IA i assegurances a l'empresa: on poden aparèixer les llacunes de cobertura

La relació entre la IA i les assegurances a l'empresa ja no és teòrica. La intel·ligència artificial ja és dins de processos reals d'empresa. La intel·ligència artificial ja és dins de processos reals d'empresa.

Aquest és el punt que moltes organitzacions encara no han revisat amb prou serietat. Mentre la IA entra en màrqueting, vendes, atenció al client, anàlisi, operacions o recursos humans, la conversa interna continua sent gairebé sempre operativa: productivitat, estalvi de temps, automatització. El que queda fora massa sovint és la pregunta incòmoda: què passa quan aquest ús d'IA provoca una reclamació i l'assegurança no respon com s'assumia.

El mercat no s'està movent de manera homogènia, però sí en una direcció clara: més exclusions específiques, més preguntes d'underwriting i més exigència de govern intern. No perquè tota IA sigui assegurable de la mateixa manera ni perquè tot ús en quedi automàticament fora, sinó perquè el sector està intentant delimitar un risc que ja ha deixat de ser teòric.

1. El problema no és l'eina: és la responsabilitat que activa

1.1. La IA ja no és un experiment intern

Durant un temps, la intel·ligència artificial es va tractar a moltes empreses com una capa de suport: una eina per provar, accelerar tasques o guanyar productivitat en processos secundaris. Aquest marc ja ha quedat curt. La IA està entrant en màrqueting, vendes, atenció al client, anàlisi de dades, pricing, selecció de talent, generació de continguts, suport documental i presa de decisions operatives.

El canvi important no és tècnic. És dexposició. Quan un sistema d'IA intervé en un contingut que es publica, en una resposta que rep un client, en una recomanació professional o en una decisió amb impacte econòmic o legal, la conversa deixa de ser només operativa. Passa a ser també una conversa de responsabilitat.

La IA pot accelerar tasques. Però quan entra en processos amb efectes reals també canvia el mapa de risc.

1.2. Quan un output genera mal, respon l'empresa

Aquest és el punt que cal fixar des del principi. La IA no és un subjecte responsable. No respon el model. No respon el prompt. L'eina no respon com si operés sola fora del negoci. Respon l'empresa que decideix incorporar aquesta eina a un procés real.

Si un contingut generat per IA difama, indueix a error o vulnera drets; si un chatbot promet una cosa que no existeix; si una recomanació assistida per IA forma part d'un servei professional defectuós; o si una decisió automatitzada provoca un perjudici econòmic o discriminatori, la reclamació no es dirigeix contra “la intel·ligència artificial” en abstracte. S'adreça contra l'organització que l'ha fet servir sense el nivell de control exigible en aquest context.

1.3. El risc no neix a la IA: neix en com es fa servir

Aquest matís és important perquè evita dos errors freqüents. El primer és tractar la IA com si fos tòxica per definició. El segon, igual d'ingenu, és veure-la com una simple eina neutral que no altera res de rellevant mentre “ajudi” i no “decideixi”. Cap de les dues lectures no serveix.

El risc real apareix quan l'empresa utilitza IA en processos que produeixen efectes sobre tercers, clients, empleats, mercat o decisions internes amb conseqüències reals. La discussió ja no és si l'eina és útil, sinó quin control hi ha, quina traçabilitat queda i si l'organització pot defensar que va actuar amb diligència raonable.

1.4. La pregunta correcta no és si la IA es va equivocar

En moltes converses sobre IA encara es planteja malament el problema. Es discuteix si el sistema va “al·lucinar”, si va cometre un error o si va funcionar per sota del que s'esperava. Això pot ser tècnicament interessant però des de la perspectiva d'empresa no és la pregunta central. La pregunta útil és una altra: si aquest error genera un mal, qui respon i sota quina cobertura.

Aquest canvi denfocament és el que fa que aquest ja no sigui un article sobre tecnologia, sinó sobre exposició empresarial. I per això el pas lògic següent no és parlar encara de regulació o de governança interna, sinó mirar com està reaccionant el mercat assegurador quan aquest risc deixa de ser hipotètic i comença a entrar en formularis, exclusions i renovacions.

