// 040 ● EN CURSOBanca · Regional · Post-Fusión

Centro de Excelencia de IA y Ciberseguridad
Banco Mediano Regional Post-Fusión

IA GovernanceAI ActDORASecurity CoEAI CoEPost-Merger IntegrationBanking
AI Act + DORAmarco de gobernanza de IA y seguridad alineado con regulación europea
Post-Merger CoEconsolidación tecnológica tras fusión de dos entidades bancarias
Red Team + SOCevaluación de riesgos IA integrada con Security Operations Center

Situación del cliente

Banco mediano de ámbito regional resultado de la fusión reciente de dos entidades bancarias con culturas tecnológicas distintas, un SOC heredado de una de las entidades con cobertura parcial, y necesidad urgente de acelerar la adopción de inteligencia artificial en un entorno de consolidación tecnológica post-fusión. La fusión había generado duplicidades en herramientas, procesos e incluso equipos de seguridad, con dos aproximaciones diferentes a la gestión de riesgos de IA y ciberseguridad que debían unificarse.

La dirección del banco identificó la creación de un Centro de Excelencia conjunto de IA y Ciberseguridad como la estructura organizativa que permitiría unificar el modelo de gobierno, acelerar la adopción de IA responsable y elevar la madurez de seguridad, aprovechando los activos tecnológicos de ambas entidades fusionadas. El plazo era apremiante: el banco debía demostrar conformidad DORA en la próxima ventana de auditoría regulatoria.

Retos

  • Diseñar el modelo operativo del CoE conjunto de IA y Ciberseguridad que integrara los equipos de las dos entidades fusionadas, con roles, responsabilidades y procesos de gobierno unificados sin generar resistencia organizativa en ninguna de las dos procedencias
  • Establecer el framework de gobernanza de modelos de IA conforme al AI Act europeo, incluyendo el proceso de clasificación de riesgo de cada caso de uso, los controles de transparencia y explicabilidad requeridos para sistemas de alto riesgo y el proceso de aprobación para el despliegue de modelos en producción
  • Diseñar los estándares de red team y evaluación de riesgos de IA adaptados al contexto bancario regulado: metodología de evaluación adversarial de modelos antes del despliegue, criterios de aceptación de riesgo y proceso de remediación de vulnerabilidades identificadas
  • Integrar el CoE con el Security Operations Center heredado de la fusión, definiendo los casos de uso de IA aplicados a la detección de amenazas en el SOC y los nuevos riesgos de seguridad que introducen los propios modelos de IA del banco
  • Construir el roadmap de casos de uso de IA prioritarios por área de negocio (riesgo de crédito, cumplimiento regulatorio, servicio al cliente, detección de fraude) con criterios de priorización basados en el impacto de negocio, la madurez del dato disponible y el nivel de riesgo regulatorio según el AI Act

Solución en diseño

  • Modelo operativo del CoE unificado: estructura del Centro de Excelencia con cuatro áreas (AI Governance & Risk, AI Engineering, Cyber Defence e IA aplicada al SOC) bajo un Chief AI & Security Officer compartido, con proceso de integración del personal de ambas entidades fusionadas, criterios de selección basados en competencias y plan de formación cruzada entre los equipos de IA y ciberseguridad
  • Framework de gobernanza de modelos AI Act: proceso de clasificación de riesgo AI Act para cada caso de uso (formulario estándar con 12 criterios de evaluación), comité de aprobación de IA con representación de Riesgos, Cumplimiento, Legal y Tecnología, requisitos técnicos diferenciados por nivel de riesgo (documentación, explicabilidad, supervisión humana, registro) y proceso de revisión periódica de modelos en producción
  • Metodología de red team IA: proceso de evaluación adversarial de modelos adaptado al contexto bancario con seis categorías de ataque (prompt injection, data poisoning, model inversion, evasión, sesgo sistemático y dependencia de proveedor), equipo de red team interno con capacitación específica en evaluación de LLMs y criterios de go/no-go para el despliegue basados en el nivel de riesgo AI Act del caso de uso
  • Integración CoE-SOC: casos de uso de IA aplicados al SOC heredado (detección de anomalías comportamentales, correlación de alertas, triaje automático de incidentes), controles de seguridad específicos para proteger los modelos de IA del banco (acceso a los datos de entrenamiento, protección del endpoint de inferencia, monitorización de consultas anómalas) y proceso de respuesta a incidentes de seguridad que involucren modelos de IA
  • Roadmap de casos de uso por área: priorización de 25 casos de uso identificados en cinco áreas de negocio con matriz de impacto/riesgo/madurez-del-dato, ola 1 (detección de fraude y AML asistido por IA, ya con datos maduros y riesgo medio) y ola 2 (riesgo de crédito con explicabilidad SHAP, cumplimiento regulatorio automático, atención al cliente con IA), con criterios de entrada a cada ola y modelo de medición del ROI por caso de uso

