphi, su herramienta de inteligencia artificial, para detectar riesgos emergentes en los bancos que supervisa. Quien pide a la banca que controle sus algoritmos también toma decisiones apoyado en ellos.
La respuesta no puede ser solo tecnológica. Los guardarraíles eficaces combinan tres capas inseparables: controles técnicos capaces de detener o revertir acciones, reglas lógicas que garanticen explicabilidad y trazabilidad, y supervisión humana que revise, apruebe y audite. Sin esta arquitectura, el problema ya no será si la IA puede actuar, sino quién la detiene cuando no debe.
España parte con una ventaja relevante: fue el primer país europeo en contar con una agencia específica de supervisión de la IA. La AESIA asumió plena potestad sancionadora en agosto de 2025, aunque arrancó con treinta profesionales cuando se habían comprometido ochenta. Construir músculo supervisor al mismo ritmo que se despliega la tecnología es, en sí mismo, uno de los retos más urgentes.
El desafío final no es tecnológico, sino cultural. Será necesario pasar de “usar IA” a gobernar la IA. Porque en un entorno donde las decisiones se toman en milisegundos, el valor diferencial no estará en la velocidad del algoritmo, sino en el criterio humano que sepa ponerle límites.
Actualizado: mayo 2026 | Fuentes: EBA (nov. 2025), DORA (en vigor ene. 2025), AI Omnibus (7 may. 2026), FMI (2026), BCE Prioridades 2025-2028, ABA Banking Journal (dic. 2025), AESIA