2. Què està canviant realment al mercat assegurador

Si el primer bloc fixava una idea bàsica –que la IA ja pot activar responsabilitat real–, aquest bloc aclareix la segona: el mercat assegurador ja està reaccionant. No de forma uniforme, no amb la mateixa intensitat a tots els rams i no igual a tots els països, però sí amb un patró reconeixible: més delimitació del risc, menys ambigüitat i més exigència per assegurar determinats usos.

Això es tradueix en tres moviments molt concrets: exclusions específiques, endossos nous i underwriting més exigent. En altres paraules: el sector no discuteix si la IA existeix o no. Està intentant decidir quina part del risc vol assumir, sota quines condicions i amb quins límits.

El canvi rellevant no és que “assegurar IA” s'hagi tornat impossible. El canvi rellevant és que ja no es pot donar per suposat.

2.1. Ja apareixen exclusions específiques d'IA en pòlisses clau

Als mercats més avançats ja s'estan veient redaccions específiques d'exclusió vinculades a intel·ligència artificial generativa, especialment en línies com D&O, E&O i responsabilitat civil general. El patró importa més que el cas concret: quan una pòlissa comença a excloure reclamacions que “sorgeixin de”, “es basen en” o “es relacionin amb” l'ús d'IA, la cobertura deixa de ser intuïtiva i comença a dependre molt més del wording exacte.

Aquest moviment no és una hipòtesi acadèmica. Ja està sent analitzat per firmes especialitzades en recovery i cobertura, com es pot veure a aquesta anàlisi de Hunton, que resumeix la proliferació d‟exclusions d‟IA i la lògica de mercat que les acompanya.

2.2. A RC general ja s'està intentant acotar l'exposició GenAI

Un dels desenvolupaments més significatius és que també es comença a moure la responsabilitat civil general. Verisk (ISO) ha treballat formularis i endossos orientats a delimitar exposicions relacionades amb IA generativa, cosa que reforça la idea que el fenomen no es limita a pòlisses tecnològiques o especialitzades.

Si vols sostenir aquest punt amb font primària i un suport sectorial, pots mantenir tots dos enllaços: Verisk (ISO) i resum sectorial.

Això importa perquè trenca una simplificació freqüent: pensar que el problema de la IA només afecta ciber o pòlisses molt especialitzades. No és així. Quan el risc es connecta amb activitat empresarial, comunicació, servei o producte, la discussió es pot obrir també en pòlisses més generals.

2.3. L'altre canvi silenciós: renovacions més dures i més preguntes d'underwriting

En molts casos, la fricció no apareix primer com una exclusió frontal sinó com un procés de renovació més exigent. Comencen a demanar més detall sobre usos reals de IA, supervisió humana, traçabilitat, polítiques internes, gestió de proveïdors i criticitat dels processos afectats.

Aquest enduriment tant importa com l'exclusió expressa. Una empresa que no pot explicar amb claredat on utilitza IA, amb quin impacte i sota quin control arriba més feble a la conversa asseguradora. I aquesta debilitat no només afecta el preu o l'acceptació del risc: també pot influir en com s'interpreta després un sinistre.

2.4. El matís important: no és un rebuig uniforme a la IA

Aquí convé no deformar el missatge. Dir que “les asseguradores estan deixant de cobrir la IA” seria massa tosc. El mercat està en transició. Algunes entitats estan reaccionant amb exclusions àmplies o amb més cautela. Altres exploren cobertures afirmatives o productes més acotats per a riscos concrets.

Un exemple útil per sostenir aquest matís és el d'AXA XL, que ha llançat cobertura específica vinculada a riscos emergents de GenAI dins del producte ciber. Pots mantenir tant el comunicat com la fitxa de producte.

La lectura correcta, per tant, no és “l'assegurança rebutja la IA”. La lectura correcta és una altra: el mercat està deixant de tractar-la com un risc implícit o secundari i comença a exigir una posició explícita.

