IA y seguros en la empresa: dónde pueden aparecer las lagunas de cobertura

La relación entre la IA y los seguros en la empresa ya no es teórica. La inteligencia artificial ya está dentro de procesos reales de empresa. La inteligencia artificial ya está dentro de procesos reales de empresa.

Ese es el punto que muchas organizaciones todavía no han revisado con suficiente seriedad. Mientras la IA entra en marketing, ventas, atención al cliente, análisis, operaciones o recursos humanos, la conversación interna sigue siendo casi siempre operativa: productividad, ahorro de tiempo, automatización. Lo que queda fuera con demasiada frecuencia es la pregunta incómoda: qué ocurre cuando ese uso de IA provoca una reclamación y el seguro no responde como se asumía.

El mercado no se está moviendo de forma homogénea, pero sí en una dirección clara: más exclusiones específicas, más preguntas de underwriting y más exigencia de gobierno interno. No porque toda IA sea asegurable de la misma forma ni porque todo uso quede automáticamente fuera, sino porque el sector está intentando delimitar un riesgo que ya ha dejado de ser teórico.

1. El problema no es la herramienta: es la responsabilidad que activa

1.1. La IA ya no es un experimento interno

Durante un tiempo, la inteligencia artificial se trató en muchas empresas como una capa de apoyo: una herramienta para probar, acelerar tareas o ganar productividad en procesos secundarios. Ese marco ya se ha quedado corto. La IA está entrando en marketing, ventas, atención al cliente, análisis de datos, pricing, selección de talento, generación de contenidos, soporte documental y toma de decisiones operativas.

El cambio importante no es técnico. Es de exposición. En cuanto un sistema de IA interviene en un contenido que se publica, en una respuesta que recibe un cliente, en una recomendación profesional o en una decisión con impacto económico o legal, la conversación deja de ser solo operativa. Pasa a ser también una conversación de responsabilidad.

La IA puede acelerar tareas. Pero cuando entra en procesos con efectos reales, también cambia el mapa de riesgo.

1.2. Cuando un output genera daño, responde la empresa

Este es el punto que conviene fijar desde el principio. La IA no es un sujeto responsable. No responde el modelo. No responde el prompt. No responde la herramienta como si operara sola fuera del negocio. Responde la empresa que decide incorporar esa herramienta a un proceso real.

Si un contenido generado por IA difama, induce a error o vulnera derechos; si un chatbot promete algo que no existe; si una recomendación asistida por IA forma parte de un servicio profesional defectuoso; o si una decisión automatizada provoca un perjuicio económico o discriminatorio, la reclamación no se dirige contra “la inteligencia artificial” en abstracto. Se dirige contra la organización que la ha utilizado sin el nivel de control exigible en ese contexto.

1.3. El riesgo no nace en la IA: nace en cómo se usa

Este matiz es importante porque evita dos errores frecuentes. El primero es tratar la IA como si fuera tóxica por definición. El segundo, igual de ingenuo, es verla como una simple herramienta neutral que no altera nada relevante mientras “ayude” y no “decida”. Ninguna de las dos lecturas sirve.

El riesgo real aparece cuando la empresa utiliza IA en procesos que producen efectos sobre terceros, sobre clientes, sobre empleados, sobre mercado o sobre decisiones internas con consecuencias reales. Ahí la discusión ya no es si la herramienta es útil, sino qué control existe, qué trazabilidad queda y si la organización puede defender que actuó con diligencia razonable.

1.4. La pregunta correcta no es si la IA se equivocó

En muchas conversaciones sobre IA todavía se plantea mal el problema. Se discute si el sistema “alucinó”, si cometió un error o si funcionó por debajo de lo esperado. Eso puede ser técnicamente interesante, pero desde la perspectiva de empresa no es la pregunta central. La pregunta útil es otra: si ese error genera un daño, quién responde y bajo qué cobertura.

Ese cambio de enfoque es el que hace que este ya no sea un artículo sobre tecnología, sino sobre exposición empresarial. Y por eso el siguiente paso lógico no es hablar aún de regulación o de gobernanza interna, sino mirar cómo está reaccionando el mercado asegurador cuando este riesgo deja de ser hipotético y empieza a entrar en formularios, exclusiones y renovaciones.

