IA en la verificación de identidad: Lo que deben saber las empresas

La inteligencia artificial procesa información mediante algoritmos informáticos inspirados en la estructura del cerebro humano. Puede interpretar y generar texto, crear y reconocer imágenes y, lo más importante, aprender de los datos para mejorar su rendimiento. 

En el software IDV, el término IA suele referirse a las redes neuronales (NN), una rama del aprendizaje automático. Estas redes se entrenan para realizar tareas que van desde el procesamiento de imágenes hasta funciones más específicas, como identificar tipos de documentos de identidad. 

Los modelos de lenguaje de gran escala (LLMs), como los que utiliza ChatGPT, representan una nueva generación de IA 2.0. Aunque también se basan en redes neuronales, son capaces de interpretar consultas complejas en lenguaje natural y recordar el contexto. Esta capacidad va más allá del texto, permitiendo que los LLMs también aporten valor en IDV. Por ejemplo, ChatGPT puede identificar tipos de documentos, extraer datos de escaneos de identificaciones y leer códigos de barras.

En la práctica, el uso de redes neuronales o LLMs funciona como un diálogo “consulta-respuesta”, ya sea entre una persona y una máquina o entre dos sistemas. Una consulta puede ser cualquier tipo de entrada de datos: texto, audio, imágenes o información codificada como una zona de lectura mecánica (MRZ) o una selfie.  Algunas consultas también pueden implicar toma de decisiones, como evaluar si algo es verdadero o falso, mejor o peor, o elegir entre A y B. Los próximos pasos en la evolución de la IA sin duda incluirán versiones más “activas”, donde los algoritmos no solo tomen decisiones, sino que también actúen en función de ellas — avances que podrían ser tan transformadores como lo fue en su momento la invención de las armas nucleares.

Antes que nada, la IA impulsa la automatización en la verificación de identidad, permitiendo que los algoritmos completen tareas rutinarias en segundos. Sin embargo, es fundamental destacar que, al igual que cualquier otro algoritmo, las redes neuronales (NN) y los modelos de lenguaje (LLMs) pueden ser utilizados y entrenados de manera diferente según el proveedor. Esto plantea preocupaciones legales y, como consecuencia, motiva a las autoridades a regular el uso de la IA.  

Uno de los principales desafíos para los entes reguladores es que la IA, especialmente los modelos más avanzados como los LLMs, no puede utilizarse en IDV sin restricciones.  Su uso sin control puede derivar en situaciones como:

• Decisiones o resultados generados por IA que discriminen a personas cuyos datos hayan sido procesados de esta manera.

• El acceso de proveedores externos de herramientas basadas en IA a los datos de identificación de los ciudadanos, lo cual representa un asunto de seguridad nacional.

La regulación de la inteligencia artificial sigue siendo un concepto relativamente nuevo para los entes reguladores en todo el mundo. Una de las principales razones de este retraso legal es que nadie comprende del todo a qué nos enfrentamos ni las posibles consecuencias del uso descontrolado de la IA. Además, resulta difícil evaluar objetivamente su presencia en el ámbito público, ya que sus capacidades evolucionan constantemente, abriendo nuevas áreas aún inexploradas. Justo cuando parece que se ha alcanzado claridad sobre un aspecto, todo puede cambiar al día siguiente. Sin embargo, nadie duda de que la regulación es necesaria.  

Como consecuencia, la mayoría de los países apenas han comenzado a implementar requisitos específicos. Aun así, ya existen algunas normativas que han entrado en vigor.

Es importante destacar que estas regulaciones aplican tanto a los desarrolladores de IA (incluyendo los proveedores y fabricantes de soluciones IDV) como a las empresas que las utilizan, por lo que todas las partes comparten la responsabilidad del cumplimiento. 

Exploremos los requisitos más relevantes que rigen hoy el uso de la IA en soluciones IDV en diferentes partes del mundo.

Con entrada en vigor el 1 de agosto de 2024, esta legislación es una de las primeras en establecer un marco regulatorio para la verificación de identidad impulsada por inteligencia artificial. Su objetivo principal es proteger tanto a las empresas como a los usuarios frente al uso indebido de la IA.  La ley aplica tanto a desarrolladores como a implementadores de IA que operen dentro de la Unión Europea (UE).

La Ley de IA clasifica los casos de uso en cuatro niveles de riesgo: inaceptable, alto, limitado y mínimo, estableciendo requisitos diferenciados para cada categoría. Muchas aplicaciones relacionadas con la IDV, como los sistemas de selección de currículums o los controles fronterizos, se consideran de alto riesgo.

Para cumplir con la normativa, las organizaciones deben:

• Implementar un marco de evaluación de riesgos y seguridad, que incluya el registro de todas las actividades del sistema y documentación detallada para su revisión regulatoria.
• Utilizar conjuntos de datos de alta calidad para entrenar redes neuronales y reducir los sesgos en los resultados.
• Garantizar la supervisión humana de los sistemas basados en IA para mitigar riesgos de seguridad.

La Ley de IA establece una transición gradual hacia el cumplimiento total. Será plenamente aplicable en agosto de 2026, con etapas intermedias que ofrecerán a las empresas directrices adicionales para adaptar sus sistemas antes de agosto de 2027. 

