2024 de noviembre
Introducción
National Credit Union Administration
La NCUA, creada por el Congreso de los EE. UU. en 1970, es una agencia federal independiente que asegura los depósitos en las cooperativas de ahorro y crédito con seguro federal, protege a los socios propietarios de las cooperativas, establece y regula las cooperativas de ahorro y crédito federelaes, y promueve la educación financiera y la protección financiera del consumidor. La NCUA es responsable de regular y supervisar a 4,499 cooperativas de ahorro y crédito con más de $2,31 billones en activos en todos los estados y territorios de EE. UU.1
El Plan de cumplimiento sobre la inteligencia artificial de la NCUA (plan) describe el enfoque de la agencia para gestionar el uso de la inteligencia artificial (IA), tal como exigen la Ley de IA en el Gobierno de 20202 y el Memorándum M-24-10 de la Oficina de Administración y Presupuesto (OMB) sobre el fomento de la gobernanza, la innovación y la gestión de riesgos para el uso de la inteligencia artificial por parte de las agencias.3 El plan se elaboró bajo la dirección de la Asesora de inteligencia artificial de la NCUA, Amber Gravius.
Gobernanza de la IA
La NCUA está elaborando directrices y políticas específicas sobre la IA para garantizar que cumplan con los requisitos y normas del Memorándum M-24-10 de la OMB. Esto incluye alinearse con el Marco de Gestión de Riesgos (RMF) de la IA del NIST4 y las políticas de tecnologías de la información de la NCUA para fomentar el uso responsable y la gobernanza de la IA.
Órganos de gobierno
La NCUA tiene varios órganos de gobierno compuestos por altos ejecutivos y directivos que desempeñan un papel importante para garantizar el uso responsable de la IA, gestionar los riesgos, supervisar las prácticas de gestión de datos y garantizar la transparencia y la responsabilidad en las implementaciones de la IA. 5 Estos incluyen:
- Un Consejo de Supervisión de la Tecnología de la Información responsable de establecer el rumbo de la tecnología de la información al priorizar los proyectos y garantizar la alineación con la misión de la NCUA.
- Un Consejo de Gobierno de Datos responsable de establecer estándares de datos, facilitar el desarrollo de objetivos estratégicos y promover prácticas prudentes de gestión de datos.
- Un Consejo de Ciberseguridad responsable de evaluar los riesgos de seguridad de la información internos y externos para la NCUA y las cooperativas de crédito y ahorro.
- Un Consejo de Gestión de Riesgos Empresariales responsable de supervisar el marco y las funciones de gestión de riesgos de la NCUA.
La NCUA también utiliza un riguroso proceso de revisión y aprobación de todas las orientaciones e instrucciones publicadas para el personal.
La NCUA seguirá buscando orientación de expertos externos, según corresponda. La NCUA participa activamente en varios grupos de trabajo interinstitucionales y se compromete con las partes interesadas externas. Estos incluyen el Consejo de Supervisión para la Estabilidad Financiera, el Consejo Federal de Inspección de Instituciones Financieras, el Comité de Información e Infraestructura Financiera y Bancaria, el Consejo Federal de Asesores de Datos y el Consejo de Asesores de Inteligencia Artificial (Consejo de CAIO).
La NCUA fomenta el diálogo abierto con la industria de las cooperativas de ahorro y crédito y mantiene reuniones periódicas con organizaciones comerciales del sector. La NCUA participa periódicamente en mesas redondas y paneles sobre temas del sector, incluida la IA.
Inventario de casos de uso
La NCUA estableció un proceso centralizado para solicitar y recopilar casos de uso de IA en todas las oficinas. Cada oficina debe proporcionar detalles completos de los usos de la IA para garantizar que el inventario esté completo y actualizado. Además, la NCUA exige que las oficinas compartan los casos de uso propuestos con la Oficina de Innovación Empresarial y la Oficina del Asesor de Información. Este proceso garantiza que cada caso de uso se someta a una revisión técnica, de seguridad y de privacidad, y mitiga el riesgo de iniciativas duplicadas. La NCUA también solicitará actualizaciones anuales del inventario de casos de uso de la IA para garantizar que la agencia capte los cambios en los casos de uso existentes.
Informar sobre casos del uso de IA no sujetos a inventario
Como parte de la recopilación de datos de casos del uso de la IA de la NCUA, la agencia revisará todos los casos de uso y determinará si alguno reúne los requisitos para excluirlo del inventario individual, como se especifica en la sección 3(a)(v) del Memorándum M-24-10 de la OMB. Este proceso incluye revisiones y validaciones periódicas de los casos de uso para comprobar si cumplen con los criterios de exclusión, si corresponde. Los criterios de exclusión incluyen consideraciones como la sensibilidad de los datos, el impacto potencial sobre la privacidad y la importancia estratégica.
