HIGHLIGHTS
Modulos nació en Suiza en 2018 enfocada en calidad de datos y evolucionó hacia una plataforma integral de gobernanza de IA alineada con el Acta Europea de Inteligencia Artificial.
La compañía apuesta por la cuantificación monetaria del riesgo de la IA, un enfoque diferencial que permite elevar la gobernanza a nivel de decisión estratégica y financiera.
La ciberseguridad es uno de los principales vectores de riesgo en los sistemas de IA, incluyendo amenazas como data poisoning y el uso no controlado de IA externa por empleados.
La regulación europea se centra únicamente en sistemas de alto riesgo, buscando proteger derechos fundamentales sin bloquear la innovación tecnológica.
Está emergiendo un nuevo mercado de transferencia de riesgo, donde aseguradoras y empresas comienzan a valorar y cubrir económicamente los riesgos asociados al uso de IA.
Índice de temas
¿Cuál es la génesis de Modulo X? ¿Cuál es su razón de ser?
Modulo X fue fundada en Suiza en 2018. En sus inicios, la empresa se ocupaba de la calidad de los datos para construir mejores modelos de machine learning. La idea de partida era que una mejor calidad de datos mejora el rendimiento de los modelos.
A partir de 2019 y 2020 empezaron a aparecer los primeros borradores de lo que acabaría siendo el Acta Europea de Inteligencia Artificial. En esos textos había muchas referencias a la importancia de la calidad y la gobernanza de los datos. Nosotros ya estábamos trabajando aspectos como la no discriminación en modelos de IA. Yo me incorporé a Modulus a principios de 2020.
Entonces empezamos a plantearnos que ya teníamos muchas de las componentes que exigía la ley, y nos preguntamos por qué no enfocar la empresa en ayudar a otras organizaciones a alinearse con los requisitos del Acta Europea, asegurándonos de que sus modelos de IA estuvieran alineados con la ley, con sus valores éticos y con sus objetivos de negocio.
Así comenzamos a construir una plataforma de gobernanza de IA. Empezamos modelizando los requisitos regulatorios y los controles necesarios para cumplir la ley, pero después reflexionamos sobre qué era realmente lo más importante de la gobernanza. Llegamos a la conclusión de que lo esencial es poder escalar los sistemas de IA para que aporten beneficios tanto a la empresa como a la sociedad en su conjunto.
Todo esto, ¿en qué se basa? ¿Es software? ¿Cómo lo desarrolláis? ¿Qué capacidades tiene ahora mismo la empresa?
La plataforma tiene varias partes. La gobernanza de la IA incluye cumplimiento normativo, gestión de riesgos y definición de roles y responsabilidades.
Yo lidero la parte de gestión de riesgos. La novedad que nos diferencia de otros competidores es que estamos desarrollando una cuantificación del riesgo de la IA desde la perspectiva de la empresa. Es decir, cuando se utiliza IA en un proceso, no solo analizamos los beneficios, sino también los riesgos que pueden afectar a la organización.
El desarrollo funciona así: cada proyecto tiene un líder que impulsa la iniciativa y analiza si existe interés real en el mercado. Después nos reunimos para decidir si la funcionalidad tiene sentido dentro de la plataforma. El equipo de producto redacta los requisitos funcionales y el equipo de desarrollo se encarga de implementarlos.
Entonces, ¿vuestro equipo combina perfiles técnicos, de negocio y legales?
No tenemos perfiles jurídicos internos, pero trabajamos con colaboraciones externas. Yo tengo formación en negocio y finanzas y he trabajado con organismos internacionales. Participo en CEN-CENELEC (Comité Europeo de Normalización Electrotécnica), en grupos de trabajo que desarrollan estándares para cumplir la ley europea, y coopero con iniciativas del Ministerio de Transformación Digital en España. Nuestro CEO está involucrado en el NIST2 y en el AI Office. No somos juristas, pero contamos con una base sólida de conocimiento en negocio y regulación.
¿Trabajáis también aspectos de ciberseguridad?
Cuando se habla de riesgos de la IA, uno de los más importantes es el relacionado con la ciberseguridad. Muchas amenazas a los sistemas de IA provienen de este ámbito, como el data poisoning o intervenciones directas en los modelos.
El data poisoning consiste en introducir datos maliciosos en los conjuntos de entrenamiento para alterar el comportamiento del modelo. Esto puede hacerlo cualquier persona con mala intención. También existen riesgos derivados de vulnerabilidades internas, como infraestructuras poco seguras o empleados que usan herramientas de IA externas fuera del entorno corporativo, compartiendo información sensible. Por eso es fundamental entender cómo se origina un riesgo para poder intervenir de manera efectiva.
¿Vuestro foco está más en grandes empresas o en instituciones?
Principalmente en grandes empresas, aunque la plataforma puede adaptarse también a pymes. Utilizamos agentes que ayudan a comprender los procesos de gobernanza, sin sustituir el juicio humano. La cuantificación del riesgo permite convertir la gobernanza en un caso de negocio, ayudando a estimar costes potenciales y a justificar inversiones en controles. Este enfoque suele ser más relevante para organizaciones grandes y para perfiles como CIO o CFO.
El Acta Europea establece un marco de alto nivel para garantizar que se protegen la salud, la seguridad y los derechos fundamentales. Además, solo regula los sistemas de alto riesgo, que no son la mayoría
ELENA MARAN, MODULOS
¿Quién suele ser vuestro interlocutor dentro de las empresas?