2.5. L'analogia útil: per què s'assembla cada cop més al patró de “silent cyber”

La forma més clara d'entendre el que està passant és comparar-ho amb l'evolució del silent cyber. Durant anys, moltes pòlisses tradicionals van conviure amb exposició ciber sense afirmar ni excloure amb claredat aquest risc. Quan el mercat va entendre que aquesta ambigüitat generava massa incertesa, va començar a empènyer cap a un aclariment més explícit: o es cobreix, o s'exclou, o es limita.

Amb IA es comença a veure una lògica semblant. Primer apareix l'ambigüitat. Després arriben exclusions àmplies. Més tard sorgeixen productes o endossos més afirmatius per a usos concrets, normalment sota més condicions i amb més cost. Si vols sostenir bé aquest paral·lelisme, aquí sí que val la pena mantenir Marsh i la referència tècnica de la American Academy of Actuaries.

3. El punt crític: quan un ús dIA es converteix en una reclamació real

Fins aquí hem fixat dues idees: l'empresa continua responent quan la IA participa en un procés real i el mercat assegurador ja està intentant acotar aquest risc. El següent pas és baixar al terreny on de veritat importa: els escenaris concrets de reclamació.

El risc no apareix perquè una empresa tingui accés a una eina de IA. Apareix quan aquesta eina intervé en un flux que produeix efectes reals: un contingut que es publica, una resposta que rep un client, una decisió que afecta una persona, una recomanació que forma part d'un servei o automatització que genera un perjudici econòmic, reputacional o regulatori.

La pregunta útil no és si la IA “va fallar”. La pregunta útil és en quin moment aquesta fallada surt del sistema i es converteix en un dany defensable per un tercer.

3.1. Quan el contingut generat deixa de ser esborrany i passa a ser acte empresarial

Un dels errors més comuns és tractar els continguts generats per IA com si continuessin sent material intern encara que ja s'hagin convertit en comunicació real d'empresa. Quan un text, una imatge, una peça comercial, una resposta pública o una creativa generada amb suport d'IA es publica, s'envia o s'utilitza davant de tercers, deixa de ser un simple output tècnic. Passa a ser un acte empresarial.

Hi apareixen riscos que no són gens exòtics: afirmacions falses sobre un competidor, promeses comercials inexactes, ús problemàtic d'elements protegits, descripcions enganyoses o missatges que erosionen drets de tercers. La IA no crea màgicament una categoria nova de mal. El que fa és augmentar velocitat, volum i opacitat en danys que ja existien.

3.2. Chatbots, assistents i respostes automàtiques: quan “l'ajuda” genera confiança i perjudici

Un altre punt especialment delicat és a chatbots, assistents virtuals i fluxos automatitzats d'atenció. Moltes empreses els implanten per descarregar feina operativa o accelerar temps de resposta, però obliden que, des de la perspectiva de l'usuari, la resposta del sistema es percep com a resposta de l'empresa.

Si l'assistent promet una condició que no existeix, comunica malament una política, dóna una informació incompleta, indueix a una decisió errònia o transmet una certesa que no tenia prou base, el dany ja no és tècnic. És comercial, contractual, reputacional o fins i tot regulador, segons el cas.

El problema s'agreuja quan l'empresa presenta aquest canal com a fiable, immediat o intel·ligent i, alhora, no estableix límits clars, escalat humà o revisió d'outputs sensibles. En aquest punt, l'automatització no només estalvia temps: també pot amplificar l'exposició.

3.3. Decisions automatitzades amb impacte econòmic, reputacional o legal

El risc puja un nivell quan la IA ja no només genera contingut o respostes, sinó que influeix en decisions: scoring, pricing, priorització comercial, classificació de leads, avaluació documental, selecció de candidats o assignació de recursos. Aquí la qüestió no és només si l'output era correcte, sinó si l'organització pot justificar com es va fer servir, amb quin criteri i sota quina supervisió.

Com més sensible sigui el procés, menys defensable resulta la lògica de “la IA només hi ajudava”. Si el sistema condiciona una decisió amb impacte real sobre clients, empleats, candidats o tercers, l'empresa necessita poder demostrar més que bona intenció. Necessita poder demostrar govern, revisió humana i traçabilitat suficient.

