Back to blog
    Por qué los bancos no enviarán datos de transacciones a ChatGPT (y qué harán en su lugar)
    financebankingcompliancechatgptdata-privacyon-premisefine-tuning

    Por qué los bancos no enviarán datos de transacciones a ChatGPT (y qué harán en su lugar)

    Las instituciones financieras enfrentan restricciones de SOC 2, PCI-DSS y FINRA que hacen de las APIs de IA en la nube un riesgo de cumplimiento. Los modelos ajustados corriendo on-premise son la alternativa — aquí explicamos por qué y cómo.

    EErtas Team·

    El mes pasado escribimos sobre por qué los bufetes de abogados no enviarán datos de clientes a ChatGPT. La respuesta fue abrumadora — claramente tocó un nervio.

    El mismo argumento aplica a los servicios financieros, pero las apuestas son más altas y las barreras regulatorias más gruesas.

    Cada banco importante, gestor de activos, aseguradora y empresa fintech está bajo presión para desplegar IA. Las expectativas de los clientes están marcadas por los productos de IA de consumo. Las juntas directivas quieren ganancias de eficiencia. Los competidores se están moviendo.

    Pero la realidad del cumplimiento detiene a la mayoría de las iniciativas en seco.

    La Barrera del Cumplimiento

    Esto es lo que pasa cuando un banco intenta usar ChatGPT (o cualquier API de IA en la nube) para trabajo orientado al cliente:

    Rastro de Auditoría SOC 2

    Cada sistema que maneja datos de clientes necesita un rastro de auditoría documentado. Cuando envías el historial de transacciones de un cliente a la API de OpenAI:

    • ¿A dónde fueron los datos? (Servidores de OpenAI, ubicación variable)
    • ¿Quién los procesó? (Infraestructura de OpenAI)
    • ¿Cuánto tiempo se retuvieron? (Depende de la política de datos de OpenAI)
    • ¿Puedes demostrar control sobre la eliminación? (No puedes — es su infraestructura)

    Tu auditor hará estas preguntas. Si no tienes respuestas satisfactorias, tu certificación SOC 2 está en riesgo.

    Expansión de Alcance PCI-DSS

    Si algún prompt que envías a una API en la nube contiene o referencia datos de tarjetas de pago — incluso un número de cuenta parcial, incluso un resumen de transacción — ese endpoint de API entra en tu alcance PCI. De repente:

    • El proveedor de IA necesita ser compatible con PCI
    • Necesitas documentar el flujo de datos en tus artefactos de cumplimiento PCI
    • Tu QSA (Evaluador de Seguridad Cualificado) necesita evaluar el alcance adicional
    • Estás pagando por una evaluación PCI más costosa

    Para un banco que procesa millones de transacciones, la expansión del alcance PCI por sí sola puede costar más de lo que ahorra la implementación de IA.

    Mantenimiento de Registros FINRA

    FINRA requiere que los broker-dealers retengan registros de comunicaciones con clientes. Si un modelo de IA genera una respuesta que influye en una interacción con el cliente — una recomendación de producto, una evaluación de riesgo, un resumen de cumplimiento — esa salida puede necesitar ser retenida y auditable.

    Las respuestas de APIs en la nube fluyen a través de infraestructura de terceros. Registrarlas de manera confiable, retenerlas según calendarios regulatorios y producirlas durante exámenes regulatorios agrega complejidad que la mayoría de los equipos de cumplimiento rechazarán.

    La Decisión del Comité de Riesgos

    En la práctica, así se desarrolla:

    1. El equipo de producto propone usar IA para [caso de uso específico]
    2. La propuesta va al comité de riesgos/cumplimiento
    3. El comité pregunta: "¿A dónde van los datos?"
    4. Respuesta: "Servidores de OpenAI"
    5. Comité: "No."

    Esta conversación ocurre cientos de veces cada semana en servicios financieros. La tecnología funciona. El cumplimiento no.

    Qué Están Construyendo en su Lugar

    Las instituciones financieras no están rechazando la IA. Están rechazando las APIs de IA en la nube. La diferencia importa.

    La alternativa: modelos ajustados que corren en la propia infraestructura de la institución.

    La Arquitectura

    1. Datos de entrenamiento (transacciones históricas, documentos etiquetados, interacciones con clientes) → permanecen dentro del perímetro de datos de la institución
    2. Fine-tuning ocurre en cómputo controlado (GPUs en la nube a través de una plataforma como Ertas, u on-premise para las instituciones más sensibles)
    3. El modelo entrenado (un archivo GGUF o adaptador LoRA) se exporta y descarga
    4. La inferencia corre en el propio hardware de la institución — un servidor GPU en su centro de datos, una Mac en una sala de servidores, o una instancia en la nube en su VPC privada
    5. Los datos del cliente nunca salen de la infraestructura de la institución durante la inferencia

    Esta arquitectura satisface cada requisito de cumplimiento:

    • SOC 2: Los datos permanecen dentro de tu perímetro certificado
    • PCI-DSS: Sin expansión de alcance — el procesamiento ocurre en tu infraestructura
    • FINRA: Control total sobre registro, retención y auditabilidad
    • GDPR: Requisitos de residencia de datos cumplidos (tu centro de datos, tu jurisdicción)

    La Economía También Funciona

    El argumento de cumplimiento por sí solo es suficiente para la mayoría de las instituciones financieras. Pero la economía lo refuerza.

