Aquesta setmana he rebut la trucada que sempre m'incomoda: "Carlos, ens han demanat documentació sobre els nostres sistemes d'IA i no sabem ni el que tenim ni com classificar-los. Ens poden multar?"
La resposta curta: sí. I podria suposar la fi del teu negoci.
A Delbion portem més de 20 anys auditant sistemes i, en l'últim any, el patró es repeteix: empreses que han adoptat la IA a tota velocitat (ChatGPT per a atenció al client, automatitzacions de machine learning, analítica predictiva...) però que no tenen ni idea dels riscos de ciberseguretat que estan assumint.
I el que és pitjor: tampoc saben que el Reglament d'IA europeu (AI Act) ja és aquí, amb sancions de fins a 35 milions d'euros.
Et sona? Continua llegint.
3 riscos d'IA que veiem en la majoria d'auditories:
La teva persona de RRHH acaba de pujar 50 currículums a ChatGPT
Fa dos mesos vaig auditar una empresa que feia servir IA generativa per "agilitzar processos". Sona bé, oi?
Fins que vam descobrir que l'equip de RRHH copiava currículums complets a ChatGPT per generar resums. Contractes confidencials en eines d'IA per redactar correus electrònics. Dades de vendes en plataformes gratuïtes per fer informes.
El problema: cap d'aquelles eines tenia un contracte DPA (Acord de processament de dades), i les dades estaven sent utilitzades per entrenar models de tercers.
Resultat: possible incompliment del RGPD. Si alguna d'aquelles dades es filtra o s'utilitza de forma indeguda, la responsable és l'empresa.
Shadow AI: el departament de màrqueting va instal·lar 3 complements d'IA sense avisar IT
Recordes quan parlàvem de la "Shadow IT"? Aquells sistemes que els departaments implanten sense que IT se n'assabenti.
Ara afegim un nou nivell: la Shadow AI.
Extensions de navegador amb IA integrada. Plugins de Chrome per a escriptura automàtica. APIs de tercers connectades al CRM o a l'ERP sense revisió de seguretat.
En la meva última auditoria vam trobar 7 eines d'IA de les quals ningú a IT tenia constància. Set. I algunes tenien vulnerabilitats conegudes de prompt injection (bàsicament, manipular les instruccions de la IA perquè faci coses que no hauria de fer).
El risc? Portes del darrere obertes de bat a bat.
"No sabia que això era d'alt risc" — Multa: 35 milions d'euros
El Reglament d'IA de la Unió Europea no és el futur. És el present.
Des del 2024 ja hi ha obligacions en vigor i, per al 2027, el marc complet estarà implementat.
El que moltes empreses desconeixen és que els seus sistemes d'IA probablement encaixen en la categoria d'"alt risc" sense que elles mateixes s'hagin adonat.
Utilitzes IA per seleccionar candidats? Risc alt.
Tens un sistema automatitzat de scoring de crèdit? Risc alt.
Fas servir IA per avaluar el rendiment dels teus empleats? Risc alt.
I si t'equivoques en classificar-lo... pots enfrontar-te a multes de fins a 35 milions d'euros o el 7% de la facturació anual global (el que sigui major). No és cap broma. Ho estem veient en empreses que pensaven que "anaven bé".
Com protegir la teva empresa (sense morir en l'intent)
Després de 20 anys auditant i certificant empreses sota ISO 27001, ENS i ara amb el AI Act, l'experiència demostra que la solució no és complicada. És metòdica.
El teu checklist de supervivència en IA:
Inventari de sistemes d'IA
Fes una llista de TOT el que utilitza IA a la teva organització (sí, inclou aquells plugins que màrqueting va instal·lar sense avisar).
Classificació del risc
La teva IA pren decisions sobre persones? Avalua si és d'alt risc segons el Reglament d'IA.
Polítiques d'ús clares
Deixa per escrit què poden i què NO poden fer els teus empleats amb les eines d'IA.
Controls d'accés ISO 27001
Implanta els controls A.9.1 per limitar qui utilitza quines eines.
FRIA (Avaluació de l'Impacte en Drets Fonamentals)
Obligatòria per a sistemes d'alt risc.
Documentació auditable
Registra totes les decisions preses per sistemes d'IA (el Reglament d'IA et demanarà registres de fins a 10 anys).
Pla de contingències d'IA
Si el teu chatbot "s'embogeix" o hi ha una fuga de dades, què fas? NIS2 t'obliga a notificar en un termini de 24 hores.
Si has respost "això no ho tenim" en més de dos punts, necessites una auditoria. I la necessites ara.
La IA segura no és opcional: és el teu avantatge competitiu
Hi ha un patró que es repeteix:
Les empreses que s'avancen a la regulació guanyen.
Les que esperen que els caigui la multa... perden temps o, pitjor encara: diners i reputació.
A Delbion treballem amb el principi d'auditar + implantar + certificar. No ens limitem a dir-te el que està malament. T'ajudem a corregir-ho i a demostrar-ho amb certificacions reconegudes (ISO 27001, ENS, compliment del Reglament d'IA).
Perquè, al final, l'important no és només complir. És construir sistemes d'IA en els quals els teus clients puguin confiar.
La pregunta no és si la teva empresa necessita una auditoria d'IA. La pregunta és: quan la faràs?
Perquè en ciberseguretat, esperar pot sortir molt car.
Assessment Gratuït
La teva empresa està preparada per al Reglament d'IA?
En 60 minuts auditem el teu inventari d'IA, classifiquem el risc de cada sistema i t'entreguem un pla d'acció concret per complir amb la normativa europea — abans que sigui massa tard.
Sol·licitar Auditoria Gratuïta →