Entrada

Cuando los agentes de IA actúan por tus clientes: La nueva capa de responsabilidad en finanzas

23 de febrero de 202623 de febrero de 2026 | 6 minutos de lectura

La automatización en la banca y fintech ya no se limita a procesos internos o robots que ejecutan tareas repetitivas. Cada vez más, los clientes delegarán decisiones y transacciones en agentes de inteligencia artificial capaces de comparar ofertas, activar servicios o mover dinero entre entidades, todo mientras ellos no están conectados.

Este escenario, que hace unos años parecía ciencia ficción, es hoy una realidad emergente. Y con él llega un desafío que ninguna institución puede ignorar: la responsabilidad delegada. Si un agente puede ejecutar transacciones de extremo a extremo en nombre de un cliente, el riesgo deja de centrarse exclusivamente en la identidad humana. Ahora, la pregunta crítica es: ¿quién responde cuando algo sale mal?

La transición de KYC (Know Your Customer) a KYA (Know Your Agent) no es solo conceptual. Representa un cambio estructural en la manera en que las instituciones financieras deben gestionar la identidad, la autorización y la trazabilidad en un mundo cada vez más automatizado.

De KYC a KYA: evolución natural del control de identidad

Durante décadas, las instituciones financieras han basado sus sistemas de control en KYC: identificar al cliente, verificar su identidad, monitorizar su actividad y mantener evidencia de cada transacción. Este enfoque funcionaba porque el titular de la cuenta y el actor eran la misma persona.

En un entorno donde los agentes actúan de manera autónoma, esa simetría desaparece. Ahora, la entidad interactúa con un actor que no es humano, que tiene autoridad delegada y que puede ejecutar operaciones complejas de forma independiente. KYA surge como la evolución natural de KYC: no reemplaza la verificación de la identidad humana, sino que añade una capa de control sobre los agentes que actúan en su nombre.

El objetivo de KYA es responder a preguntas como: ¿qué agente está actuando actualmente?, ¿bajo qué autoridad?, ¿cuáles son sus límites operativos?, ¿y cómo puedo demostrarlo ante un auditor o regulador?

La delegación autónoma y los riesgos asociados

La incorporación de agentes de IA introduce riesgos que no existían en el modelo tradicional. Un agente legítimo puede operar dentro de los permisos asignados y, aun así, ejecutar acciones que generen exposición indebida, errores operativos o vulneraciones regulatorias.

Esto no es hipotético. Estudios recientes sobre la gestión de identidades no humanas muestran que muchas organizaciones tienen visibilidad limitada sobre cuentas de servicio, tokens o claves API. Si hoy existen dificultades para controlar estas identidades internas, el riesgo se multiplica cuando agentes autónomos externos operan en nombre de clientes reales, ampliando la superficie de responsabilidad.

El problema radica en que estos agentes actúan con autoridad delegada: el titular de la cuenta confía en ellos para tomar decisiones en su nombre, y la institución financiera sigue siendo responsable ante auditores y reguladores por cada acción ejecutada.

La superficie de riesgo es un ecosistema de actores interdependientes, cada uno con capacidad de ejecutar acciones de alto impacto. Además, estos riesgos no se limitan a pérdidas financieras directas. Las consecuencias pueden manifestarse en:

Incumplimientos regulatorios, como la falta de evidencia sobre autorización o trazabilidad de operaciones.

Exposición a fraude interno y externo, donde agentes comprometidos puedan ejecutar transacciones maliciosas sin levantar alertas tradicionales.

Impacto reputacional, al no poder demostrar a clientes o reguladores que se ejercieron controles adecuados sobre cada acción.

En este contexto, el riesgo ya no es solo tecnológico; es de accountability. La institución financiera debe garantizar que cada acción del agente pueda ser atribuida, validada y auditada, independientemente de que el cliente haya delegado autoridad.

Gobernanza y visibilidad: la base de la confianza

Gestionar agentes autónomos exige ir más allá de los controles convencionales. La confianza no puede construirse solo sobre la presunción de que el agente actuará correctamente; debe existir una infraestructura de gobernanza clara, capaz de rastrear, validar y auditar cada decisión automatizada.

Entre los elementos críticos se encuentran:

Verificación robusta de la identidad humana: La persona que delega autoridad debe estar plenamente autenticada mediante métodos de identidad digital confiables y verificados.

Autenticación y registro de la delegación: Cada autorización debe quedar documentada, con evidencia criptográficamente verificable, de modo que se pueda demostrar ante auditores y reguladores la intención y alcance de la delegación.

Definición de límites claros de operación: Los agentes deben operar con permisos explícitos, restricciones sobre transacciones críticas, y políticas de acceso diferenciadas según riesgo, tipo de operación y perfil del cliente.

Escalado en operaciones críticas: Para acciones de alto impacto, como movimientos de fondos, cambios en credenciales o accesos a información sensible, se deben implementar mecanismos de step-up, validación adicional o intervención humana obligatoria.

Trazabilidad integral y evidencia auditable: Cada interacción del agente debe quedar registrada, incluyendo agente específico, usuario, acción ejecutada, políticas aplicadas y excepciones, permitiendo reconstruir cualquier evento con precisión.

En este ecosistema, la identidad digital y la biometría juegan un rol estratégico. Facephi ofrece una solución integral que unifica verificación de identidad, prevención de fraude y capacidades de compliance/AML, permitiendo garantizar que cada acción delegada pueda verificarse y auditarse, ofreciendo evidencia sólida ante auditores y reguladores y asegurando cumplimiento con estándares de trazabilidad, control y supervisión a nivel global.

Preparación estratégica ante agentes autónomos

Las organizaciones que comprendan y gestionen adecuadamente esta nueva capa de responsabilidad transformarán un riesgo potencial en una ventaja competitiva. La clave está en establecer un plano de control sólido que integre:

Señales de confianza robustas.

Políticas de autorización claras.

Mecanismos de escalado para operaciones de alto riesgo.

Evidencia auditable de cada acción relevante.

Instituciones que adopten estos principios estarán mejor posicionadas para cumplir con regulaciones internacionales, como el EU AI Act, DORA, o las últimas actualizaciones en AML/CFT, mientras mantienen confianza y resiliencia operativa frente a fraude, errores y eventos críticos.

Cuando los agentes de IA actúan por tus clientes: La nueva capa de responsabilidad en finanzas

De KYC a KYA: evolución natural del control de identidad

La delegación autónoma y los riesgos asociados

Gobernanza y visibilidad: la base de la confianza

Preparación estratégica ante agentes autónomos

Biometría de comportamiento para la prevención del fraude

Identidades sintéticas en biometría facial: entre el avance tecnológico y el desafío ético

Fraude como Servicio (FaaS): el nuevo mercado negro digital y cómo combatirlo con tecnología avanzada

La identidad digital en riesgo: comprender el fraude para anticiparlo

Sudáfrica acelera su transformación digital para fortalecer la inclusión y el cumplimiento AML/CFT

Identity-First Revolution: cómo los líderes tecnológicos están rediseñando la confianza digital

Passkeys vs Credenciales Verificables ¿competencia o complemento?

Cómo la CURP biométrica transforma la identidad digital en México