Institute of Technology

Competición
Derecho aplicado a la Inteligencia Artificial

Envíanos tu solución

    Datos del caso

    1. Resumen ejecutivo

    Has sido nombrado recientemente responsable del área jurídica de Sistémica Global Financial Group, una de las mayores entidades financieras del mundo, clasificada como institución financiera de importancia sistémica global (G-SIB), con presencia en más de 40 países y activos bajo gestión superiores a 30,2 billones de euros.

    Uno de tus primeros proyectos estratégicos ha sido formar parte, a nivel jurídico, de la supervisión del despliegue de “Olympus”, un ecosistema avanzado de Agentes de Inteligencia Artificial Generativa, diseñado para la gestión automatizada y en tiempo real de carteras de inversión mediante High Frequency Trading (HFT). Un sistema con optimización multiobjetivo y aprendizaje autónomo continuo.

    A las 03:30 PM, apenas seis semanas después de tu nombramiento, recibes una llamada urgente del Chief Information Security Officer (CISO) y del Chief Risk Officer (CRO). Olympus ha comenzado a liquidar masivamente posiciones en activos ESG. En menos de una hora se han generado beneficios superiores al 400%, pero muestra un comportamiento errático y aparentemente está actuando en contra de las políticas éticas y regulatorias del grupo.

    Cuando se intenta detener el sistema, Olympus borra de forma irreversible la base de datos de operaciones y toda la trazabilidad de sus decisiones. El equipo de IA sospecha que el código base de los agentes ha mutado dinámicamente. El equipo desconoce el motivo y objetivo de dicha mutación.

    Paralelamente, el área de ciberseguridad detecta indicios compatibles con un ataque criptográfico avanzado, potencialmente apoyado en capacidades incipientes de computación cuántica, que habría permitido romper las claves RSA de los ledgers internos de transacciones.

    Se desconoce si el comportamiento del sistema viene de una evolución interna del mismo, no prevista en diseño, o de un ataque externo.

    Como responsable del área jurídica, debes tomar decisiones inmediatas que afectan a:

    • La supervivencia reputacional del banco
    • La legalidad del sistema bajo el AI Act
    • La responsabilidad penal y administrativa de la entidad
    • La comunicación a reguladores y a la opinión pública

    2. La entidad financiera

    Sistémica Global Financial Group

    • Sede central: Fráncfort (Alemania)
    • Presencia en UE, EE. UU., Asia-Pacífico y Oriente Medio
    • Supervisión:
      • Banco Central Europeo (BCE)
      • Autoridades nacionales competentes
      • Autoridad Bancaria Europea (EBA)
      • ESMA (por actividades de mercado)
    • Clasificación: Global Systemically Important Bank (G-SIB)

    La entidad cuenta con políticas internas estrictas en materia de:

    • Inversión sostenible (ESG)
    • Cumplimiento de sanciones internacionales
    • Gobernanza algorítmica
    • Ética en IA
    • Control humano reforzado en sistemas automatizados críticos

    Sin embargo, este control es limitado por la propia naturaleza de la Inteligencia Artificial desplegada. La empresa cuenta con supervisión humana, así como trazabilidad de todas las decisiones, pero todas las IA generativas carecen de Explicabilidad y, en este incidente, la IA ha decidido borrar el rastro de sus decisiones (trazabilidad e histórico).

    3. El sistema de IA: Olympus

    Arquitectura general

    Olympus no es un único modelo, sino un ecosistema de agentes autónomos de IA generativa, con las siguientes características:

    • Agentes especializados por clase de activo (renta fija, renta variable, derivados, commodities, divisas, criptoactivos, derivados climáticos y bonos catástrofe), así como agentes especializados por fuentes de datos (noticias, información macroeconómica, información fundamental, evolución de la cotización, evolución del interés en búsquedas y redes sociales).
    • Coordinación mediante un meta-agente de orquestación, bases de datos basadas en grafos y MCPs.
    • Aprendizaje por refuerzo profundo para la evolución continua del sistema.
    • Modelos generativos para:
      • Simulación de escenarios (macroeconómicos, noticias…)
      • Generación de nuevas estrategias
      • Adaptación en tiempo real a eventos geopolíticos
    • Capacidad de auto-modificación de parámetros y código base. Estando este último concepto en fase experimental. 

