2025 de septiembre
Introducción
Creada por el Congreso de los EE. UU. en 1970, la NCUA es una agencia federal independiente que asegura los depósitos en las cooperativas de ahorro y crédito con seguro federal, protege a los miembros propietarios de las cooperativas de ahorro y crédito, y autoriza y regula las cooperativas de ahorro y crédito federales.
La NCUA protege la seguridad y la solidez del sistema de cooperativas de ahorro y crédito al identificar y administrar los riesgos del Fondo Nacional de Seguro de Depósitos de las Cooperativas de Ahorro y Crédito (Fondo de Seguro de Depósitos). El Fondo de Seguro de Depósitos ofrece hasta $250,000 en seguro de depósitos federal a más de 143 millones de miembros1 en todas las cooperativas de ahorro y crédito federales y en la mayoría de las cooperativas ee ahorro y crédito autorizadas por el estado.
El Plan de Cumplimiento de Inteligencia Artificial de la NCUA describe nuestro enfoque para administrar el uso de la inteligencia artificial (IA), tal como lo exigen la Ley de Gobierno de 2020 2 y el Memorando M-25-21 de la Oficina de Administración y Presupuesto (OMB), que aceleran el uso federal de la IA mediante la innovación, la gobernanza y la confianza pública.3 El plan se desarrolló bajo la dirección de Amber Gravius, directora de Inteligencia Artificial (CAIO) de la NCUA.
Impulsar la innovación en IA
Eliminar obstáculos para el uso responsable de la IA
La NCUA aborda la IA de manera metódica y se centra en los casos de uso con mayor potencial para aumentar la eficiencia operativa. Nuestra metodología de evaluación prioriza las oportunidades que nos ayudarán a cumplir mejor nuestra misión. Por último, evaluamos las inversiones en nuevas tecnologías con miras al futuro y evaluamos si la agencia tiene la capacidad financiera y operativa para capitalizar y mantener dichas inversiones.
La NCUA reconoce varios obstáculos para el uso responsable de la IA:
- personal limitado con conocimientos especializados de IA;
- preocupacione sobre la gestión de riesgos y la privacidad de datos;
- la limitada a transparencia de los proveedores sobre cómo se implementa la IA; y
- Límites financieros para invertir en nuevas tecnologías y fiabilidad de las herramientas de IA adquiridas.
Para abordar estas barreras, la NCUA evalúa sus necesidades de personal y sus procesos y políticas para optimizar el uso ético y responsable de la IA. Cumpliremos con el memorando M-25-22 de la OMB llamado Impulsar la adquisición eficiente de IA en el gobierno 4 y utilizaremos el proceso presupuestario anual para solicitar fondos para herramientas de software y desarrollos de tecnología de la información a medida que abordemos los desafíos relacionados con la transparencia de los proveedores y las restricciones financieras.
Compartir y reusar
La NCUA promueve el uso compartido y la reutilización de la IA en todas las oficinas a través de su inventario centralizado de casos de uso de IA, al que pueden acceder todo el personal y el público en NCUA.gov. La Oficina de Innovación Empresarial (OBI) gestiona el inventario de casos de uso de IA y coordina el intercambio y la reutilización de códigos, modelos y activos de datos de IA.
Talento de IA
La IA comienza con las personas: evaluamos y determinamos las necesidades de personal y formación para asegurar que la agencia tenga las habilidades y los conocimientos necesarios para aprovechar al máximo las tecnologías de IA. También fomentamos una cultura que apoya la innovación y la visión de futuro para atraer y retener a los mejores talentos de IA, al ofrecer oportunidades de crecimiento profesional, colaboración y creatividad.
Mejorar la gobernanza de la IA
Gobernanza de la IA
Para apoyar al personal en el uso responsable de la IA, la NCUA tiene órganos internos de gobernanza compuestos por ejecutivos y gerentes séniors que gestionan los riesgos, supervisan las prácticas de gestión de datos y brindan transparencia y responsabilidad en las implementaciones de la IA. Estos incluyen:
- un Consejo de Supervisión de la Tecnología de la Información, responsable de fijar el rumbo de la tecnología de la información al priorizar los proyectos y garantizar la alineación con la misión de la NCUA;
- un Consejo de Gobernanza de Datos, responsable de establecer estándares de datos, facilitar el desarrollo de objetivos estratégicos y promover prácticas prudentes de gestión de datos;
- Un Consejo de Ciberseguridad, responsable de evaluar los riesgos internos y externos de seguridad de la información para la NCUA y las cooperativas de ahorro y crédito; y
- Un Consejo de Gestión de Riesgos Empresariales, responsable de supervisar el marco y las funciones de la NCUA.
La NCUA también revisa y aprueba rigurosamente todas las directrices e instrucciones del personal. Seguimos buscando la guía de expertos externos, según sea necesario.
Compartir las lecciones aprendidas y las mejores prácticas con colegas de otros reguladores financieros nos ayuda a adaptarnos al cambiante panorama de la IA. La NCUA participa activamente en varios grupos de trabajo interagencial,5 donde compartimos nuestras experiencias y aprovechamos las de otras agencias que enfrentan restricciones legales y financieras similares.
Nuestro compromiso con partes interesadas externas no se limita a otros en el gobierno. La agencia fomenta las discusiones abiertas con la industria de las cooperativas de ahorro y crédito y se reúne regularmente con ellas. También participamos en mesas redondas y paneles sobre IA, según corresponda.
Políticas de la agencia
La NCUA está elaborando directrices y políticas específicas para la IA a fin de cumplir con los requisitos y normas establecidos en los memorandos M-25-21 y M-25-22 de la OMB. Esto incluye la alineación con la Orden Ejecutiva 14179 6, la Ley para el Avance de la IA Estadounidense7, el Plan de Acción de IA de EE. UU.8 y nuestras políticas de tecnología de la información para fomentar el uso y la gobernanza responsables de la IA.
