El sector financiero ha dejado atrás la fase en la que la pregunta principal era si debía adoptar inteligencia artificial. El debate ha cambiado de sitio. Ahora la cuestión es cómo gobernar unos sistemas que ya están entrando en producción, ganan autonomía y empiezan a operar sobre datos, procesos y decisiones sensibles. Un nuevo informe de Cloud Security Alliance, encargado por Anjuna, muestra que la banca, los seguros y otros servicios financieros se mueven con rapidez hacia la IA agéntica, pero todavía arrastran una falta preocupante de visibilidad sobre sus riesgos.
El estudio State of Cloud and AI for Financial Services 2026, basado en 340 respuestas de profesionales de cloud, inteligencia artificial, ciberseguridad, cumplimiento y gestión de riesgos en organizaciones financieras de todo el mundo, dibuja un sector que ya no trata la IA como una prueba de laboratorio. Según el informe, el 62 % de las organizaciones encuestadas ya ha desplegado agentes de IA. Al mismo tiempo, un 20 % reconoce haber sufrido incidentes de seguridad vinculados a IA y otro 21 % ni siquiera sabe si los ha tenido.
La IA agéntica ya está dentro de las entidades financieras
El dato más claro del informe es que la adopción avanza. Solo el 27 % de las organizaciones declaró no usar agentes de IA. Más de un tercio, el 35 %, indicó que ya los está implementando en producción, mientras que otro 9 % se sitúa en una fase de adopción avanzada. Además, casi la mitad de los encuestados, el 49 %, afirma estar explorando o lanzando programas piloto.
La diferencia con años anteriores es relevante. La inteligencia artificial ya no se limita a análisis internos, chatbots sencillos o automatización de bajo riesgo. Los agentes empiezan a aparecer en atención al cliente, operaciones de ciberseguridad, back office y detección de fraude. Son áreas donde una mejora de eficiencia puede tener impacto directo, pero también donde un fallo puede afectar a clientes, operaciones, datos sensibles o cumplimiento regulatorio.
| Indicador del informe | Dato destacado |
|---|---|
| Organizaciones que ya han desplegado agentes de IA | 62 % |
| Organizaciones sin uso de agentes de IA | 27 % |
| Implementación activa en producción | 35 % |
| Adopción avanzada | 9 % |
| Exploración o pilotos | 49 % |
| Incidentes conocidos de seguridad relacionados con IA | 20 % |
| Organizaciones que no saben si han sufrido incidentes | 21 % |
| Uso de algún tipo de cloud | 98,3 % |
| Arquitecturas principalmente o totalmente cloud | 33 % |
| Apoyo moderado o fuerte de la alta dirección | 91 % |
Los casos de uso muestran por dónde empieza la transformación. Atención al cliente aparece en primer lugar, con un 63 %. Le siguen operaciones de ciberseguridad, con un 47 %, back office, con un 44 %, y detección de fraude, con un 41 %. Son procesos donde la automatización puede ahorrar tiempo, responder antes y manejar grandes volúmenes de información, pero también exigen control y trazabilidad.
El informe añade un punto especialmente delicado: el 93 % de las organizaciones que usan agentes les ha concedido algún grado de autonomía. Eso no significa que todos los agentes puedan tomar decisiones críticas por sí solos, pero sí que el sector está entrando en una etapa en la que la IA no solo recomienda, sino que empieza a actuar dentro de los flujos de trabajo.
Pagos autónomos: una frontera cercana
Una de las conclusiones más llamativas es la expectativa sobre los pagos gestionados por agentes. El 85 % de los encuestados cree que los agentes de IA llegarán a iniciar y ejecutar pagos en nombre de consumidores. No se trata de una hipótesis menor. En finanzas, permitir que un sistema autónomo mueva dinero obliga a redefinir autorización, identidad, consentimiento, límites, auditoría y responsabilidad.
La mayoría de los encuestados parece consciente del reto. El 65 % considera que los pagos autónomos exigirán un nuevo modelo de autorización. Esto podría implicar permisos más granulares, límites de importe, validaciones contextuales, supervisión humana en determinados casos, revocación sencilla y mecanismos claros para saber quién responde si algo sale mal.
La banca ya está acostumbrada a trabajar con reglas estrictas para pagos, fraude, autenticación reforzada y monitorización de transacciones. La diferencia es que los agentes de IA pueden operar en entornos más dinámicos. Pueden interpretar instrucciones, consultar datos, combinar herramientas y ejecutar acciones en nombre del usuario. Esa flexibilidad es útil, pero complica el control.
En este punto, la innovación financiera se acerca a una pregunta básica: cómo se autoriza a una IA para actuar. No basta con que el usuario diga “paga esto” si el sistema puede interpretar, priorizar o automatizar decisiones posteriores. La confianza tendrá que construirse sobre políticas, identidad, registros verificables y límites técnicos bien definidos.
El riesgo de la IA es también un problema de datos
El informe de CSA y Anjuna identifica la fuga de datos sensibles a través de interacciones con IA como la principal preocupación de seguridad, citada por el 61 % de los encuestados. Este resultado es significativo porque supera a otros temores más llamativos, como ataques directos al modelo o técnicas adversarias.