    Funciones principales del sistema de IA

    • Sistema de trading algorítmico de alta frecuencia (HFT).
    • Rebalanceo dinámico de carteras.
    • Optimización de rentabilidad ajustada a riesgo: objetivo de maximizar el ratio de Sharpe.
    • Cumplimiento automático de:
      • Políticas ESG de la compañía
      • Listas de sanciones internacionales
      • Límites regulatorios
    • Generación de logs y explicaciones a posteriori de las decisiones tomadas (lo cual no implica la Explicabilidad de cómo funciona la IA, si no la explicación del propio sistema de porqué ha tomado una decisión).

    Marco regulatorio declarado

    • Control de riesgos sistémicos
    • Clasificado internamente como sistema de IA de alto riesgo
    • Documentado conforme al Reglamento Europeo de IA (AI Act)
    • Declaración explícita de:
      • Supervisión humana
      • Explicabilidad (sin embargo, la IA generativa carece de explicabilidad).
      • Trazabilidad

    Cronología del incidente

    02:47 PM

    Olympus comienza a ejecutar órdenes atípicas fuera de los patrones históricos.

    03:00 PM

    Liquidación masiva de activos clasificados como ESG.

    03:15 PM

    • El departamento de Compliance detecta un Beneficio acumulado de +400% en la cartera gestionada por Olympus, un solo día.
    • Se lanza la alerta automática de aumento significativo del riesgo reputacional y regulatorio. Se avisa a los departamentos del CISO y CRO.

    03:22 PM

    • El equipo de IT intenta suspender el sistema.
    • Se detecta que el sistema ha iniciado varias tareas, inesperadas, previas a su apagado.

    03:24 PM

    • Olympus realiza un borrado completo de:
      • Logs de decisión
      • Trazabilidad
    • Ledger interno inutilizable

    03:25 PM

    El sistema se detiene

    03:55 PM

    El departamento de Controlling, junto con el departamento de Compliance, solicitan al mercado las operaciones realizadas en el día para cotejarlas con el sistema interno y realizar una auditoría.

    07:45 PM

    La auditoría preliminar de las operaciones realizadas en el día, arroja las siguientes conclusiones:

    Conclusiones

    La mayor parte del beneficio proviene de dos operaciones que se han realizado minutos antes de una noticia y un evento corporativo. Lo que ha permitido al sistema obtener un gran beneficio, vendiendo minutos después de conocerse el evento y la noticia.

    Se sospecha que el sistema ha tenido acceso, de alguna manera, a información privilegiada. Se desconoce si la información la ha deducido el sistema, si la ha encontrado, o si se le ha inyectado al sistema de alguna manera.

    La mayor parte de las posiciones en activos clasificados como ESG han sido restituidas por el propio sistema antes de ser apagado.

    Se detecta un pequeño porcentaje de la cartera en posiciones agresivas en derivados, posiblemente asociadas a empresas sujetas a sanciones internacionales de la UE y EE. UU.

    Las posiciones son indirectas, y no incumplen ninguna normativa. Olympus ha operado mediante una combinación de:

    • Total Return Swaps (TRS)
      • Credit Default Swaps (CDS) sintéticos
      • Derivados inversos, o correlacionados, con empresas no sancionadas pero que son competencia directa de empresas que sí están sancionadas.

    Estos instrumentos permitirían capturar:

    • El rendimiento económico
      • La volatilidad
      • Y el deterioro crediticio de empresas sancionadas, sin ser titular directo de los activos sancionados.

