La IA en la gestión del riesgo de crédito

El uso de la IA puede ser muy útil en modelos de scoring de operaciones crediticias. En los modelos tradicionales de scoring, los bancos se basan en datos estructurados obtenidos directamente a través del cliente y con su consentimiento para el procesamiento, por ejemplo, su historia crediticia, deuda viva y, en general, su comportamiento de pago. Pues bien, la IA permite actualmente ampliar el ámbito de dicho análisis, gracias a la gestión de ingentes datos desestructurados o poco estructurados procedentes de la actividad del cliente en redes sociales, comercio electrónico, búsquedas en internet, mensajes de texto, etc. Por tanto, la tecnología permite ya el tratamiento de datos que hasta ahora no utilizaban los bancos y el uso de algoritmos más potentes que ayuden a encontrar patrones de comportamiento más atinados de los clientes.  

La IA permitiría una mejor valoración de la capacidad y disposición de los prestatarios al pago de la deuda

Tradicionalmente, para decidir sobre la concesión de crédito, los bancos han necesitado un amplio historial de operaciones del prestatario, lo que ha limitado extraordinariamente el acceso al crédito a empresas y particulares con escaso historial y sin la posibilidad de aportar garantías. El uso de la IA podría reducir esa limitación al permitir valorar con otros instrumentos la capacidad y disposición al pago de la deuda.  

La IA tiene otras funcionalidades en el proceso de financiación bancaria: por un lado, como con la IA será más fácil modelizar patrones de comportamiento por segmentos de clientes, se podrá personalizar mejor la oferta de crédito, existiendo clientes que mejoren su perfil de riesgo con la IA y otros que lo empeoren. Por otro lado, en la gestión de la demanda de financiación, la IA puede ayudar a identificar incumplimientos normativos o de políticas internas del banco, recopilar datos desconocidos de clientes, redactar los informes y los documentos necesarios para la concesión de la financiación, calcular ratios relevantes, etc.  

¿Qué están haciendo ya las entidades de crédito en este ámbito? Según la Autoridad Bancaria Europea (EBA, en inglés), los bancos europeos están usando algunas modalidades de IA en los modelos internos de capital, más en la estimación de probabilidades de impago que en la validación de modelos y valoración de colaterales. Por el momento, según la EBA, la mayoría de las entidades que tienen autorizado el uso de modelos internos utilizan distintas modalidades de análisis de regresión para determinar los requisitos de capital por riesgo de crédito, siendo mucho menor el número de las entidades autorizadas para la utilización de árboles de decisión y algoritmos de aprendizaje automático (machine learning). En todo caso, los supervisores bancarios deben aprobar la utilización de la IA en los modelos internos. 

Una duda regulatoria surge con el Reglamento de Requerimientos de Capital (CRR, en inglés): la EBA ha reconocido que la elevada complejidad de algunas técnicas de aprendizaje automático hace más complicado el juicio humano que requieren las normas de solvencia bancaria para el uso y validación de modelos internos (artículo 174 de la CRR). Una implicación clara de esta complejidad es la necesidad de contratación de perfiles técnicos que permitan la comprensión y explicación del funcionamiento de los modelos. 

Los procesos automatizados y la protección de datos

Los principales problemas y dudas sobre la aplicación de la IA en la gestión del riesgo de crédito surgen en el ámbito de la protección de datos y privacidad.  

El artículo 22 del Reglamento General de Protección de Datos (RGPD) prohíbe que los individuos estén sujetos únicamente a procesos automatizados, incluyendo cuando se realizan perfiles crediticios, siempre que esa actividad produzca efectos legales sobre los individuos o les afecte de forma significativa. Hay excepciones a esa prohibición general: que haya consentimiento del individuo; que el proceso automático que genera la calificación crediticia sea necesario para formalizar un contrato entre el individuo y el gestor de los datos; o que esté autorizado por una ley nacional y se pongan salvaguardias (por ejemplo, que no se recopilen más datos de los necesarios y que el volumen de datos recogidos sea proporcional al objetivo del banco con ese tratamiento).  

El enfoque sobre la gestión de procesos automáticos es restrictivo: prioriza los derechos a la intimidad sobre la eficacia de las decisiones financieras

Una sentencia del 7 de diciembre de 2023 del Tribunal de Justicia de la Unión Europea (TJUE) interpreta el citado artículo y concluye que un banco no puede contratar a un proveedor de servicios de calificación crediticia si éste usa procesos automáticos para generar dichas calificaciones, que pueden tener un impacto significativo sobre particulares (por ejemplo, denegar un préstamo basándose en dicha calificación crediticia). Aunque el proveedor no tome la decisión sobre el crédito, el Tribunal considera que juega un papel esencial en dicho resultado al suministrar la calificación crediticia.  