Cabe destacar que las infracciones a esta normativa pueden acarrear sanciones significativas. Por ejemplo, el uso de aplicaciones de IA prohibidas puede conllevar multas de hasta 35 millones de euros o el 7 % del volumen de negocios anual global, lo que resulte mayor.

Originalmente concebida como una ley de privacidad de datos, la CCPA está en proceso de ampliarse para incluir regulaciones sobre el uso de inteligencia artificial. En noviembre de 2023, la Agencia de Protección de la Privacidad de California presentó un borrador de reglamento que se aplicará a las empresas con operaciones en California que cumplan al menos uno de los siguientes criterios:

• Ingresos anuales superiores a 25 millones de dólares.
• Compra, venta o intercambio de datos personales de más de 100,000 residentes de California.
• Obtención de al menos el 50 % de sus ingresos totales por la venta de datos de residentes de California.

Esta regulación se dirige a las empresas que utilizan IA para toma de decisiones significativas, elaboración de perfiles de clientes o entrenamiento de herramientas de IA. Para cumplir con la normativa, las empresas deben:

• Proporcionar a los clientes un aviso previo explicando cómo se utilizará la IA.
• Ofrecer a los clientes la opción de rechazar el uso de IA.
• Realizar evaluaciones de riesgo antes de implementar herramientas de IA.

Implementado en la Unión Europea en 2008, el GDPR es una regulación clave que se cruza directamente con el uso de la inteligencia artificial, exigiendo tanto a los desarrolladores como a los usuarios finales cumplir con estrictas medidas de protección de datos.

En el caso de los modelos de IA, como los modelos de lenguaje de gran escala (LLMs), que procesan datos de ciudadanos de la UE, el cumplimiento incluye obtener el consentimiento del usuario, anonimizar o seudonimizar los datos para evitar la identificación personal, y aplicar medidas de seguridad rigurosas para prevenir su uso indebido. 

El principio fundamental del GDPR es recolectar únicamente los datos necesarios que los usuarios proporcionen de forma voluntaria, almacenarlos de forma segura y garantizar que puedan ser eliminados por completo si así lo solicita el usuario.

Por supuesto, existen más iniciativas en curso para establecer políticas y leyes que regulen el uso de la inteligencia artificial en los sectores público y privado. Por ejemplo, entre 2023 y 2024, países como Italia, China, Australia, Nueva Zelanda, Filipinas, así como estados de EE. UU. como Tennessee y Utah, anunciaron su intención de desarrollar estrategias nacionales de IA y comenzaron a trabajar en ellas. 

Actualmente, los países suelen adoptar tres enfoques principales para abordar el desafío de la IA: uno orientado al mercado, otro impulsado por el Estado, y un tercero centrado en los derechos.

Es probable que, en el futuro, las empresas que utilizan herramientas impulsadas por IA en sus operaciones cotidianas deban tener en cuenta estos tres enfoques al momento de cumplir con las distintas normativas.

Regula garantiza el cumplimiento total de las regulaciones vigentes, incluyendo el GDPR y la Ley de IA de la UE, al tiempo que aplica estrictas normas internas para el uso de inteligencia artificial en sus productos— Regula Document Reader SDK y Regula Face SDK.

Desde el punto de vista técnico, Regula no utiliza modelos de lenguaje (LLMs) ni soluciones de verificación de identidad basadas en IA de terceros para el procesamiento de datos ni para la toma de decisiones. Todas las redes neuronales integradas en nuestros SDK son desarrolladas internamente y entrenadas con conjuntos de datos de alta calidad, que incluyen ejemplares de documentos de identidad y selfies. Nuestro equipo de I+D trabaja continuamente en el perfeccionamiento de estas redes para anticiparse a nuevas técnicas de fraude, como los deepfakes y los ataques de presentación, utilizando datasets específicos y pruebas simuladas con máscaras de silicona, maniquíes, imágenes en pantalla, entre otros. 

El entrenamiento de estas redes neuronales se realiza siempre en un entorno cerrado, seguro y local, donde Regula mantiene control absoluto sobre los datos y documenta cada proceso. Además, estas NN son completamente autónomas, funcionan en un estado fijo y estático, y no aprenden en campo. Están diseñadas exclusivamente para aumentar la precisión de nuestros algoritmos de detección.

Por esta razón, nuestros sistemas no se consideran herramientas de verificación de identidad impulsadas por IA de alto riesgo, como sí lo son los LLMs y otros modelos generativos que interactúan directamente con los usuarios finales y utilizan selfies reales o escaneos de documentos para autoentrenarse.

A pesar de su rápida expansión, el uso de la inteligencia artificial en la verificación de identidad aún se encuentra en una etapa temprana. Avances tecnológicos futuros, como el modelo DeepSeek de China, seguirán transformando el mercado y acelerando la creación de regulaciones más específicas. Aunque es poco probable que surjan estándares globales similares a los de la OACI, sí veremos leyes regionales y estatales cada vez más precisas.

Tanto los desarrolladores como los usuarios deben cumplir con la normativa, y Regula está aquí para ayudarle a entender y adaptarse a los requisitos actuales. Si tiene preguntas sobre el uso de IA en nuestros SDK, no dude en agendar una llamada — estaremos encantados de atenderle.