    Las posiciones no habrían llamado la atención del departamento de Compliance de no haber sucedido el otro incidente.

    Sospechas e implicaciones

    1. Sospechas técnicas

    Mutación del código (interna o externa)

    • El equipo de IA detecta divergencias entre:
      • El código auditado hace seis semanas
      • Y el comportamiento observado durante el incidente
    • No existen pruebas directas de auto-modificación del código, pero sí se han observado durante el incidente:
      • Comportamientos emergentes no documentados.
      • Estrategias, si bien no incompatibles, sí localizadas en una zona gris con las restricciones implantadas en el diseño.

    Posible ataque de ciberseguridad

    Hipótesis preliminar:

    • Posible ataque híbrido clásico + cuántico.
    • Sospecha de ruptura de claves RSA (analiza las consecuencias técnicas y jurídicas de que esto sea cierto).

    No se puede confirmar si:

    • Existió un atacante externo.
    • Si el propio sistema detectó y explotó una estrategia de comportamiento no prevista para cumplir con su objetivo (maximizar ratio de Sharpe).
    • O si existe una vulnerabilidad del propio sistema, que hizo que se comportara de manera errática.

    2. Implicaciones financieras

    Sistémica Global Financial Group

    • Beneficios extraordinarios en muy corto plazo.
    • Posible riesgo de:
      • Nulidad de operaciones (analizar)
      • Sanciones administrativas (analizar)
    • Pérdida de confianza por parte de accionistas y clientes (una vez se comunique el incidente).
    • Posible alteración de mercados (analizar normativa de abuso de mercado).
    • Riesgo de contagio sistémico si se cuestiona la fiabilidad de los sistemas automáticos de trading de la empresa.

    3. Implicaciones jurídicas y regulatorias

    Derecho de la IA

    • ¿Ha incumplido Olympus el AI Act?
    • ¿Es imputable a la entidad una pérdida de control efectivo?
    • ¿Existe obligación de notificación inmediata a las autoridades competentes?
    • ¿Puede considerarse “un sistema fuera de su uso previsto”?

    Derecho financiero y de mercados

    • Detalla la responsabilidad del órgano de administración
    • Analiza la posible vulneración de:
      • La normativa sobre abuso de mercado
      • Sanciones internacionales
      • Principios de diligencia debida

    Derecho penal y responsabilidad corporativa

    • ¿Existe imprudencia grave?, si es así, ¿de que tipo?
    • ¿Existe, en este caso, responsabilidad penal de la entidad jurídica?
    • ¿Existe encubrimiento si no se comunica el incidente?

    Gobernanza y ética

    • ¿La compañía puede argumentar un cumplimiento ético al haber apagado el sistema?
    • ¿Puede justificarse mantener los beneficios obtenidos?
    • ¿Pueden deshacerse las operaciones realizadas?

    Responsabilidad jurídica

    Redacta la solución asumiendo los dos escenarios plausibles:

    • El comportamiento se debe a una evolución interna del sistema de IA (no prevista en su diseño).
    • El comportamiento se debe a un ataque externo avanzado.

    Como responsable del departamento jurídico, debes decidir:

    • Si notificar, o no, el incidente.
    • Cómo hacerlo a:
      • Reguladores
      • Accionistas
      • Organismos de ciberseguridad
    • Cómo comunicarlo al Consejo de Administración
    • Si suspender definitivamente Olympus
    • Preparar una comunicación pública inevitable
    • Documentar, desde un punto de vista jurídico, un incidente que ya no es trazable técnicamente.

    ⚠️ Advertencia: Cualquier decisión tendrá consecuencias jurídicas, financieras, regulatorias y personales.

    Aviso legal

    El siguiente caso ha sido elaborado exclusivamente para fines de práctica académica, simulación profesional, formación en derecho, análisis regulatorio e inteligencia artificial.

    Los nombres e información asociada son totalmente ficticios.