Resultados en curso

CoE unificado operativoestructura del Centro de Excelencia diseñada con integración de los equipos de ambas entidades fusionadas, roles definidos y plan de formación cruzada entre los perfiles de IA y ciberseguridad, como mecanismo de aceleración cultural post-fusión
AI Act compliance bancarioframework de gobernanza de modelos conforme al AI Act con proceso de clasificación de riesgo, comité de aprobación, requisitos técnicos diferenciados por nivel de riesgo y proceso de revisión periódica de modelos en producción
Red team IA institucionalizadometodología de evaluación adversarial de modelos adaptada al contexto bancario con seis categorías de ataque, equipo interno capacitado y criterios de go/no-go para el despliegue de modelos basados en el nivel de riesgo AI Act
25 casos de uso priorizadosroadmap de IA por área de negocio con matriz de impacto/riesgo/madurez-del-dato, ola 1 con detección de fraude y AML asistido por IA, y criterios de entrada a cada ola con modelo de medición del ROI por caso de uso

Patrón de arquitectura organizativa

// ARCH 40 · AI CoE · Security CoE · Post-Merger · Banking · EN CURSO
AI + Security CoE Banking — Governance + Red Team + SOC Integration
CENTRO DE EXCELENCIA IA + CIBERSEGURIDAD AI GOVERNANCE AI Act · Clasificación Comité aprobación Model Registry Revisión periódica DORA art. 28-44 AI ENGINEERING MLOps · CI/CD Feature Store Monitorización deriva Fraude · AML · Crédito 25 casos de uso RED TEAM IA Prompt injection Data poisoning Model inversion Sesgo sistemático Go / No-Go deploy CYBER DEFENCE / SOC Sentinel · SIEM IA en detección Protección modelos Resp. incidentes IA DORA notificación MARCO REGULATORIO · AI Act · DORA · BCBS 239 · Banco de España · BCE Post-Merger Integration · Unificación de equipos · Formación cruzada IA + Ciberseguridad ● EN CURSO · AI Act compliance · Red Team IA · SOC integrado · 25 casos de uso priorizados

Centro de Excelencia de IA y Ciberseguridad para banco mediano regional post-fusión: cuatro áreas (AI Governance, AI Engineering, Red Team IA y Cyber Defence/SOC) bajo un modelo operativo unificado, framework de gobernanza de modelos conforme al AI Act con proceso de clasificación de riesgo y comité de aprobación, metodología de red team con seis categorías de ataque específicas para LLMs en banca, integración con el SOC heredado y roadmap de 25 casos de uso priorizados por impacto/riesgo/madurez del dato.

AI Act ComplianceDORAMicrosoft SentinelMLOpsRed Team IAMicrosoft PurviewModel Registry
// Consideraciones de diseño · AI + Security CoE Banking WAF
  1. Un CoE conjunto de IA y Ciberseguridad es más efectivo que dos CoEs separados en banca — los modelos de IA en producción son nuevas superficies de ataque (prompt injection, model inversion, data poisoning) y los sistemas de ciberseguridad son candidatos a ser mejorados con IA (detección de anomalías, triaje de alertas). Separar los CoEs crea silos donde estos casos de uso conjuntos quedan sin dueño claro.
  2. El AI Act clasifica a nivel de sistema desplegado, no de capacidad tecnológica — en una fusión bancaria, el mismo modelo de IA puede tener clasificaciones de riesgo AI Act distintas según para qué área de negocio lo despliega cada entidad fusionada. Unificar la clasificación antes de unificar los modelos evita inconsistencias regulatorias que el supervisor puede interpretar como falta de gobierno.
  3. El red team de IA en banca debe incluir sesgo sistemático como categoría de ataque de primer nivel — en entornos bancarios regulados, un modelo de scoring de crédito con sesgo sistemático hacia un grupo protegido (edad, género, origen) es un riesgo regulatorio de primer orden (CRD VI, AI Act), no solo una cuestión ética. El red team debe evaluar el sesgo con el mismo rigor que los ataques de prompt injection.
  4. La integración CoE-SOC debe resolver el problema de seguridad de los propios modelos, no solo mejorar el SOC con IA — los modelos de IA del banco son activos críticos que el SOC debe proteger: el endpoint de inferencia puede ser atacado, los datos de entrenamiento pueden ser exfiltrados y el comportamiento del modelo puede ser manipulado. El SOC necesita nuevos playbooks específicos para incidentes que involucren modelos de IA.
  5. El DORA post-fusión requiere unificar los registros ICT, no yuxtaponerlos — una fusión bancaria genera duplicidades en el ICT Risk Register de DORA: los mismos proveedores de nube y software aparecen dos veces con contratos distintos, concentraciones de riesgo no visibles desde cada registro individual y dependencias ocultas entre los sistemas de las dos entidades. Unificar el registro antes de la auditoría es obligatorio, no opcional.
  6. El roadmap de casos de uso debe priorizar por madurez del dato, no solo por valor de negocio — en una entidad fusionada, los datos de las dos entidades tienen calidad y gobierno muy distintos. Un caso de uso de alto valor de negocio sobre datos de baja calidad tiene menor probabilidad de éxito que un caso de valor medio sobre datos maduros. La matriz de priorización debe incluir la madurez del dato como dimensión igual de relevante que el valor de negocio.
SeguridadFiabilidadExcelencia OperacionalCumplimiento