Depende de la estructura de la organización. En empresas grandes hablamos con CIO, con procurement o responsables de sistemas de información. En organizaciones más pequeñas, hablamos directamente con la persona responsable del cumplimiento del Acta Europea o de la gobernanza de la IA, que a menudo tiene un perfil técnico o de ciencia de datos.
¿Vuestro mercado es exclusivamente europeo?
La plataforma está alineada con la legislación europea, pero también incorpora marcos de otros países. Hemos trabajado con empresas de Singapur, donde existen guías voluntarias, especialmente en el sector financiero, promovidas por la Autoridad Monetaria de Singapur. En Estados Unidos, aunque a nivel federal hay contradicciones, muchos estados y empresas están impulsando prácticas responsables, porque entienden que un desarrollo sin reglas ni ética acaba siendo perjudicial para la sociedad y para las propias empresas.
Se dice que la regulación europea frena la innovación. ¿Qué opinas?
Estoy en desacuerdo con esa visión. La gobernanza de la IA no es solo cumplir normas, es la base para que la IA pueda escalar dentro de las empresas y aportar beneficios reales.
El Acta Europea establece un marco de alto nivel para garantizar que se protegen la salud, la seguridad y los derechos fundamentales. Además, solo regula los sistemas de alto riesgo, que no son la mayoría.
¿Cuántas personas sois en Modulo X y cuáles son vuestros planes de crecimiento?
Somos aproximadamente 20 personas. No puedo compartir datos de facturación.
Con la entrada en vigor de la ley en agosto, estamos evaluando abrir presencia en algún país de la Unión Europea, aunque todavía es pronto para concretar.
¿Cómo ves España como país involucrado en esta materia?
Estoy involucrada como asesora experta externa en el Sandbox IA impulsado por el Ministerio de Transformación Digital. España ha sido uno de los primeros países en crear un sandbox para ayudar a empresas con sistemas de alto riesgo a alinearse con la normativa europea.
Han conseguido combinar exigencias regulatorias con apoyo práctico a las empresas. Por eso creo que España se está moviendo en una dirección especialmente interesante, demostrando que regulación e innovación no están necesariamente en conflicto.
Pero me parece muy interesante lo que estáis haciendo y, además, que estéis abriendo un mercado de valoración de riesgos en torno a la IA
Te comento un poco más porque he investigado este tema. Lo que ha ocurrido en ciberseguridad va a ocurrir también en el mercado de la IA.
Al principio, en ciber, los seguros trataban este riesgo como un endorsement. Es decir, se mencionaba como un riesgo adicional dentro de una póliza que ya cubría otros riesgos. En otros casos, directamente empezaron a excluir aquellos riesgos que no sabían cómo gestionar ni cómo valorar.
Hoy el mercado del seguro ciber ya está establecido. La suma global de las primas que se pagan en el mundo para cubrir riesgos de ciberseguridad ronda los 30 billones de dólares este año, y se espera que se duplique de aquí a 2030.
¿Se va a replicar el modelo de los seguros de ciberseguridad en los seguros de gobernanza de IA?
Los seguros han aprendido a hacer una valorización cuantitativa y monetaria del riesgo ciber. Creo que exactamente lo mismo va a pasar con la IA.
De hecho, ya lo estamos viendo en Estados Unidos. Algunos proveedores de seguros, bastante conocidos, han empezado a introducir exclusiones. Por ejemplo, indican que si compras una determinada póliza, no se cubrirán los riesgos asociados a la performance de la IA.
Ahora mismo estamos en una etapa muy fragmentada, en la que los seguros toman decisiones distintas. Munich Re, por ejemplo, estaba involucrada cuando se trataba de modelos tradicionales. En ese caso, lo que se cubría era la no performance del modelo, es decir, cuando no se comportaba conforme a lo declarado o no cumplía los requisitos asociados.
¿Te refieres a que el modelo no se adapta o no funciona como debería?
Sí, más o menos. Que no actúa como está previsto, que el nivel de error es mayor de lo esperado. Ese tipo de situaciones se cubrían.
Pero ahora estamos hablando de IA generativa y de IA agéntica. En este contexto, el concepto de error ya no se puede representar simplemente como un porcentaje. Por eso, muchos seguros han dejado de cubrir riesgos asociados a la IA.
Aquí hay muchísimo trabajo por hacer. Se puede empezar a analizar de forma muy detallada las métricas de los sistemas de IA que se utilizan en las empresas y empezar a construir los datos necesarios para valorizar el riesgo.
O sea, se necesita de la IA para evaluar los riesgos de la IA
En parte, necesitarás IA para abordar la IA. La propia IA ayuda a recopilar estos datos, porque se trata de analizar información que proviene de claims de seguros, bases de datos de incidentes, datos públicos y datos empresariales.
Es necesario conectarse a fuentes internas, a sistemas operativos que funcionan dentro de la compañía, y empezar a mapear cuáles son los incidentes más probables y qué impacto tienen. Al hacer este mapeo por industria y por tipo de incidente, se empieza a disponer de datos suficientes para valorizar monetariamente el riesgo.
Y a partir de ahí se crea un nuevo mercado…
Exactamente. Si una empresa y una aseguradora están más o menos de acuerdo sobre cuál es la exposición monetaria al riesgo, y la empresa sabe qué nivel de riesgo puede tolerar y cuál no, se impulsa un nuevo mercado de transferencia de riesgo. Y, para cerrar con un dato, el mercado global de la gobernanza de la IA se estima en unos 18 billones de dólares para 2030.