Promoción de la innovación responsable en IA
Barreras y pasos de mitigación
La NCUA adopta un enfoque metódico para la IA. La NCUA se centra en identificar los casos de uso más útiles para ayudar a la agencia a cumplir de manera eficaz y eficiente la misión de proteger el sistema de crédito cooperativo y a sus socios titulares. La NCUA evalúa cuidadosamente las inversiones en nuevas tecnologías para garantizar que la agencia tenga la capacidad financiera y operativa para mantenerlas.
La NCUA evalúa las necesidades de personal, las oportunidades en las que la IA mejora los procesos y las políticas para garantizar el uso ético y responsable de la IA. Las oficinas utilizan el proceso de presupuesto anual de la NCUA para solicitar fondos para herramientas de software y actividades de desarrollo de tecnologías de la información, incluida la IA. El Consejo de Supervisión de Tecnologías de la Información envía una recomendación prioritaria a la mesa directiva de la NCUA para su aprobación.
La NCUA ha publicado guías para el personal sobre el uso responsable de la IA, centrándose en la gestión de riesgos, la privacidad de los datos y la ética. La NCUA está actualizando varias políticas y procedimientos según sea necesario para facilitar el uso responsable de la IA en un marco de gobierno sólido.
Talento
La NCUA evalúa y determina las necesidades de personal y capacitación para garantizar que tenga las habilidades y conocimientos necesarios para implementar y usar eficazmente las tecnologías de IA. Como parte de ese proceso, la mesa directiva de la NCUA autorizó la contratación de tres funcionarios de IA en los presupuestos de la agencia para 2025 y 2026. La Oficina de Recursos Humanos evalúa el uso de autoridades especiales de IA para adquirir talento de IA.
Unificación de requisitos
La NCUA participa en varios grupos de trabajo interinstitucionales y asiste al Consejo del CAIO. Estos grupos y consejos documentan y comparten las mejores prácticas de gestión de riesgos, innovación y gobernanza de la IA. Algunos grupos, como el Consejo del CAIO, se centran en la implementación segura y responsable de la IA dentro el gobierno. Otros grupos interinstitucionales se centran en regular los riesgos relacionados dentro del sector financiero.
Gestión de los riesgos derivados del uso de la inteligencia artificial
Los impactos o las consecuencias del uso de sistemas de IA pueden ser positivos, negativos o ambos, y generar oportunidades o amenazas. La gestión de riesgos de IA es clave para el uso y desarrollo responsables de los sistemas de IA. Las prácticas responsables de IA ayudan a alinear las decisiones de diseño, desarrollo y uso de sistemas de IA con los objetivos y valores.
Prácticas mínimas de gestión de riesgos
Si bien los procesos de gestión de riesgos suelen abordar los impactos negativos, el RMF de IA del NIST ofrece enfoques para minimizar los impactos negativos previstos de los sistemas de IA y maximizar los impactos positivos. Gestionar con eficacia el riesgo de posibles daños podría generar más confianza en los sistemas de IA y generar beneficios potenciales para las personas, las organizaciones y el gobierno. La NCUA está creando un conjunto de controles basados en el RMF de la AI del NIST que incluye:
- Controles preventivos: procesos de evaluación y controles preventivos estrictos para garantizar que no se pongan a disposición del público sistemas de IA que no cumplan las normas y afecten a la seguridad o a los derechos.
- Supervisión y auditoría: Supervisión continua de los sistemas de IA y los mecanismos de auditoría para garantizar el cumplimiento permanente de las prácticas de gestión de riesgos y detectar con rapidez las desviaciones.
- Procedimientos de rescisión Procedimientos claros para poner fin a los sistemas de IA no conformes, incluida la desactivación inmediata y las medidas correctoras.
En algunos casos, puede ser necesario eximir una o más prácticas de gestión de riesgos mínimos. El proceso de la NCUA incluirá:
- Criterios de exención: desarrollo de criterios que guíen la decisión de renunciar a las prácticas de gestión de riesgos, garantizando que solo se concedan cuando sea necesario y esté justificado.
- Emisión y revocación: Establecer procedimientos para emitir, denegar, revocar, rastrear y certificar exenciones, con la supervisión del CAIO y de los funcionarios y órganos de gobierno apropiados de la NCUA.