3.4. Al·lucinacions, errors plausibles i supervisió humana insuficient

Aquí convé ser precisos. El veritable problema no són només les anomenades “al·lucinacions”. També ho són els errors plausibles: respostes incorrectes, incompletes o esbiaixades que sonen raonables i per això passen filtres febles. En un entorn empresarial, aquest tipus d'error pot ser fins i tot més perillós que un de grotesc, perquè arriba més lluny abans de detectar-se.

Per això la supervisió humana no es pot reduir a una validació merament formal. Si la revisió és automàtica, precipitada o feta per algú sense prou criteri sobre el context, l'empresa no està reduint realment el risc. Només col·loqueu una capa d'aparença de control.

4. Per què moltes pòlisses ja no cobreixen el que abans sí

Aquí hi ha un dels punts més delicats de larticle. Moltes empreses entenen bé que la IA pot generar errors, reclamacions o problemes de compliment. El que entenen pitjor és una mica més incòmode: el dany pot semblar tradicional i, tot i així, la cobertura deixar de ser-ho quan la intel·ligència artificial apareix a l'origen del fet.

Dit altrament: un perjudici econòmic, una reclamació per difamació, una infracció de drets o un error professional poden continuar tenint una aparença coneguda. El que canvia és la punta. Si la pòlissa incorpora una exclusió específica d'IA, una exclusió tecnològica àmplia o una redacció prou oberta, l'assegurador pot discutir que aquest sinistre ja no entra on abans semblava entrar sense gaire controvèrsia.

El risc real no sempre és un dany nou. De vegades és que un dany vell deixa d'estar cobert com s'assumia.

4.1. El punt crític: exclusions àmplies que canvien completament la lectura del sinistre

Aquest canvi esdevé especialment rellevant quan l'exclusió no està redactada de forma estreta, sinó amb fórmules àmplies del tipus “que sorgeixi de”, “es base en” o “es relacioni amb” l'ús, el desenvolupament, el desplegament o la dependència de sistemes d'IA. Aquest tipus de wording dóna molt més marge per discutir cobertura perquè no exigeix que la IA sigui el mal en si mateix. N'hi ha prou que estigui suficientment connectada al fet que origina la reclamació.

Per això una exclusió àmplia no afecta només “riscos d'IA” en abstracte. També pot afectar reclamacions que, vistes des de fora, s'assemblen a danys clàssics d'activitat empresarial: una campanya que indueix a error, una recomanació professional defectuosa, una resposta automatitzada que genera confiança indeguda o una decisió mal supervisada amb impacte econòmic en un tercer.

4.2. El problema del “silent AI”: no saber si estàs cobert també és risc

El segon gran problema no sempre és una exclusió expressa. De vegades és justament el contrari: l'absència de definició clara. En moltes pòlisses la IA encara no apareix ni com a cobertura afirmativa ni com a exclusió frontal. Això genera una situació que cada cop s'entén millor amb una lògica semblant a l'antic silent cyber: el risc existeix, el mercat sap que existeix, però el wording encara no ho ha resolt amb claredat.

Aquest silent AI no dóna tranquil·litat. Dóna incertesa. L?empresa assumeix que està coberta perquè no veu una exclusió explícita, però en cas de sinistre es pot trobar amb una discussió d?interpretació precisament en el pitjor moment: quan el dany ja s?ha produït i la cobertura deixa de ser una presumpció per convertir-se en una disputa.

Des de gestió del risc, això ja és un problema en ell mateix. No només importa quedar cobert. També importa poder saber amb un grau raonable de certesa què està cobert, què no i sota quines condicions.

4.3. RC, E&O, D&O i ciber: no juguen el mateix partit

Un altre error freqüent és parlar de “l'assegurança” com si fos una sola capa homogènia. No ho és. Cada línia juga un paper diferent i, precisament per això, l'entrada de la IA no afecta totes igual. El dany pot semblar el mateix a ulls de l'empresa, però des del punt de vista de cobertura la discussió es pot obrir en llocs molt diferents.