Es claro que el enfoque que se está dando a la gestión de procesos automáticos es restrictivo, prevaleciendo los derechos a la intimidad de las personas propietarias de los datos a una mayor eficacia de muchos procesos de decisión financiera. Las implicaciones para un banco de la mencionada norma (y sentencia) son claras: no puede depender de un proveedor externo que determine su decisión sobre la concesión de un crédito; si los procesos automáticos son internos, debería ser capaz de informar a los particulares del funcionamiento de esos procesos; si el banco valora la solvencia de un particular basándose en procesos automáticos, el particular debe recibir información previa sobre dicha acción; y es necesaria la introducción de algún juicio humano en el proceso de decisión.  

La Directiva 2023/2225, relativa a los contratos de crédito al consumo, ha reflejado fielmente ese enfoque: los bancos deben informar a los consumidores de forma clara y comprensible (incluida la lógica y los riesgos que implica el tratamiento automatizado de datos personales, así como su significado y sus efectos en la decisión) cuando se les presente una oferta personalizada basada en el tratamiento automatizado de datos personales. Asimismo, los consumidores podrán expresar su punto de vista al prestamista y podrán solicitar una revisión de la evaluación de solvencia y la decisión sobre la concesión del crédito.  

Principios del tratamiento de datos para perfilar a un cliente

Según el RGPD, es necesario tener una base legal de las establecidas en su artículo 5 para poder procesar datos. El Supervisor Europeo de Protección de Datos (EDPS, en inglés) considera que, aunque los datos sean públicos en la red, eso no significa que su tratamiento sea legal —artículo 9(2) del RGPD—, ya que el sujeto no tiene por qué haber manifestado explícitamente su deseo de que sean públicos. Además, dicho tratamiento tiene que cumplir los principios de exactitud (debe existir una evaluación sobre la fiabilidad de las fuentes), necesidad (los datos deben ser adecuados, relevantes, proporcionales y limitados a los objetivos del tratamiento), transparencia y minimización de datos utilizados.  

En la guía de la EBA sobre aprobación y seguimiento de préstamos se incluyen las categorías de datos que pueden usarse para la perfilación de un cliente: su renta y otras fuentes del repago de la deuda, sus activos y pasivos financieros, y otras obligaciones financieras. Esto quiere decir que los datos han de tener una clara relación con la capacidad del prestatario para repagar la deuda, sin afectar desproporcionalmente a sus derechos fundamentales a la privacidad y a la protección de datos del cliente. La citada Directiva de crédito al consumo incluye disposiciones similares. Como puede verse, el enfoque regulatorio limita el alcance de los datos que puede utilizar un banco a aspectos estrechamente relacionados a su contrastada capacidad financiera. 

El Reglamento de la IA refuerza las normas de protección de datos

Según el artículo 5 del Reglamento europeo de IA (que será aplicable en su totalidad a partir del 1 de febrero de 2027), está prohibida la utilización de sistemas de IA para evaluar o clasificar a personas físicas o a colectivos de personas durante un período determinado de tiempo atendiendo a su comportamiento, estatus socioeconómico o características personales, siempre que el perfilado obtenido pueda suponerles un trato perjudicial o desfavorable (por ejemplo, la denegación de un préstamo o un mayor precio para la adquisición de vivienda y otros servicios básicos) y no guarde relación con los contextos donde se generaron o recabaron los datos originalmente. Tendremos que esperar a la publicación a principios de 2025 de las Directrices del Consejo de Inteligencia Artificial sobre el alcance de las prohibiciones de este artículo 5 en la actividad bancaria.  

Los sistemas de IA utilizados para evaluar la solvencia de las personas serán calificados de alto riesgo y tendrán requerimientos muy exigentes

El artículo 6 del Reglamento de la IA establece que, entre otros, se consideran sistemas de IA de alto riesgo los destinados a ser utilizados para evaluar la solvencia de personas físicas o establecer su calificación crediticia, salvo los sistemas de IA utilizados al objeto de detectar fraudes financieros. Aunque dicho artículo detalla algunas excepciones, concluye que un sistema de IA siempre se considerará de alto riesgo cuando elabore perfiles de personas físicas, ya que determina que una persona tenga acceso a recursos financieros o servicios esenciales (vivienda, electricidad, telecomunicaciones, etc.). 

