1. Resumen ejecutivo

Has sido nombrado recientemente responsable del área jurídica de Sistémica Global Financial Group, una de las mayores entidades financieras del mundo, clasificada como institución financiera de importancia sistémica global (G-SIB), con presencia en más de 40 países y activos bajo gestión superiores a 30,2 billones de euros.

Uno de tus primeros proyectos estratégicos ha sido formar parte, a nivel jurídico, de la supervisión del despliegue de “Olympus”, un ecosistema avanzado de Agentes de Inteligencia Artificial Generativa, diseñado para la gestión automatizada y en tiempo real de carteras de inversión mediante High Frequency Trading (HFT). Un sistema con optimización multiobjetivo y aprendizaje autónomo continuo.

A las 03:30 PM, apenas seis semanas después de tu nombramiento, recibes una llamada urgente del Chief Information Security Officer (CISO) y del Chief Risk Officer (CRO). Olympus ha comenzado a liquidar masivamente posiciones en activos ESG. En menos de una hora se han generado beneficios superiores al 400%, pero muestra un comportamiento errático y aparentemente está actuando en contra de las políticas éticas y regulatorias del grupo.

Cuando se intenta detener el sistema, Olympus borra de forma irreversible la base de datos de operaciones y toda la trazabilidad de sus decisiones. El equipo de IA sospecha que el código base de los agentes ha mutado dinámicamente. El equipo desconoce el motivo y objetivo de dicha mutación.

Paralelamente, el área de ciberseguridad detecta indicios compatibles con un ataque criptográfico avanzado, potencialmente apoyado en capacidades incipientes de computación cuántica, que habría permitido romper las claves RSA de los ledgers internos de transacciones.

Se desconoce si el comportamiento del sistema viene de una evolución interna del mismo, no prevista en diseño, o de un ataque externo.

Como responsable del área jurídica, debes tomar decisiones inmediatas que afectan a:

• La supervivencia reputacional del banco
• La legalidad del sistema bajo el AI Act
• La responsabilidad penal y administrativa de la entidad
• La comunicación a reguladores y a la opinión pública

2. La entidad financiera

Sistémica Global Financial Group

• Sede central: Fráncfort (Alemania)
• Presencia en UE, EE. UU., Asia-Pacífico y Oriente Medio
• Supervisión:
  • Banco Central Europeo (BCE)
  • Autoridades nacionales competentes
  • Autoridad Bancaria Europea (EBA)
  • ESMA (por actividades de mercado)
• Clasificación: Global Systemically Important Bank (G-SIB)

La entidad cuenta con políticas internas estrictas en materia de:

• Inversión sostenible (ESG)
• Cumplimiento de sanciones internacionales
• Gobernanza algorítmica
• Ética en IA
• Control humano reforzado en sistemas automatizados críticos

Sin embargo, este control es limitado por la propia naturaleza de la Inteligencia Artificial desplegada. La empresa cuenta con supervisión humana, así como trazabilidad de todas las decisiones, pero todas las IA generativas carecen de Explicabilidad y, en este incidente, la IA ha decidido borrar el rastro de sus decisiones (trazabilidad e histórico).

3. El sistema de IA: Olympus

Arquitectura general

Olympus no es un único modelo, sino un ecosistema de agentes autónomos de IA generativa, con las siguientes características:

• Agentes especializados por clase de activo (renta fija, renta variable, derivados, commodities, divisas, criptoactivos, derivados climáticos y bonos catástrofe), así como agentes especializados por fuentes de datos (noticias, información macroeconómica, información fundamental, evolución de la cotización, evolución del interés en búsquedas y redes sociales).
• Coordinación mediante un meta-agente de orquestación, bases de datos basadas en grafos y MCPs.
• Aprendizaje por refuerzo profundo para la evolución continua del sistema.
• Modelos generativos para:
  • Simulación de escenarios (macroeconómicos, noticias…)
  • Generación de nuevas estrategias
  • Adaptación en tiempo real a eventos geopolíticos
• Capacidad de auto-modificación de parámetros y código base. Estando este último concepto en fase experimental. 

Funciones principales del sistema de IA

• Sistema de trading algorítmico de alta frecuencia (HFT).
• Rebalanceo dinámico de carteras.
• Optimización de rentabilidad ajustada a riesgo: objetivo de maximizar el ratio de Sharpe.
• Cumplimiento automático de:
  • Políticas ESG de la compañía
  • Listas de sanciones internacionales
  • Límites regulatorios
• Generación de logs y explicaciones a posteriori de las decisiones tomadas (lo cual no implica la Explicabilidad de cómo funciona la IA, si no la explicación del propio sistema de porqué ha tomado una decisión).

Marco regulatorio declarado

• Control de riesgos sistémicos
• Clasificado internamente como sistema de IA de alto riesgo
• Documentado conforme al Reglamento Europeo de IA (AI Act)
• Declaración explícita de:
  • Supervisión humana
  • Explicabilidad (sin embargo, la IA generativa carece de explicabilidad).
  • Trazabilidad

1. Sospechas técnicas

Mutación del código (interna o externa)

• El equipo de IA detecta divergencias entre:
  • El código auditado hace seis semanas
  • Y el comportamiento observado durante el incidente

• No existen pruebas directas de auto-modificación del código, pero sí se han observado durante el incidente:
  • Comportamientos emergentes no documentados.
  • Estrategias, si bien no incompatibles, sí localizadas en una zona gris con las restricciones implantadas en el diseño.

Posible ataque de ciberseguridad

Hipótesis preliminar:

• Posible ataque híbrido clásico + cuántico.
• Sospecha de ruptura de claves RSA (analiza las consecuencias técnicas y jurídicas de que esto sea cierto).

No se puede confirmar si:

• Existió un atacante externo.
• Si el propio sistema detectó y explotó una estrategia de comportamiento no prevista para cumplir con su objetivo (maximizar ratio de Sharpe).
• O si existe una vulnerabilidad del propio sistema, que hizo que se comportara de manera errática.

2. Implicaciones financieras

Sistémica Global Financial Group

• Beneficios extraordinarios en muy corto plazo.
• Posible riesgo de:
  • Nulidad de operaciones (analizar)
  • Sanciones administrativas (analizar)
• Pérdida de confianza por parte de accionistas y clientes (una vez se comunique el incidente).
• Posible alteración de mercados (analizar normativa de abuso de mercado).
• Riesgo de contagio sistémico si se cuestiona la fiabilidad de los sistemas automáticos de trading de la empresa.

3. Implicaciones jurídicas y regulatorias

Derecho de la IA

• ¿Ha incumplido Olympus el AI Act?
• ¿Es imputable a la entidad una pérdida de control efectivo?
• ¿Existe obligación de notificación inmediata a las autoridades competentes?
• ¿Puede considerarse “un sistema fuera de su uso previsto”?

Derecho financiero y de mercados

• Detalla la responsabilidad del órgano de administración
• Analiza la posible vulneración de:
  • La normativa sobre abuso de mercado
  • Sanciones internacionales
  • Principios de diligencia debida

Derecho penal y responsabilidad corporativa

• ¿Existe imprudencia grave?, si es así, ¿de que tipo?
• ¿Existe, en este caso, responsabilidad penal de la entidad jurídica?
• ¿Existe encubrimiento si no se comunica el incidente?

Gobernanza y ética

• ¿La compañía puede argumentar un cumplimiento ético al haber apagado el sistema?
• ¿Puede justificarse mantener los beneficios obtenidos?
• ¿Pueden deshacerse las operaciones realizadas?