2. Qué está cambiando realmente en el mercado asegurador

Si el primer bloque fijaba una idea básica —que la IA ya puede activar responsabilidad real—, este bloque aclara la segunda: el mercado asegurador ya está reaccionando. No de forma uniforme, no con la misma intensidad en todos los ramos y no igual en todos los países, pero sí con un patrón reconocible: más delimitación del riesgo, menos ambigüedad y más exigencia para asegurar determinados usos.

Eso se traduce en tres movimientos muy concretos: exclusiones específicas, endosos nuevos y underwriting más exigente. En otras palabras: el sector no está discutiendo si la IA existe o no. Está intentando decidir qué parte del riesgo quiere asumir, bajo qué condiciones y con qué límites.

El cambio relevante no es que “asegurar IA” se haya vuelto imposible. El cambio relevante es que ya no puede darse por supuesto.

2.1. Ya aparecen exclusiones específicas de IA en pólizas clave

En los mercados más avanzados ya se están viendo redacciones específicas de exclusión vinculadas a inteligencia artificial generativa, especialmente en líneas como D&O, E&O y responsabilidad civil general. El patrón importa más que el caso concreto: cuando una póliza empieza a excluir reclamaciones que “surjan de”, “se basen en” o “se relacionen con” el uso de IA, la cobertura deja de ser intuitiva y empieza a depender mucho más del wording exacto.

Este movimiento no es una hipótesis académica. Ya está siendo analizado por firmas especializadas en recovery y cobertura, como puede verse en este análisis de Hunton, que resume la proliferación de exclusiones de IA y la lógica de mercado que las acompaña.

2.2. En RC general ya se está intentando acotar la exposición GenAI

Uno de los desarrollos más significativos es que también empieza a moverse la responsabilidad civil general. Verisk (ISO) ha trabajado formularios y endosos orientados a delimitar exposiciones relacionadas con IA generativa, lo que refuerza la idea de que el fenómeno no se limita a pólizas tecnológicas o especializadas.

Si quieres sostener este punto con fuente primaria y un apoyo sectorial, puedes mantener ambos enlaces: Verisk (ISO) y resumen sectorial.

Esto importa porque rompe una simplificación frecuente: pensar que el problema de la IA solo afecta a ciber o a pólizas muy especializadas. No es así. En cuanto el riesgo se conecta con actividad empresarial, comunicación, servicio o producto, la discusión puede abrirse también en pólizas más generales.

2.3. El otro cambio silencioso: renovaciones más duras y más preguntas de underwriting

En muchos casos, la fricción no aparece primero como una exclusión frontal, sino como un proceso de renovación más exigente. Empiezan a pedir más detalle sobre usos reales de IA, supervisión humana, trazabilidad, políticas internas, gestión de proveedores y criticidad de los procesos afectados.

Ese endurecimiento importa tanto como la exclusión expresa. Una empresa que no puede explicar con claridad dónde usa IA, con qué impacto y bajo qué control llega más débil a la conversación aseguradora. Y esa debilidad no solo afecta al precio o a la aceptación del riesgo: también puede influir en cómo se interpreta después un siniestro.

2.4. El matiz importante: no es un rechazo uniforme a la IA

Aquí conviene no deformar el mensaje. Decir que “las aseguradoras están dejando de cubrir la IA” sería demasiado tosco. El mercado está en transición. Algunas entidades están reaccionando con exclusiones amplias o con mayor cautela. Otras están explorando coberturas afirmativas o productos más acotados para riesgos concretos.

Un ejemplo útil para sostener ese matiz es el de AXA XL, que ha lanzado cobertura específica vinculada a riesgos emergentes de GenAI dentro de su producto ciber. Puedes mantener tanto el comunicado como la ficha de producto.

La lectura correcta, por tanto, no es “el seguro rechaza la IA”. La lectura correcta es otra: el mercado está dejando de tratarla como un riesgo implícito o secundario y empieza a exigir una posición explícita.