La consecuencia de que un sistema de IA sea calificado como de alto riesgo es que tendrá unos requerimientos regulatorios muy exigentes, especialmente en relación a la gestión de riesgos, que será exhaustiva y continua, debiendo realizarse pruebas del sistema en cualquier momento de su proceso de desarrollo y, en todo caso, antes de su puesta en servicio. La gestión de datos por el sistema también deberá ser muy exigente, prestando especial atención a la finalidad original de la recogida de datos personales; las operaciones de tratamiento para la preparación de los datos (etiquetado, depuración, actualización, enriquecimiento y agregación); la evaluación de la disponibilidad, la cantidad y la adecuación de los conjuntos de datos necesarios; y el examen de posibles sesgos que puedan afectar negativamente a los derechos fundamentales o dar lugar a algún tipo de discriminación, así como a las medidas para detectar, prevenir y mitigar dichos sesgos. Por último, estos sistemas tendrán unos requerimientos muy estrictos en cuanto a documentación técnica para poder operar: valoración previa del impacto sobre derechos fundamentales, conservación de registros, transparencia, supervisión humana, ciberseguridad, etc. 

Necesidad de reforzar las labores de cumplimiento normativo

El artículo 15(1)(h) del RGPD reconoce a los individuos el derecho a solicitar a los gestores de sus datos información sobre la lógica de sus procesos de valoración. Pues bien, la complejidad de estos algoritmos y del proceso y parámetros seguidos para decidir sobre una solicitud de préstamo dificulta la justificación del rechazo a dicha solicitud. Son por ello importantes las obligaciones de transparencia y explicabilidad de los algoritmos que el Reglamento de IA ha incluido para los desarrolladores y vendedores de sistemas de inteligencia artificial, que deberán adjuntar la documentación necesaria cuando comercialicen los sistemas a los clientes (en este caso, a los bancos). Un robusto departamento de cumplimiento normativo se torna, en este caso, esencial para evitar futuros problemas.  

Hay consenso en considerar que los resultados que pueden obtenerse con la IA pueden atentar contra la privacidad, al hacerse públicos datos confidenciales o al filtrarse datos propios a una tercera parte; pueden ser utilizados por criminales para suplantar identidades o hacer ataques de “phishing”, etc.; y pueden generar riesgos reputacionales al utilizar datos incorrectos o desfasados. Esto obliga a las entidades a extremar sus procesos de gestión de riesgos. 

Conclusiones

La IA puede mejorar la eficiencia de muchos procesos de concesión de créditos y puede reducir el riesgo de impago de dichos créditos. En la Unión Europea, la regulación de la IA está teniendo muy en cuenta aspectos de protección de datos y privacidad, lo que supone un límite al uso de la IA en dicho ámbito. Los bancos tendrán que asegurar que los sistemas de IA deben contar con modelos de gobernanza robustos, que aseguren su correcto uso y que se cumplen con las medidas de salvaguarda necesarias como, por ejemplo, las evaluaciones de impacto sobre derechos fundamentales (artículo 27 del Reglamento de IA) o sobre la protección de datos (artículo 35 del RGPD). 

Si los algoritmos son correctos y los datos relevantes, la IA solo pone de manifiesto una realidad hasta entonces desconocida para el banco

¿Qué puede suponer un enfoque muy restrictivo en el uso de la IA en este terreno? Pues que impediría que un cliente que mejore su perfil de riesgo con la IA se beneficie de una mejor financiación bancaria. Al contrario, si con la IA se empeora el perfil de riesgo de un cliente, el enfoque restrictivo le beneficiará. Es decir, un enfoque restrictivo impediría al banco identificar un empeoramiento del perfil de riesgo, lo que puede generar una mayor morosidad, y supondría una socialización en cierta medida del riesgo de crédito. 

¿Es criticable que, gracias al tratamiento más riguroso de un conjunto de datos mayor de ese cliente, pueda empeorar su perfil crediticio? Si los algoritmos son correctos y los datos relevantes, lo que hace la IA es poner de manifiesto una realidad, hasta ese momento, desconocida para el banco, es decir, la IA no genera una nueva realidad. Una alternativa podría ser una aplicación más liberal de la IA, intentando detectar variables que generen sesgos inadecuados en las decisiones de crédito y corregirlas o eliminarlas. Igualmente, siempre cabe explorar políticas públicas que compensen, al menos en parte, a los “perdedores” con ese enfoque.  

El debate sobre el enfoque regulatorio que quiere darse a la IA en la UE hay que situarlo en un contexto más global. Parece claro que, en los Estados Unidos, tras la victoria de Trump, va a aplicarse un enfoque mucho menos restrictivo, lo que generará desventajas competitivas a nuestras empresas tecnológicas y entidades financieras. Quizás sea necesario un nuevo informe Draghi.