La GenAI en el sector financiero avanza con fuerza, pero su impacto real en resultados tardará en consolidarse y dependerá de dos palancas: modernización de la infraestructura, con nube híbrida y contenedores, y una apuesta decidida por el talento.
Los datos dibujan un consenso claro: la mayoría de las entidades ya experimentan con casos de uso en atención al cliente, generación de contenidos y automatización; sin embargo, también admiten déficits en competencias, seguridad y medición del ROI.
Según el Enterprise Cloud Index (ECI) para servicios financieros, presentado esta semana, casi todas las organizaciones del sector trabajan ya con aplicaciones o cargas de GenAI. La encuesta, realizada por Vanson Bourne en otoño de 2024 a 1.500 responsables de TI y de Ingeniería de Plataformas/DevOps a escala global, sitúa la adopción en fase activa, pero con cautelas: el 97% cree que podría hacer más para proteger modelos y aplicaciones y el 92% considera que su infraestructura necesita mejoras para soportar plenamente aplicaciones cloud-native y contenedores.
El estudio, encargado por Nutanix, también refleja la tensión entre ambición y capacidades: el 98% afronta retos para escalar desde desarrollo a producción, con la falta de personal cualificado y los problemas de integración como principales obstáculos.
De hecho, el 62% está contratando perfiles con experiencia en GenAI, mientras que la formación interna y la recualificación se mantienen como prioridades. Este déficit de habilidades está detrás de muchos cuellos de botella a la hora de operar Kubernetes, orquestar modelos en contenedores y garantizar la portabilidad entre nubes sin caer en nuevos silos de datos.
Seguridad, cumplimiento y confianza: el triángulo que condiciona el despliegue
La seguridad y el cumplimiento normativo emergen como condicionantes estratégicos en 2025. El 96% de las entidades afirma que la GenAI está redefiniendo sus prioridades de seguridad y privacidad, y el 90% muestra preocupación por la seguridad en el ecosistema ampliado de proveedores TIC.
En Europa, a este telón de fondo se suma DORA, el reglamento de resiliencia operativa digital: es aplicable desde el 17 de enero de 2025, exigiendo a las entidades financieras controles reforzados sobre riesgos TIC, pruebas de resiliencia, notificación de incidentes y una gestión rigurosa de terceros críticos, incluidos proveedores cloud.
El Banco Central Europeo ha finalizado su Guía sobre externalización de servicios en la nube (16 de julio de 2025), que alinea expectativas supervisoras con DORA y aporta buenas prácticas para gobierno, contratos, subcontratación y salida ordenada (exit). Para bancos españoles supervisados por el Mecanismo Único de Supervisión, esta guía orienta cómo documentar la criticidad de funciones, mitigar dependencias y evitar bloqueos tecnológicos.
A ello se suma el cronograma del Reglamento de IA de la UE (AI Act): entrada en vigor en 2024, aplicación general a partir del 2 de agosto de 2026, con obligaciones escalonadas antes para determinados sistemas (incluida IA de propósito general).
La Comisión ha confirmado que mantiene el calendario pese a peticiones de retraso de la industria. Para las entidades que usen GenAI en procesos críticos (p. ej., scoring o monitorización de fraude), anticipar evaluación de riesgos, gobernanza de datos y trazabilidad será clave.
Infraestructura: contenedores y nube híbrida como base de la escala
El 92% reconoce que su infraestructura actual debe modernizarse para soportar aplicaciones cloud-native y contenedores. La contenerización y Kubernetes se consolidan como estándar de facto para llevar workloads de GenAI a producción: permiten empaquetar modelos, inferencia y pipelines de datos con mayor portabilidad entre centros de datos y nubes públicas.
El reto no es solo técnico; es operativo: gobierno del ciclo de vida del modelo (MLops/LLMops), políticas de pico de consumo GPU, observabilidad de costes y data lineage para auditoría y cumplimiento. Además, persisten silos de datos y fricciones de portabilidad que, en el sector financiero, pueden traducirse en mayores costes regulatorios y de supervisión.
En el frente de terceros críticos, las entidades tendrán que mapear dependencias —de proveedores cloud a APIs de modelos y aceleradores— para cumplir con DORA, mantener registros de acuerdos TIC actualizados y planificar estrategias de multicloud con test de salida (exit) periódicos. Este enfoque reduce el riesgo de concentración, facilita auditorías y prepara a los equipos para contingencias operativas.
Autoridad Bancaria Europea
Talento: contratación, upskilling y cambio organizativo
El informe señala una escasez de talento que amenaza con frenar el impulso de la GenAI. Aunque el 62% está contratando perfiles especializados, la experiencia indica que la ecuación no se resuelve solo con nuevas incorporaciones: se requiere formación transversal (desarrolladores, data engineers, seguridad, jurídico-compliance) y modelos de gobierno que definan propiedad del dato, catálogo de modelos aprobados, evaluaciones de impacto y circuitos de aprobación con riesgos y cumplimiento. La coordinación entre TI, Riesgos, Negocio y Jurídico acelerará el paso de prototipos a producción minimizando sorpresas regulatorias y de coste.
Para España, donde la banca universal convive con fintechs especializadas y creciente presión de costes, la combinación de centros de excelencia de IA, plataformas internas de modelos (con catálogos curados) y equipos de plataforma (platform engineering) resulta cada vez más determinante.
ROI: una carrera de fondo con métricas claras
El retorno de la inversión es prioridad, pero el calendario es prudente: el 39% prevé posibles pérdidas en los próximos 12 meses y el 58% espera beneficios en un plazo de uno a tres años. Traducido a agenda ejecutiva, toca medir el ROI con KPIs de negocio (reducción del tiempo de respuesta, contención de fraude, ventas cruzadas), KPIs operativos (productividad de agentes, ahorro de coste por interacción, throughput de inferencia) y KPIs de riesgo (incidentes evitados, cumplimiento de umbrales de precisión y sesgo).
Las áreas con tracción temprana siguen siendo atención al cliente (asistentes, autoservicio), generación de contenidos y automatización de procesos internos; los casos de alto impacto —p. ej., detección de fraude— exigen más inversión en datos, seguridad y validación, pero pueden cristalizar en ahorros tangibles y reducción de pérdidas.
Qué deberían hacer ahora las entidades en España
- Alinear tecnología con normativa. Mapear casos de uso de GenAI contra DORA y AI Act; reforzar gestión de terceros (registros y evaluaciones) y diseñar planes de exit para proveedores críticos.
- Industrializar la plataforma. Estándares de contenedores, observabilidad, control de costes GPU y políticas de datos (privacidad, residencia, retención) integradas en la plataforma desde el diseño.
- Gobernanza y riesgo de modelos. Catálogo de modelos aprobados, métricas de calidad/sesgo, registros de entrenamiento e inferencia con trazabilidad para auditoría.
- Talento y cultura. Combinar contratación con upskilling acelerado; crear equipos de plataforma y product owners de IA en las áreas de negocio para aterrizar beneficios.
- ROI con hitos y “kill switches”. Pilotos con métricas claras, escalado progresivo y mecanismos de parada si el beneficio no se materializa.
En síntesis, el sector acelera la adopción de GenAI, pero su promesa se materializará allí donde haya infraestructura preparada, talento multidisciplinar y gobernanza capaz de navegar regulaciones europeas exigentes. Las entidades que conviertan esos fundamentos en ventaja operativa serán las primeras en ver retornos sostenibles.
