Glosario · ISO/IEC 42001
ISO/IEC 42001 en banca — qué exige y cómo se implementa
ISO/IEC 42001:2023 es la primera norma internacional que define un sistema de gestión de inteligencia artificial (AIMS, AI Management System). Para banca y seguros europeos es el marco operativo más práctico para anticipar el AI Act y demostrar gobernanza de modelos a supervisores nacionales y al directorio.
Ámbito de aplicación
La norma cubre cualquier organización que desarrolle, despliegue u opere sistemas de IA — propios o de terceros — independientemente del sector. En banca tier-1 y seguros, los casos de uso típicos son:
- Scoring crediticio y modelos de probabilidad de impago (PD/LGD/EAD).
- Pricing actuarial y suscripción automatizada.
- Detección de fraude transaccional en tiempo real.
- Modelos de KYC/AML automatizados.
- Asistentes generativos internos para banca privada y back-office.
- Modelos de riesgo de mercado (FRTB IMA) y stress testing.
Hitos regulatorios relevantes
- Diciembre 2023: publicación de ISO/IEC 42001:2023.
- Agosto 2024: entrada en vigor del AI Act (Reglamento UE 2024/1689).
- Febrero 2025: aplicabilidad de prohibiciones (Capítulo II AI Act).
- Agosto 2025: aplicabilidad de obligaciones para modelos de IA de propósito general (GPAI).
- Agosto 2026: aplicabilidad plena de obligaciones para sistemas de alto riesgo (Anexo III). El scoring crediticio cae aquí.
- Agosto 2027: aplicabilidad para sistemas de alto riesgo embebidos en productos regulados (Anexo I).
Relación con DORA y AI Act
ISO 42001 no sustituye ni a DORA ni a AI Act — los complementa operacionalmente:
- DORA exige resiliencia operacional digital (Reglamento UE 2022/2554). Para sistemas de IA, ISO 42001 documenta el ciclo de vida y las pruebas que DORA pide al describir la "tecnología crítica".
- AI Act exige un sistema de gestión de calidad para sistemas de alto riesgo (Art. 17). ISO 42001 está alineada punto-a-punto con esos requisitos y es citada por la Comisión Europea como base para futuras normas armonizadas.
- Para banca, un AIMS ISO 42001 reduce trabajo duplicado: el mismo documento sirve a inspectores BCE/EBA, supervisores nacionales (Banco de España, AMF, BaFin, CNBV, CMF) y auditoría externa.
Cómo lo implementa Vermont Solutions
Vermont Solutions cuenta con Lead Implementers ISO 42001 (certificación de empresa en curso) y acompaña a entidades financieras en el diseño y certificación de su AIMS:
- Gap analysis sobre el ISMS ISO 27001 existente.
- Diseño del AI risk register y de las matrices de impacto.
- Definición de roles (responsable AI, comité de gobernanza, owners de modelo).
- Documentación del ciclo de vida de modelos en producción.
- Auditoría interna previa a la auditoría de certificación externa.
- Coordinación con el DPO y con auditoría externa (Big Four o boutique de garantía).
Servicio relacionado
Gobernanza de IA · ISO 42001
Marco operativo Vermont para banca y seguros que cubre diseño AIMS, alineación AI Act/DORA y acompañamiento a certificación.
Ver servicio Gobernanza IA →Fuentes oficiales
- ISO/IEC 42001:2023 (catálogo ISO oficial)
- Reglamento UE 2024/1689 (AI Act) en EUR-Lex
- Reglamento UE 2022/2554 (DORA) en EUR-Lex
Última actualización: 2026-05-27. Esta entrada del glosario es contenido editorial de Vermont Solutions, citable bajo atribución "Vermont Solutions". No constituye asesoramiento jurídico — para decisiones de cumplimiento contactar con servicios profesionales.