2.5. La analogía útil: por qué se parece cada vez más al patrón de “silent cyber”

La forma más clara de entender lo que está ocurriendo es compararlo con la evolución del silent cyber. Durante años, muchas pólizas tradicionales convivieron con exposición ciber sin afirmar ni excluir con claridad ese riesgo. Cuando el mercado entendió que esa ambigüedad generaba demasiada incertidumbre, empezó a empujar hacia una aclaración más explícita: o se cubre, o se excluye, o se limita.

Con IA empieza a verse una lógica parecida. Primero aparece la ambigüedad. Después llegan exclusiones amplias. Más tarde surgen productos o endosos más afirmativos para usos concretos, normalmente bajo más condiciones y con mayor coste. Si quieres sostener bien este paralelismo, aquí sí merece la pena mantener Marsh y la referencia técnica de la American Academy of Actuaries.

3. El punto crítico: cuándo un uso de IA se convierte en una reclamación real

Hasta aquí hemos fijado dos ideas: la empresa sigue respondiendo cuando la IA participa en un proceso real y el mercado asegurador ya está intentando acotar ese riesgo. El siguiente paso es bajar al terreno donde de verdad importa: los escenarios concretos de reclamación.

El riesgo no aparece porque una empresa tenga acceso a una herramienta de IA. Aparece cuando esa herramienta interviene en un flujo que produce efectos reales: un contenido que se publica, una respuesta que recibe un cliente, una decisión que afecta a una persona, una recomendación que forma parte de un servicio o una automatización que genera un perjuicio económico, reputacional o regulatorio.

La pregunta útil no es si la IA “falló”. La pregunta útil es en qué momento ese fallo sale del sistema y se convierte en un daño defendible por un tercero.

3.1. Cuando el contenido generado deja de ser borrador y pasa a ser acto empresarial

Uno de los errores más comunes es tratar los contenidos generados por IA como si siguieran siendo material interno aunque ya se hayan convertido en comunicación real de empresa. En cuanto un texto, una imagen, una pieza comercial, una respuesta pública o una creativa generada con apoyo de IA se publica, se envía o se utiliza frente a terceros, deja de ser un simple output técnico. Pasa a ser un acto empresarial.

Ahí aparecen riesgos que no son en absoluto exóticos: afirmaciones falsas sobre un competidor, promesas comerciales inexactas, uso problemático de elementos protegidos, descripciones engañosas o mensajes que erosionan derechos de terceros. La IA no crea mágicamente una categoría nueva de daño. Lo que hace es aumentar velocidad, volumen y opacidad en daños que ya existían.

3.2. Chatbots, asistentes y respuestas automáticas: cuando la “ayuda” genera confianza y perjuicio

Otro punto especialmente delicado está en chatbots, asistentes virtuales y flujos automatizados de atención. Muchas empresas los implantan para descargar trabajo operativo o acelerar tiempos de respuesta, pero olvidan que, desde la perspectiva del usuario, la respuesta del sistema se percibe como respuesta de la empresa.

Si el asistente promete una condición que no existe, comunica mal una política, da una información incompleta, induce a una decisión errónea o transmite una certeza que no tenía base suficiente, el daño ya no es técnico. Es comercial, contractual, reputacional o incluso regulatorio, según el caso.

El problema se agrava cuando la empresa presenta ese canal como fiable, inmediato o inteligente y, al mismo tiempo, no establece límites claros, escalado humano o revisión de outputs sensibles. En ese punto, la automatización no solo ahorra tiempo: también puede amplificar exposición.

3.3. Decisiones automatizadas con impacto económico, reputacional o legal

El riesgo sube un nivel cuando la IA ya no solo genera contenido o respuestas, sino que influye en decisiones: scoring, pricing, priorización comercial, clasificación de leads, evaluación documental, selección de candidatos o asignación de recursos. Aquí la cuestión no es únicamente si el output era correcto, sino si la organización puede justificar cómo se usó, con qué criterio y bajo qué supervisión.

Cuanto más sensible sea el proceso, menos defendible resulta la lógica de “la IA solo ayudaba”. Si el sistema condiciona una decisión con impacto real sobre clientes, empleados, candidatos o terceros, la empresa necesita poder demostrar algo más que buena intención. Necesita poder demostrar gobierno, revisión humana y trazabilidad suficiente.