- Documentación y transparencia: mentenimiento de un registro detallado de todas las exenciones para garantizar la transparencia y la responsabilidad.
Como se indicó antes en la descripción de su proceso de inventario de casos de uso, la NCUA ha establecido procedimientos para revisar la seguridad, la privacidad y la técnica de todos los casos de uso propuestos antes de la implementación. Además, los consejos de gobernanza de la NCUA supervisan las tecnologías de la información, la ciberseguridad, los datos y los riesgos.
Casos de uso que afectan a la seguridad o a los derechos
La NCUA está revisando sus casos de uso de la IA para determinar si alguno afecta a la seguridad6 o a los derechos7 según las definiciones de la sección 6 del Memorándum M-24-10 de la OMB. La NCUA no ha creado criterios adicionales para cuando un caso de uso de la IA afecta a la seguridad o a los derechos.
Rescisión de la IA no conforme
Prepararse para posibles incidentes que involucren a la IA es vital para gestionar los riesgos de forma eficaz. De ser necesario, la NCUA cancelará cualquier IA que no cumpla con las normas, como:
- Planes de respuesta a incidentes: desarrollo y mantenimiento de los planes de respuesta ante incidentes adaptados explícitamente a los sistemas de IA, que describan las funciones y responsabilidades, los protocolos de comunicación y las medidas correctoras.
- Mecanismos de reparación: creación de mecanismos de reparación para abordar los daños causados por los sistemas de IA, garantizando que las personas o entidades afectadas puedan denunciar los problemas y buscar una solución.
- Mejora continua: revisión y actualización periódicas de los protocolos de respuesta a incidentes y reparación a partir de las lecciones aprendidas de incidentes pasados y las mejores prácticas emergentes.
Además de los procedimientos existentes actuales de la tecnología de la información, la seguridad y el gobierno de la NCUA, estos procesos ayudan a garantizar el uso seguro y responsable de la IA internamente en la NCUA. La NCUA actualmente no tiene ningún caso de uso de IA divulgado al público.
Acotaciones
1 A partir del 30 de septiembre de 2024.
2 Pub L. Nº 116-260, div. U, título 1, § 104 (40 Código de los Estados Unidos § 11301 nota), https://www.congress.gov/116/plaws/publ260/PLAW-116publ260.pdf.
3 Memorando M-24-10 de la OMB, Fomento de la gobernanza, la innovación y la gestión de riesgos para el uso de inteligencia artificial por parte de agencias (28 de marzo de 2024), https://www.whitehouse.gov/wp-content/uploads/2024/03/M-24-10 - Advancing-Governance-Innovation-and-Risk-Management-for-Agency-Use-of-Artificial-Intelligence.pdf.
4 Artificial Intelligence Risk Management Framework (AI RMF 1.0), NIST Publication AI 100-1, Artificial Intelligence Risk Management Framework (AI RMF 1.0) (nist.gov).
5 Los consejos incluyen representantes de toda la NCUA, como la Oficina del Director de Información, la Oficina de Innovación Empresarial, la Oficina de Exámenes y Seguros, la Oficina del Director Ejecutivo, la Oficina del Director Financiero, la Oficina del Asesor General y las regiones.
6 La IA con impacto en la seguridad es la IA cuyo resultado produce una acción o sirve como base principal para una decisión que puede afectar significativamente a la seguridad de: 1) la vida humana o el bienestar; 2) el clima o el medio ambiente; 3) la infraestructura crítica, incluidos los sectores de infraestructura crítica definidos en la Directiva de Política Presidencial 21; o 4) los activos o recursos estratégicos, incluidos los bienes de alto valor y la información marcados como sensibles o clasificados por el gobierno federal.
7 La IA que afecta a los derechos es la IA cuyos resultados sirven como base principal para una decisión o acción relacionada con una persona o entidad específica que tiene un efecto legal, material, vinculante o de importancia similar en esa persona o entidad sobre 1) los derechos civiles, las libertades civiles o la privacidad, incluidos, entre otros, la libertad de expresión, el voto, la autonomía humana y la protección contra la discriminación, el castigo excesivo y la vigilancia ilegal; 2) igualdad de oportunidades, incluido el acceso equitativo a la educación, la vivienda, el seguro, los programas de crédito, el empleo y otros programas que protejan los derechos civiles y la igualdad de oportunidades; o 3) el acceso o la posibilidad de solicitar recursos o servicios públicos esenciales, incluidos la asistencia médica, los servicios financieros, la vivienda pública, los servicios sociales, el transporte y los bienes y servicios esenciales.