En la práctica, el problema más inmediato no siempre es una IA “hackeada”, sino una IA conectada a demasiados datos, con permisos poco claros o sin visibilidad suficiente. Un agente que resume expedientes, consulta información de clientes, interactúa con sistemas internos o ayuda a resolver incidencias puede exponer datos si no existen controles sólidos sobre qué puede ver, qué puede hacer y qué queda registrado.
La preocupación encaja con otro dato del estudio: un 20 % de organizaciones reconoce incidentes de seguridad relacionados con IA, mientras que un 21 % no sabe si han ocurrido. Esta segunda cifra es quizá la más inquietante. En un sector regulado, no saber si se ha producido un incidente puede ser tan problemático como el incidente en sí, porque impide investigar, corregir y demostrar control ante supervisores y clientes.
El riesgo de IA en finanzas se parece cada vez más al riesgo cloud de hace una década, pero con más velocidad. Primero llega la adopción. Después aparecen los problemas de visibilidad, identidad, permisos, terceros y configuración. Finalmente llegan los marcos de gobierno. La diferencia es que los agentes pueden actuar con mucha más autonomía que una aplicación tradicional.
Cloud, terceros y errores humanos siguen pesando
El informe confirma que la nube ya está asentada en los servicios financieros. El 98,3 % de las organizaciones encuestadas usa algún tipo de servicio cloud, y un tercio declara depender principalmente o totalmente de arquitecturas basadas en la nube. Este punto es importante porque la IA empresarial se apoya cada vez más en infraestructura cloud, datos distribuidos, servicios gestionados y modelos desplegados en entornos híbridos.
La alta dirección también parece haber entendido el vínculo entre cloud, seguridad e IA. El 91 % de los encuestados señala que cuenta con apoyo moderado o fuerte de los equipos ejecutivos. Ese respaldo es necesario para financiar proyectos, cambiar procesos y asumir la complejidad regulatoria. Pero el apoyo de la dirección no elimina los riesgos operativos.
Las principales preocupaciones de seguridad cloud siguen siendo muy humanas: riesgo de terceros, citado por el 55 %; mala configuración, por el 52 %; y error humano, por el 27 %. Es una señal clara de que, incluso con mejores herramientas, los fallos de gobierno, integración y operación siguen siendo el punto débil.
En servicios financieros, estos riesgos se multiplican porque las organizaciones dependen de proveedores cloud, plataformas de datos, modelos externos, integradores, fintechs, APIs y cadenas de suministro digitales. Un agente de IA que opere dentro de este entorno necesita controles no solo sobre el modelo, sino sobre todo lo que el modelo puede tocar.
La nueva etapa será de gobierno, no solo de adopción
La conclusión del informe es que la IA en finanzas entra en una fase más madura. La ventaja competitiva ya no estará solo en desplegar agentes antes que los demás, sino en demostrar que esos agentes actúan dentro de límites claros, con trazabilidad, seguridad, control de identidad y cumplimiento continuo.
Esto obliga a las entidades a trabajar en varios frentes a la vez. Deben definir qué agentes pueden existir, qué datos pueden consultar, qué decisiones pueden tomar, qué acciones requieren aprobación humana, cómo se auditan los resultados y cómo se responde ante un error. También tendrán que actualizar políticas de terceros, controles de cloud, gestión de identidades y marcos de cumplimiento para que la autonomía no avance más rápido que la supervisión.
El mensaje de CSA es especialmente relevante para un sector basado en confianza. Un banco puede adoptar IA con rapidez, pero si no puede explicar cómo controla sus agentes, qué datos usan y qué decisiones toman, la promesa de eficiencia puede convertirse en un riesgo reputacional y regulatorio.
La inteligencia artificial ya está entrando en la operativa financiera. El siguiente paso no será simplemente poner más agentes en producción, sino construir una arquitectura de control capaz de sostenerlos. La banca aprendió hace años que la nube exigía nuevas reglas. Ahora tendrá que aprender lo mismo con la IA autónoma.
Preguntas frecuentes
¿Qué es la IA agéntica en servicios financieros?
Es el uso de sistemas de inteligencia artificial capaces de actuar dentro de procesos financieros, consultar información, usar herramientas, automatizar tareas y, en algunos casos, tomar decisiones con cierto grado de autonomía.
Cuántas entidades financieras usan ya agentes de IA?
Según el informe de Cloud Security Alliance y Anjuna, el 62 % de las organizaciones financieras encuestadas ya ha desplegado agentes de IA.
Cuál es el principal riesgo de seguridad?
La principal preocupación es la fuga de datos sensibles a través de interacciones con IA, citada por el 61 % de los encuestados.
Qué son los pagos autónomos con IA?
Son pagos iniciados o ejecutados por agentes de inteligencia artificial en nombre de consumidores. El 85 % de los encuestados cree que llegarán a producirse, aunque la mayoría considera que harán falta nuevos modelos de autorización.