3.4. Alucinaciones, errores plausibles y supervisión humana insuficiente

Aquí conviene ser precisos. El verdadero problema no son solo las llamadas “alucinaciones”. También lo son los errores plausibles: respuestas incorrectas, incompletas o sesgadas que suenan razonables y por eso pasan filtros débiles. En un entorno empresarial, ese tipo de error puede ser incluso más peligroso que uno grotesco, porque llega más lejos antes de detectarse.

Por eso la supervisión humana no puede reducirse a una validación meramente formal. Si la revisión es automática, apresurada o hecha por alguien sin criterio suficiente sobre el contexto, la empresa no está reduciendo realmente el riesgo. Solo está colocando una capa de apariencia de control.

4. Por qué muchas pólizas ya no cubren lo que antes sí

Aquí está uno de los puntos más delicados del artículo. Muchas empresas entienden bien que la IA puede generar errores, reclamaciones o problemas de cumplimiento. Lo que entienden peor es algo más incómodo: el daño puede parecer tradicional y, aun así, la cobertura dejar de serlo cuando la inteligencia artificial aparece en el origen del hecho.

Dicho de otra forma: un perjuicio económico, una reclamación por difamación, una infracción de derechos o un error profesional pueden seguir teniendo una apariencia conocida. Lo que cambia es el encaje. Si la póliza incorpora una exclusión específica de IA, una exclusión tecnológica amplia o una redacción lo bastante abierta, el asegurador puede discutir que ese siniestro ya no entra donde antes parecía entrar sin demasiada controversia.

El riesgo real no siempre está en un daño nuevo. A veces está en que un daño viejo deja de estar cubierto como se asumía.

4.1. El punto crítico: exclusiones amplias que cambian por completo la lectura del siniestro

Este cambio se vuelve especialmente relevante cuando la exclusión no está redactada de forma estrecha, sino con fórmulas amplias del tipo “que surja de”, “se base en” o “se relacione con” el uso, desarrollo, despliegue o dependencia de sistemas de IA. Ese tipo de wording da mucho más margen para discutir cobertura, porque no exige que la IA sea el daño en sí mismo. Puede bastar con que esté suficientemente conectada al hecho que origina la reclamación.

Por eso una exclusión amplia no afecta solo a “riesgos de IA” en abstracto. Puede afectar también a reclamaciones que, vistas desde fuera, se parecen a daños clásicos de actividad empresarial: una campaña que induce a error, una recomendación profesional defectuosa, una respuesta automatizada que genera confianza indebida o una decisión mal supervisada con impacto económico en un tercero.

4.2. El problema del “silent AI”: no saber si estás cubierto también es riesgo

El segundo gran problema no siempre es una exclusión expresa. A veces es justo lo contrario: la ausencia de definición clara. En muchas pólizas la IA todavía no aparece ni como cobertura afirmativa ni como exclusión frontal. Eso genera una situación que cada vez se entiende mejor con una lógica similar al antiguo silent cyber: el riesgo existe, el mercado sabe que existe, pero el wording todavía no lo ha resuelto con claridad.

Ese “silent AI” no da tranquilidad. Da incertidumbre. La empresa asume que está cubierta porque no ve una exclusión explícita, pero en caso de siniestro puede encontrarse con una discusión de interpretación precisamente en el peor momento: cuando el daño ya se ha producido y la cobertura deja de ser una presunción para convertirse en una disputa.

Desde gestión del riesgo, eso ya es un problema en sí mismo. No solo importa quedar cubierto. También importa poder saber con un grado razonable de certeza qué está cubierto, qué no y bajo qué condiciones.

4.3. RC, E&O, D&O y ciber: no juegan el mismo partido

Otro error frecuente es hablar de “el seguro” como si fuera una sola capa homogénea. No lo es. Cada línea juega un papel distinto y, precisamente por eso, la entrada de la IA no afecta a todas igual. El daño puede parecer el mismo a ojos de la empresa, pero desde el punto de vista de cobertura la discusión puede abrirse en lugares muy diferentes.