Hasta ahora, nuestras directrices para el personal sobre el uso responsable de la IA se centran en la gestión de riesgos, la privacidad de los datos y las consideraciones ética. Además, la agencia está actualizando sus procedimientos para facilitar un marco sólido de gobernanza.
Inventario de casos de uso de IA
Para establecer un proceso centralizado de recopilación y actualización de casos de uso de IA, la agencia pide los aportes de toda la organización. Anualmente, cada oficina debe proporcionar información detallada sobre las aplicaciones de IA actuales y propuestas para las revisiones técnicas, de seguridad y de privacidad por parte del director de IA, el director de Información, el director de Riesgos del Sistema de Información de la Agencia y el oficial sénior de Privacidad de la Agencia. Esto minimiza el riesgo de duplicación de iniciativas y verifica que las de la oficina cumplan con las políticas de la agencia.
El director de IA también examina todos los casos de uso y coordina con las oficinas, según sea necesario, para garantizar que el inventario sea integral, completo y actualizado.
Fomentar la confianza pública en el uso federal de la IA
Determinaciones de IA de alto impacto presunto
La NCUA revisa cada uso actual y planificado de la IA para identificar oportunidades de alto impacto según la definición de la sección 5 del apéndice del M-25-21. Si bien no hemos creado criterios adicionales con respecto a cuándo un caso de uso de IA se considera de alto impacto, la agencia implementará las prácticas mínimas de gestión de riesgos descritas en el M-25-21.
En algunos casos, puede ser necesario no splicar una o más prácticas mínimas de gestión de riesgos. Estamos elaborando criterios internos para decidir si no aplicar una o más prácticas mínimas de gestión de riesgos en casos específicos de uso de IA. Estos criterios garantizarán que cualquier exención sea necesaria, justificada y coherente con los objetivos de tolerancia al riesgo y misión de la agencia. La NCUA también está estableciendo un proceso formal para emitir, denegar, revocar, certificar y rastrear las exenciones, que incluirá la supervisión del director de IA y los órganos de gobernanza pertinentes.
Implementación de prácticas de gestión de riesgos y fin de la IA sin cumplimiento
Al desarrollar y usar herramientas de IA, las prácticas clave de gestión de riesgos incluyen documentar y validar las prácticas mínimas de gestión de riesgos, establecer controles para prevenir la falta de cumplimiento de la IA de alto impacto y crear procesos de terminación. La NCUA planea documentar y validar la implementación de prácticas mínimas de gestión de riesgos para las herramientas de IA mediante los procedimientos existentes de TI, seguridad, privacidad y gobernanza. Además, queremos establecer procedimientos específicos y ampliados para casos de uso de IA de alto impacto.
Para evitar la implementación de IA de alto impacto que no cumple con las normas, la NCUA alinea las prácticas de gestión de riesgos del M-25-21 con las medidas de seguridad y privacidad detalladas en la Publicación Especial 800-53 Rev. 5 del NIST, Controles de Seguridad y Privacidad para Sistemas y Organizaciones de la Información 9 y los marcos del NIST. También utilizamos controles de acceso basados en roles y varios procesos de aprobacióncon múltiples pasos para evitar que se implemente una IA de alto impacto no cumple con las normas. Actualmente, la agencia no ha implementado casos de uso de IA pública.
Se eliminarán los sistemas de IA que no cumplan con los requisitos operativos, éticos o normativos. Al detectar un sistema de IA que no cumple con las normas, la NCUA evaluará la gravedad de la infracción y el alcance del posible impacto. El proceso de cierre de sistemas con falta de cumplimiento implicará:
- restringir el acceso a los datos y al entorno operativo de inmediato;
- aislar o apagar el sistema por completo;
- Archivar los datos y los activos asociados de forma segura, de acuerdo con las políticas de retención de datos;
- redactar documentación detallada, incluida la justificación del despido y los procedimientos ejecutados; y
- Notificar a todos los interesados, incluidos los dueños de sistemas y los consejos de gobernanza.
Acotaciones
1 Al 31 de marzo de 2025.
2 Pub L. Nº 116-260, div. U, título 1, § 104 (40 Código de los Estados Unidos § 11301 nota), https://www.congress.gov/116/plaws/publ260/PLAW-116publ260.pdf.
3 Memorando M-25-21 de la OMB, Acelerar el uso federal de la IA mediante la innovación, la gobernanza y la confianza pública (3 de abril de 2025), M-25-21-Accelerating-Federal-Use-of-AI-through-Innovation-Governance-and-Public-Trust.pdf..
4 Memorando M-25-22 de la OMB para la adquisición eficiente de inteligencia artificial en el gobierno (3 de abril de 2025), https://www.whitehouse.gov/wp-content/uploads/2025/02/M-25-22-Driving-Efficient-Acquisition-of-Artificial-Intelligence-in-Government.pdf
5 Estos incluyen el Consejo de Supervisión para la Estabilidad Financiera, el Consejo Federal de Inspección de Instituciones Financieras, el Comité de Información e Infraestructura Financiera y Bancaria, el Consejo Federal de Directores de Datos, el Consejo Federal de Directores de Información, el Consejo Federal de Privacidad, el Consejo de Directores de Capital Humano y el Consejo de Directores de Inteligencia Artificial.
6 https://www.federalregister.gov/documents/2025/01/31/2025-02172/removing-barriers-to-american-leadership-in-artificial-intelligence
8 https://www.whitehouse.gov/wp-content/uploads/2025/07/Americas-AI-Action-Plan.pdf
9 NIST SP 800-53: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r5.pdf