Aquesta diferència importa molt. Una mateixa empresa pot tenir una exposició difusa si mira el risc “per tecnologia”, quan en realitat ho hauria de mirar “per tipus de dany i per línia potencial de cobertura”. Aquest canvi denfocament és el que permet revisar pòlisses amb criteri i no amb una llista genèrica de termes de moda.

4.4. Quan la cobertura es desplaça: de lassegurança al contracte o al balanç de lempresa

Quan una pòlissa esdevé més restrictiva o més ambigua, el risc no desapareix. Es desplaça. De vegades es desplaça al contracte amb el proveïdor tecnològic. Altres vegades al contracte amb el client. I moltes vegades acaba, en última instància, en el mateix balanç de l'empresa si ningú no havia tancat abans aquest repartiment de responsabilitat.

Aquest punt és especialment important en organitzacions que depenen de les eines SaaS, models de tercers, copilots integrats o cadenes llargues de proveïdor. Com més extern és l'stack, més fàcil és assumir que el problema ja estarà cobert per un altre. Però ni el proveïdor absorbirà automàticament la teva exposició, ni el teu client acceptarà sense més que el dany el va causar una eina externa.

4.5. Què mereix una revisió immediata al wording

A la pràctica, la revisió útil no consisteix a llegir la pòlissa “sencera” de nou amb por difusa a la IA. Consisteix a anar als punts on de debò es pot trencar l'encaix. Aquí és on una adreça, juntament amb el seu corredor, assessoria o asseguradora, s'hauria d'aturar amb més rigor.

En aquest punt, l'article ja no parla només d'assegurances. Està parlant d'una idea més àmplia i més rellevant per a la direcció: deixar d'operar amb suposats heretats. Perquè moltes empreses segueixen usant IA amb un mapa de cobertura pensat per a un model operatiu anterior.

5. Hi pot haver responsabilitat penal per l'ús d'IA?

Aquest és un dels punts on s'exagera o es banalitza més fàcilment. La formulació correcta és més sòbria: utilitzar IA a l'empresa no genera per si mateix responsabilitat penal, però tampoc actua com a escut si aquest ús s'integra en processos sensibles sense controls raonables i acaba produint un dany rellevant.

La IA no elimina la possible responsabilitat dels qui dissenyen, autoritzen, supervisen o permeten que un sistema operi amb impacte real sobre clients, empleats, tercers o decisions rellevants del negoci.

El risc penal no neix de “usar IA”. Neix, si escau, d'usar-la sense control allà on aquest control era exigible.

5.1. Cosa que no convé afirmar: que la IA genera un risc penal automàtic

No és correcte traslladar la idea que implantar IA obre per defecte una via penal. La majoria d'usos empresarials no activaran aquest escenari per si sols. El que sí que pot augmentar és l'exposició quan l'empresa delega de manera imprudent en sistemes automatitzats dins de processos amb conseqüències reals.

5.2. On sí que es complica: negligència greu, opacitat i absència de control

El problema apareix quan l'empresa integra IA en processos sensibles i tot i així no estableix un nivell de control mínimament defensable. Aquí la discussió deixa de ser tecnològica i passa a ser de conducta empresarial: previsibilitat del risc, diligència desplegada i estructura real de supervisió.

Si una organització permet que sistemes automatitzats operin amb impacte rellevant sense responsables clars, sense límits, sense revisió material i sense capacitat de reconstruir què va passar, l'ús d'IA deixa de semblar una simple ajuda operativa. En aquest punt, l'exposició augmenta de manera seriosa.

5.3. El paper de lòrgan dadministració

Quan la IA entra en processos rellevants del negoci, deixa de ser un assumpte purament tècnic o delegable sense més ni més. Passa a formar part del perímetre de supervisió que l'empresa ha de poder justificar si després sorgeix una reclamació, investigació o incident seriós.

Això no vol dir que l‟òrgan d‟administració hagi d‟entendre cada detall tècnic del model. Sí significa que assegureu-vos que existeixen polítiques, límits, responsables, escalat i revisió humana proporcionals a l'impacte de l'ús.