Esta diferencia importa mucho. Una misma empresa puede tener una exposición difusa si mira el riesgo “por tecnología”, cuando en realidad debería mirarlo “por tipo de daño y por línea potencial de cobertura”. Ese cambio de enfoque es el que permite revisar pólizas con criterio y no con una lista genérica de términos de moda.

4.4. Cuando la cobertura se desplaza: del seguro al contrato o al balance de la empresa

Cuando una póliza se vuelve más restrictiva o más ambigua, el riesgo no desaparece. Se desplaza. A veces se desplaza al contrato con el proveedor tecnológico. Otras veces al contrato con el cliente. Y muchas veces termina, en última instancia, en el propio balance de la empresa si nadie había cerrado antes ese reparto de responsabilidad.

Este punto es especialmente importante en organizaciones que dependen de herramientas SaaS, modelos de terceros, copilots integrados o cadenas largas de proveedor. Cuanto más externo es el stack, más fácil es asumir que el problema “ya estará cubierto” por otro. Pero ni el proveedor va a absorber automáticamente tu exposición, ni tu cliente va a aceptar sin más que el daño lo causó una herramienta externa.

4.5. Qué merece una revisión inmediata en el wording

En la práctica, la revisión útil no consiste en leer la póliza “entera” de nuevo con miedo difuso a la IA. Consiste en ir a los puntos donde de verdad puede romperse el encaje. Ahí es donde una dirección, junto con su corredor, asesoría o aseguradora, debería detenerse con más rigor.

En este punto, el artículo ya no está hablando solo de seguros. Está hablando de una idea más amplia y más relevante para dirección: dejar de operar con supuestos heredados. Porque muchas empresas siguen usando IA con un mapa de cobertura pensado para un modelo operativo anterior.

5. ¿Puede haber responsabilidad penal por el uso de IA?

Este es uno de los puntos donde más fácilmente se exagera o se banaliza. La formulación correcta es más sobria: usar IA en la empresa no genera por sí mismo responsabilidad penal, pero tampoco actúa como escudo si ese uso se integra en procesos sensibles sin controles razonables y termina produciendo un daño relevante.

La IA no elimina la posible responsabilidad de quienes diseñan, autorizan, supervisan o permiten que un sistema opere con impacto real sobre clientes, empleados, terceros o decisiones relevantes del negocio.

El riesgo penal no nace de “usar IA”. Nace, en su caso, de usarla sin control allí donde ese control era exigible.

5.1. Lo que no conviene afirmar: que la IA genera un riesgo penal automático

No es correcto trasladar la idea de que implantar IA abre por defecto una vía penal. La mayoría de usos empresariales no van a activar por sí solos ese escenario. Lo que sí puede aumentar es la exposición cuando la empresa delega de forma imprudente en sistemas automatizados dentro de procesos con consecuencias reales.

5.2. Dónde sí se complica: negligencia grave, opacidad y ausencia de control

El problema aparece cuando la empresa integra IA en procesos sensibles y, aun así, no establece un nivel de control mínimamente defendible. Ahí la discusión deja de ser tecnológica y pasa a ser de conducta empresarial: previsibilidad del riesgo, diligencia desplegada y estructura real de supervisión.

Si una organización permite que sistemas automatizados operen con impacto relevante sin responsables claros, sin límites, sin revisión material y sin capacidad de reconstruir qué ocurrió, el uso de IA deja de parecer una simple ayuda operativa. En ese punto, la exposición aumenta de forma seria.

5.3. El papel del órgano de administración

Cuando la IA entra en procesos relevantes del negocio, deja de ser un asunto puramente técnico o delegable sin más. Pasa a formar parte del perímetro de supervisión que la empresa debe poder justificar si después surge una reclamación, una investigación o un incidente serio.

Eso no significa que el órgano de administración tenga que entender cada detalle técnico del modelo. Sí significa que debe asegurarse de que existen políticas, límites, responsables, escalado y revisión humana proporcionales al impacto del uso.