    Un banco mediano procesando 500 documentos por día:

    EnfoqueCosto mensualSobrecarga de cumplimiento
    API GPT-4o$1,500-5,000Alta (evaluación de proveedor, BAA, alcance PCI)
    Modelo ajustado 8B on-premise$15-30 electricidadMínima (hereda cumplimiento existente)

    El modelo ajustado no solo es más barato — frecuentemente produce mejores resultados en tareas financieras específicas de dominio. Un modelo entrenado en las categorías de transacción específicas de tu institución, formatos de documentos y requisitos regulatorios supera a un modelo genérico que maneja todo desde poesía hasta física.

    La Oportunidad para Agencias

    Si diriges una agencia de IA, los servicios financieros son uno de los mercados más desatendidos.

    La demanda es enorme. Bancos, cooperativas de crédito, gestores de activos, aseguradoras y empresas fintech — todos quieren IA. La mayoría están atascados — incapaces de usar APIs en la nube, incapaces de contratar equipos de ML ($300K+ por ingeniero de ML), incapaces de justificar construir infraestructura de fine-tuning interna.

    Una agencia que pueda:

    1. Entender los requisitos de cumplimiento (SOC 2, PCI-DSS, FINRA)
    2. Ajustar modelos con datos del dominio financiero usando una plataforma visual
    3. Desplegar on-premise en la infraestructura del cliente
    4. Entregar adaptadores LoRA por cliente para diferentes casos de uso

    ...está resolviendo un problema que el cliente genuinamente no puede resolver por sí mismo.

    La disposición a pagar es más alta que en la mayoría de los verticales. Las instituciones financieras presupuestan millones para cumplimiento y tecnología. Un despliegue de IA que pase revisión de cumplimiento vale mucho más para ellos que el mismo despliegue en una industria menos regulada.

    Para un desglose detallado de la oportunidad de agencia en servicios financieros, consulta nuestra guía de mercado.

    El Paralelo con Salud y Legal

    Hemos visto este patrón desarrollarse en otras dos industrias reguladas:

    Salud: HIPAA previene enviar datos de pacientes a APIs en la nube. Los modelos ajustados corriendo on-premise son la solución. Los hospitales los están desplegando para documentación clínica, asistencia en codificación y comunicación con pacientes.

    Legal: El privilegio abogado-cliente previene enviar datos de casos a procesadores de terceros. Los bufetes están desplegando modelos ajustados para revisión de contratos, análisis de documentos y asistencia en investigación.

    Servicios financieros es la tercera pierna de este trío de industrias reguladas. Misma demanda impulsada por cumplimiento. Misma solución de despliegue on-premise. Misma oportunidad de negocio para agencias y consultores.

    El hilo conductor: cada industria regulada que no puede usar APIs en la nube es un mercado para modelos de IA ajustados y desplegados localmente. Los equipos que aprendan a construir y desplegar estos modelos — y navegar los requisitos de cumplimiento — serán dueños de estos mercados.

    Primeros Pasos

    Si eres una institución financiera:

    1. Identifica tu caso de uso de IA de mayor volumen y más repetitivo
    2. Construye un dataset de entrenamiento a partir de datos históricos (200-500 ejemplos etiquetados)
    3. Ajusta en Ertas — no se requiere experiencia en ML
    4. Despliega en tu infraestructura
    5. Expande a casos de uso adicionales una vez validado el primero

    Si eres una agencia de IA enfocada en servicios financieros:

    1. Aprende los requisitos de cumplimiento (conceptos básicos de SOC 2, PCI-DSS, FINRA)
    2. Construye un despliegue de referencia que puedas demostrar
    3. Lidera con cumplimiento, sigue con capacidades
    4. Cobra por el valor (el despliegue de IA seguro para cumplimiento vale precios premium)

    El mercado de IA en servicios financieros está esperando soluciones que funcionen dentro de las restricciones regulatorias. Los modelos ajustados desplegados on-premise son esa solución.

    Referencias: FINOS AI Governance Framework, IBM — Gen AI in Financial Regulatory Framework, AdvisorEngine — AI Compliance Framework 2026.

    Ship AI that runs on your users' devices.

    Early bird pricing starts at $14.50/mo — locked in for life. Plans for builders and agencies.

    View early bird pricingor join the waitlist →

    Keep reading

    Fine-Tuning AI for Financial Services: Compliance, Use Cases, and Deployment
    Guides

    Fine-Tuning AI for Financial Services: Compliance, Use Cases, and Deployment

    A comprehensive guide to deploying fine-tuned AI models in financial services. Covers SOC 2, PCI-DSS, and FINRA compliance, five production use cases, and why on-premise fine-tuned models are replacing cloud APIs in banking and finance.

    Model Risk Management for Fine-Tuned LLMs: SR 11-7 Compliance Guide
    Guides

    Model Risk Management for Fine-Tuned LLMs: SR 11-7 Compliance Guide

    A practical guide to applying the Federal Reserve's SR 11-7 model risk management framework to fine-tuned LLMs in banking. Covers documentation requirements, validation frameworks, auditor questions, and why on-premise deployment simplifies compliance.

    On-Premise AI for Banking: Satisfying Regulator Audit Requirements
    Guides

    On-Premise AI for Banking: Satisfying Regulator Audit Requirements

    Architecture and operational guide for deploying on-premise AI in banking environments that satisfy OCC, FINRA, and Federal Reserve audit requirements. Covers infrastructure, audit trails, access controls, change management, disaster recovery, and a 10-dimension compliance comparison.