5.4. On el control humà deixa de ser un formalisme

Hi ha un terreny especialment sensible: les decisions automatitzades que produeixen efectes jurídics o afecten de manera significativa una persona. L'empresa necessita poder explicar alguna cosa més que “el sistema va ajudar”. Necessiteu justificar quina intervenció humana existia realment, quin pes va tenir el sistema i amb quines garanties es va fer servir.

La conclusió correcta no és alarmista, però tampoc ingènua: la IA no genera responsabilitat penal per defecte, però tampoc neutralitza la responsabilitat quan una empresa la integra en processos sensibles sense supervisió real i sense capacitat de demostrar prou control.

6. El veritable problema no és la IA: és la manca de govern i traçabilitat

Si el bloc anterior servia per corregir una idea simplista —que la IA genera per si mateixa un problema penal— aquest serveix per fixar la tesi de fons de l'article: a la majoria d'empreses el risc real no està en la tecnologia, sinó en la forma desordenada en què entra al negoci.

La IA no sol implantar-se de cop mitjançant un gran projecte perfectament governat. En moltes organitzacions entra per eines concretes, per iniciatives d'equips, per automatitzacions parcials o per decisions tàctiques que funcionen prou bé per consolidar-se abans que hi hagi una política clara. I aquí apareix el problema: l?empresa normalitza l?ús abans d?haver decidit qui respon, què es pot fer, què no, on cal supervisar i quines evidències s'han de conservar.

La majoria de companyies no tenen un problema “d'excés d'IA”. Tenen un problema d'ús real sense mapa, sense responsables i sense prou traçabilitat.

6.1. El patró més freqüent: la IA entra per la via operativa i el govern arriba tard

Aquest és probablement el patró més habitual en pimes, mid-market i fins i tot organitzacions més grans: primer s'adopta l'eina perquè estalvia temps, accelera una tasca o desbloqueja una necessitat concreta. Després diferents equips la incorporen a les rutines. I només més tard, quan l'ús ja s'ha estès, algú s'adona que no hi ha una foto fiable d'on intervé la IA, amb quina criticitat i sota quin control.

Aquest desfasament importa molt. Sense inventari real dús no hi ha priorització. Sense priorització no hi ha regles proporcionals. I sense regles proporcionals, l'empresa no sap distingir entre un ús de suport relativament innocu i un ús que ja influeix en decisions sensibles, comunicacions externes o processos amb impacte sobre tercers.

6.2. Sense inventari, l'organització realment no sap on s'està jugant el risc

Moltes companyies creuen que “utilitzen IA” en un sentit molt general, però no podrien respondre amb precisió preguntes força bàsiques: en quines àrees intervé, quins processos depenen ja d'outputs generats, quins usos es publiquen o es lliuren a clients, on influeix en decisions i en quins fluxos hi ha supervisió humana real. Aquesta manca de visibilitat no és un detall operatiu. És una debilitat de govern.

Inventariar no vol dir burocratitzar cada experiment menor. Significa, simplement, poder distingir entre usos de baixa criticitat i usos on el marge derror, el dany potencial o la sensibilitat del procés exigeixen un control més seriós. Si l'empresa no té aquesta foto, tampoc no pot defensar amb credibilitat que està gestionant el risc de manera raonable.

6.3. La traçabilitat no és burocràcia: és capacitat de defensa

Aquest és un dels punts més mal entesos. Quan es parla de traçabilitat, algunes empreses ho perceben com una exigència pesada o excessivament formalista. Però en realitat la lògica és força més simple: si hi ha una reclamació, una investigació o un incident, l'organització necessita poder reconstruir què va passar.

Això vol dir poder respondre, amb un nivell raonable d'evidència, a preguntes com aquestes: què es va demanar al sistema, què va tornar, qui el va revisar, què es va decidir finalment, quina part de l'output es va modificar, quin proveïdor o model estava darrere i amb quin criteri se'n va autoritzar l'ús en aquest context. Si l'empresa no pot reconstruir la seqüència, la seva posició es debilita a tots els fronts alhora: jurídic, assegurador, contractual i reputacional.

Per això la traçabilitat no s'ha de plantejar com a obsessió documental indiscriminada. S'ha de plantejar com una pràctica proporcional: més exigència on l'impacte és més gran, menys fricció on l'ús és clarament auxiliar i de baix risc.