5.4. Donde el control humano deja de ser un formalismo

Hay un terreno especialmente sensible: las decisiones automatizadas que producen efectos jurídicos o afectan de forma significativa a una persona. Ahí la empresa necesita poder explicar algo más que “el sistema ayudó”. Necesita justificar qué intervención humana existía realmente, qué peso tuvo el sistema y con qué garantías se utilizó.

La conclusión correcta no es alarmista, pero tampoco ingenua: la IA no genera responsabilidad penal por defecto, pero tampoco neutraliza la responsabilidad cuando una empresa la integra en procesos sensibles sin supervisión real y sin capacidad de demostrar control suficiente.

6. El verdadero problema no es la IA: es la falta de gobierno y trazabilidad

Si el bloque anterior servía para corregir una idea simplista —que la IA genera por sí misma un problema penal—, este sirve para fijar la tesis de fondo del artículo: en la mayoría de empresas el riesgo real no está en la tecnología, sino en la forma desordenada en que entra en el negocio.

La IA no suele implantarse de golpe mediante un gran proyecto perfectamente gobernado. En muchas organizaciones entra por herramientas concretas, por iniciativas de equipos, por automatizaciones parciales o por decisiones tácticas que funcionan lo bastante bien como para consolidarse antes de que exista una política clara. Y ahí aparece el problema: la empresa normaliza el uso antes de haber decidido quién responde, qué se puede hacer, qué no, dónde hay que supervisar y qué evidencias deben conservarse.

La mayoría de compañías no tienen un problema de “exceso de IA”. Tienen un problema de uso real sin mapa, sin responsables y sin trazabilidad suficiente.

6.1. El patrón más frecuente: la IA entra por la vía operativa y el gobierno llega tarde

Este es probablemente el patrón más habitual en pymes, mid-market e incluso en organizaciones más grandes: primero se adopta la herramienta porque ahorra tiempo, acelera una tarea o desbloquea una necesidad concreta. Después distintos equipos la incorporan a sus rutinas. Y solo más tarde, cuando el uso ya se ha extendido, alguien se da cuenta de que no existe una foto fiable de dónde interviene la IA, con qué criticidad y bajo qué control.

Ese desfase importa mucho. Sin inventario real de usos no hay priorización. Sin priorización no hay reglas proporcionales. Y sin reglas proporcionales, la empresa no sabe distinguir entre un uso de apoyo relativamente inocuo y un uso que ya influye en decisiones sensibles, comunicaciones externas o procesos con impacto sobre terceros.

6.2. Sin inventario, la organización no sabe realmente dónde se está jugando el riesgo

Muchas compañías creen que “usan IA” en un sentido muy general, pero no podrían responder con precisión a preguntas bastante básicas: en qué áreas interviene, qué procesos dependen ya de outputs generados, qué usos se publican o se entregan a clientes, dónde influye en decisiones y en qué flujos existe supervisión humana real. Esa falta de visibilidad no es un detalle operativo. Es una debilidad de gobierno.

Inventariar no significa burocratizar cada experimento menor. Significa, simplemente, poder distinguir entre usos de baja criticidad y usos donde el margen de error, el daño potencial o la sensibilidad del proceso exigen un control más serio. Si la empresa no tiene esa foto, tampoco puede defender con credibilidad que está gestionando el riesgo de forma razonable.

6.3. La trazabilidad no es burocracia: es capacidad de defensa

Este es uno de los puntos más mal entendidos. Cuando se habla de trazabilidad, algunas empresas lo perciben como una exigencia pesada o excesivamente formalista. Pero en realidad la lógica es bastante más simple: si hay una reclamación, una investigación o un incidente, la organización necesita poder reconstruir qué ocurrió.

Eso significa poder responder, con un nivel razonable de evidencia, a preguntas como estas: qué se pidió al sistema, qué devolvió, quién lo revisó, qué se decidió finalmente, qué parte del output se modificó, qué proveedor o modelo estaba detrás y con qué criterio se autorizó su uso en ese contexto. Si la empresa no puede reconstruir la secuencia, su posición se debilita en todos los frentes a la vez: jurídico, asegurador, contractual y reputacional.

