Las organizaciones europeas han adoptado rápidamente la inteligencia artificial, pero muchas la han implementado sin la infraestructura de gobernanza y seguridad necesaria, según una nueva investigación de ISACA. Así lo evidencian los resultados extraídos de un avance del estudio AI Pulse Poll 2026 de ISACA, en el que profesionales de IT manifiestan una brecha significativa y creciente entre la adopción de la IA y la preparación de las organizaciones para gestionar los riesgos que conlleva.
Índice de temas
El problema del control
En el estudio, casi tres quintas partes (59%) de los encuestados afirmaron no saber con qué rapidez podría su organización detener un sistema de IA en caso de incidente de seguridad. Solo un 21% indicó que podría hacerlo en menos de media hora, lo que sugiere que, en la mayoría de las organizaciones, un sistema de IA comprometido o defectuoso podría seguir operando sin control durante más de 30 minutos.
Estos datos plantean dudas sobre la preparación operativa en un momento en el que los sistemas de IA están cada vez más integrados en procesos clave de negocio. La ausencia de procedimientos claros de respuesta tiene implicaciones directas en la exposición regulatoria, el riesgo reputacional y la continuidad de los procesos y servicios que estos sistemas soportan.
El problema del entendimiento
Más allá de la capacidad de detener un sistema de IA, el estudio también pone de manifiesto importantes carencias en la capacidad de las organizaciones para comprender y explicar lo ocurrido cuando estos sistemas fallan. Menos de la mitad (42%) de los encuestados confía en la capacidad de su organización para investigar y explicar un incidente grave de IA a la dirección o a los reguladores, y solo un 11% se muestra completamente seguro.
Este aspecto es especialmente relevante a medida que la regulación comienza a entrar en vigor. El Reglamento de IA de la UE, actualmente en fase de implementación, establece requisitos explícitos en materia de explicabilidad y responsabilidad. Estas obligaciones requieren no solo controles técnicos, sino también estructuras de gobernanza, trazabilidad y, sobre todo, profesionales con las competencias necesarias para interpretar y comunicar el comportamiento de los sistemas de IA. La investigación sugiere que estas capacidades aún no están implantadas a gran escala.
Una gobernanza que no ha evolucionado al mismo ritmo
Los resultados apuntan a un problema estructural más profundo. Un tercio de las organizaciones (33%) no exige a sus empleados que revelen cuándo han utilizado IA en sus trabajos, lo que genera importantes lagunas de visibilidad sobre dónde y cómo se está utilizando esta tecnología.
Además, un 20% de los encuestados no sabe quién sería el último responsable en caso de que un sistema de IA causara daños, mientras que solo un 38% identifica al Consejo de Administración o a un directivo como responsable. Este dato contrasta con la tendencia regulatoria, que sitúa claramente la responsabilidad en los niveles más altos de la organización.
A primera vista, el panorama de supervisión ofrece cierto optimismo: un 40% afirma que las acciones generadas por IA son aprobadas por humanos antes de su ejecución, y un 26% adicional revisa las decisiones a posteriori. Sin embargo, sin una infraestructura de gobernanza más amplia que lo respalde, la supervisión humana por sí sola puede no ser suficiente para detectar o abordar problemas antes de que escalen.
Los datos sugieren que muchas organizaciones siguen tratando el riesgo de la IA como una cuestión puramente tecnológica, en lugar de un desafío de gobernanza transversal a toda la empresa. Esto no es sostenible, especialmente en un contexto en el que la IA influye cada vez más en decisiones, resultados e interacciones con clientes en todos los ámbitos del negocio.