6.4. L'AI Act reforça una adreça clara: supervisió, registres i mesures organitzatives

Aquí convé ser necessaris una altra vegada. No tota empresa que utilitza IA cau automàticament dins dels supòsits més exigents del AI Act, ni tots els usos corporatius són “alt risc” en el sentit tècnic del reglament. Però el text sí que consolida una direcció molt clara: quan un sistema d'IA afecta de manera rellevant drets, decisions o seguretat, ja no n'hi ha prou de parlar d'innovació. Cal parlar també de supervisió humana, documentació, responsabilitats i mesures organitzatives.

Això importa fins i tot per a organitzacions els usos de les quals no encaixen de ple en les categories més sensibles del reglament. Perquè l'AI Act no només introdueix obligacions concretes per a certs supòsits; també eleva l'estàndard cultural del que es considera un ús seriós i defensable de la IA en entorn empresarial.

Si vols mantenir la referència oficial, aquí sí que té sentit enllaçar al text oficial del Reglament (UE) 2024/1689 a EUR-Lex i, si prefereixes versió PDF, a la versió publicada a DOUE/BOE.

6.5. El que una empresa madura hauria de tenir, encara que no estigui en un cas de “alt risc”

La lectura útil per a la direcció no és esperar a veure si una autoritat, una asseguradora o un litigi obliga a ordenar el tema. La lectura útil és més senzilla: si la IA ja entra en processos reals, cal una estructura mínima de govern abans que l'ús continuï escalant per inèrcia.

Aquesta lògica enllaça, a més, amb una cosa que a Rumbo & Resultados ja defensem en altres actius: abans d'escalar IA, convé ordenar criteri, usos i prioritats. Si vols creuar aquesta peça amb un enfocament més operatiu, aquí sí que té sentit enllaçar amb el checklist d'IA pràctica, amb On la IA sí que estalvia temps (i on no) i amb el servei de Integració d'IA per a pimes i startups.

7. Què hauria de revisar avui una empresa assenyada

Si parlem d'IA i assegurances a l'empresa, el punt pràctic no és debatre més sobre tecnologia, sinó revisar on ja hi ha exposició real.

A hores d'ara, la conclusió pràctica hauria de ser clara: si la IA ja participa en processos reals, l'empresa necessita deixar d'operar per inèrcia. No cal una gran arquitectura teòrica. Cal una revisió executiva ordenada.

L'objectiu no és frenar la IA. L'objectiu és deixar d'assumir riscos que ningú no ha decidit conscientment.

7.1. Primer front: mapa real d'usos

El punt de partida no és preguntar si l'empresa “utilitza IA”. Això ja no diu gairebé res. El que és útil és identificar on intervé, en quins processos, amb quin impacte i amb quin nivell de supervisió.

7.2. Segon front: revisió de pòlisses

Amb aquest mapa a la mà, toca revisar el programa d'assegurances amb una lògica d'exposició: RC general, E&O, D&O i ciber, a més de qualsevol cobertura específica que apliqui a la teva activitat.

7.3. Tercer front: contractes i proveïdors

Si la cobertura s'estreny o es torna incerta, part del risc es desplaça al contracte. Per això convé revisar la posició de l'empresa davant de proveïdors tecnològics, SaaS, models externs i clients.

7.4. Cambra front: supervisió i traçabilitat mínima

No n'hi ha prou de declarar que hi ha revisió humana. Cal distingir entre una validació simbòlica i un control material. En processos d'alta criticitat, l'empresa ha de poder demostrar qui revisa, què revisa i amb quina capacitat real per corregir o bloquejar un output abans que produeixi un efecte rellevant.

7.5. El següent pas raonable

Si encara ets en una fase on els usos creixen de forma dispersa, convé ordenar primer criteri i prioritats. En aquest punt té sentit enllaçar aquesta peça amb el checklist d'IA pràctica, amb On la IA sí que estalvia temps (i on no) i amb el servei de Integració d'IA per a pimes i startups.

8. Preguntes freqüents sobre IA i assegurances a l'empresa