Por eso la trazabilidad no debe plantearse como obsesión documental indiscriminada. Debe plantearse como una práctica proporcional: más exigencia donde el impacto es mayor, menos fricción donde el uso es claramente auxiliar y de bajo riesgo.

6.4. El AI Act refuerza una dirección clara: supervisión, registros y medidas organizativas

Aquí conviene ser precisos otra vez. No toda empresa que usa IA cae automáticamente dentro de los supuestos más exigentes del AI Act, ni todos los usos corporativos son “alto riesgo” en el sentido técnico del reglamento. Pero el texto sí consolida una dirección muy clara: cuando un sistema de IA afecta de forma relevante a derechos, decisiones o seguridad, ya no basta con hablar de innovación. Hay que hablar también de supervisión humana, documentación, responsabilidades y medidas organizativas.

Eso importa incluso para organizaciones cuyos usos no encajan de lleno en las categorías más sensibles del reglamento. Porque el AI Act no solo introduce obligaciones concretas para ciertos supuestos; también eleva el estándar cultural de lo que se considera un uso serio y defendible de la IA en entorno empresarial.

Si quieres mantener la referencia oficial, aquí sí tiene sentido enlazar al texto oficial del Reglamento (UE) 2024/1689 en EUR-Lex y, si prefieres versión PDF, a la versión publicada en DOUE/BOE.

6.5. Lo que una empresa madura debería tener, aunque no esté en un caso de “alto riesgo”

La lectura útil para dirección no es esperar a ver si una autoridad, una aseguradora o un litigio obliga a ordenar el tema. La lectura útil es más sencilla: si la IA ya está entrando en procesos reales, hace falta una estructura mínima de gobierno antes de que el uso siga escalando por inercia.

Esta lógica enlaza, además, con algo que en Rumbo & Resultados ya defendemos en otros activos: antes de escalar IA, conviene ordenar criterio, usos y prioridades. Si quieres cruzar esta pieza con un enfoque más operativo, aquí sí tiene sentido enlazar con el checklist de IA práctica, con Dónde la IA sí ahorra tiempo (y dónde no) y con el servicio de Integración de IA para pymes y startups.

7. Qué debería revisar hoy una empresa sensata

Si hablamos de IA y seguros en la empresa, el punto práctico no es debatir más sobre tecnología, sino revisar dónde ya existe exposición real.

A estas alturas, la conclusión práctica debería ser clara: si la IA ya participa en procesos reales, la empresa necesita dejar de operar por inercia. No hace falta una gran arquitectura teórica. Hace falta una revisión ejecutiva ordenada.

El objetivo no es frenar la IA. El objetivo es dejar de asumir riesgos que nadie ha decidido conscientemente.

7.1. Primer frente: mapa real de usos

El punto de partida no es preguntar si la empresa “usa IA”. Eso ya no dice casi nada. Lo útil es identificar dónde interviene, en qué procesos, con qué impacto y con qué nivel de supervisión.

7.2. Segundo frente: revisión de pólizas

Con ese mapa en la mano, toca revisar el programa de seguros con lógica de exposición: RC general, E&O, D&O y ciber, además de cualquier cobertura específica que aplique a tu actividad.

7.3. Tercer frente: contratos y proveedores

Si la cobertura se estrecha o se vuelve incierta, parte del riesgo se desplaza al contrato. Por eso conviene revisar la posición de la empresa frente a proveedores tecnológicos, SaaS, modelos externos y clientes.

7.4. Cuarto frente: supervisión y trazabilidad mínima

No basta con declarar que existe revisión humana. Hace falta distinguir entre una validación simbólica y un control material. En procesos de alta criticidad, la empresa debe poder demostrar quién revisa, qué revisa y con qué capacidad real para corregir o bloquear un output antes de que produzca un efecto relevante.

7.5. El siguiente paso razonable

Si todavía estás en una fase donde los usos crecen de forma dispersa, conviene ordenar primero criterio y prioridades. En ese punto tiene sentido enlazar esta pieza con el checklist de IA práctica, con Dónde la IA sí ahorra tiempo (y dónde no) y con el servicio de Integración de IA para pymes y startups.

8. Preguntas frecuentes sobre IA y seguros en la empresa