Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > Qué significan realmente los requisitos de divulgación de IA de la SEC para los equipos de cumplimiento

Qué significan realmente los requisitos de divulgación de IA de la SEC para los equipos de cumplimiento

by Danielle Barbour updated marzo 25, 2026 Cumplimiento Regulatorio
Reading Time: 11 minutes

Las empresas de servicios financieros están implementando agentes de IA en sus flujos de trabajo más sensibles: informes a clientes, conciliación de operaciones, preparación de presentaciones regulatorias y análisis de portafolios. La mayoría de estos flujos de trabajo manejan datos sujetos a supervisión de la SEC: posiciones de portafolio de clientes, comunicaciones de asesoría, tarifas, registros de operaciones e información material no pública. Esto los hace sujetos a las reglas existentes de la SEC, no a futuras regulaciones aún en desarrollo.

Table of Contents

La pregunta de cumplimiento no es si la IA será eventualmente regulada por la SEC. Es si tu empresa puede demostrar, ahora mismo, que el acceso de agentes de IA a datos financieros regulados cumple con las mismas obligaciones de conservación de registros, control de acceso y supervisión que aplican al acceso de empleados humanos a esos mismos datos. La División de Exámenes de la SEC ha convertido las políticas de cumplimiento de IA y las divulgaciones a inversores en prioridades activas de revisión. Cuando un examinador pregunte cómo tu empresa controla el acceso de IA a los datos de clientes, la respuesta debe ser un paquete de evidencias, no un simple documento de políticas.

Este artículo explica lo que las reglas actuales de la SEC ya exigen para la implementación de agentes de IA, lo que la evolución de los exámenes de la SEC indica para los equipos de cumplimiento, dónde fallan los despliegues de IA en servicios financieros y cómo construir una gobernanza de IA defendible y lista para auditoría.

Resumen Ejecutivo

Idea principal: Las reglas de la SEC sobre conservación de registros, acceso a datos de clientes, obligaciones de supervisión y divulgación a inversores aplican a los agentes de IA que operan en flujos de trabajo de servicios financieros igual que a los asesores y empleados humanos. La mayoría de las empresas han implementado IA en flujos de datos regulados sin una infraestructura de gobernanza de datos que cumpla con estas obligaciones existentes, lo que crea exposición a auditorías que los examinadores de la SEC ya están buscando activamente.

Por qué te debe importar: Las prioridades de examen de la SEC para el año fiscal 2026 identifican explícitamente las políticas de cumplimiento de IA y las divulgaciones como áreas clave de revisión. El Comité Asesor de Inversores de la SEC está impulsando divulgaciones mejoradas sobre la gobernanza de IA a nivel de junta directiva. La SEC ya ha iniciado acciones de cumplimiento contra empresas por «AI washing», es decir, tergiversar las capacidades de IA en materiales dirigidos a inversores. Las empresas que puedan demostrar acceso gobernado y auditable a datos de IA estarán en la mejor posición cuando lleguen los examinadores. Aquellas que solo puedan mostrar un documento de políticas, no lo estarán.

Puntos clave

  1. Las reglas existentes de la SEC ya aplican al acceso de agentes de IA a datos financieros regulados. La Regla 204-2 bajo la Ley de Asesores, el Reglamento S-P y el marco de deber fiduciario de la SEC no contienen exenciones para flujos de trabajo operados por máquinas. Un agente de IA que accede a datos de portafolio de clientes, genera recomendaciones de asesoría o redacta comunicaciones con clientes ha realizado una actividad regulada sujeta a las obligaciones existentes de supervisión, conservación de registros y divulgación.
  2. Las obligaciones de conservación de registros se extienden a los resultados generados por IA y a los datos a los que accedieron esos resultados. La Regla 204-2 exige que los asesores de inversión mantengan registros de comunicaciones relacionadas con recomendaciones, asesoría e interacciones con clientes. Cuando un agente de IA genera un informe para un cliente, un resumen de portafolio o un borrador de comunicación de asesoría, tanto los datos subyacentes a los que accedió como el resultado generado están dentro del alcance de las obligaciones de conservación de registros, y el registro de acceso debe ser atribuible a una persona autorizada.
  3. La postura de examen de la SEC sobre IA está pasando de «¿tienes una política?» a «muéstranos la evidencia». Las prioridades de examen para los años fiscales 2025 y 2026 indican que los examinadores revisarán en profundidad las políticas de cumplimiento de IA, los procedimientos de supervisión y las divulgaciones a inversores. «Tenemos una política de gobernanza de IA» es solo el punto de partida del examen, no el final. Los examinadores pedirán evidencia de que la política se ha operacionalizado, incluyendo registros de acceso, delegación y trazabilidad de auditoría para las interacciones de datos de los agentes de IA.
  4. El acceso de agentes de IA a información material no pública crea exposición a uso de información privilegiada que requiere los mismos controles que el acceso humano. Si un agente de IA que opera en un flujo de trabajo financiero puede acceder a MNPI —documentos de fusiones, datos de resultados, términos de acuerdos— sin los mismos controles de acceso y trazabilidad de auditoría que rigen el acceso de analistas a esos datos, la empresa tiene una posible falla de supervisión bajo las reglas actuales de la SEC. El hecho de que una máquina acceda a los datos no reduce la obligación regulatoria.
  5. Las divulgaciones a inversores sobre el uso de IA deben reflejar capacidades reales de gobernanza, no aspiracionales. Las acciones de cumplimiento de la SEC sobre «AI washing» establecen que las declaraciones dirigidas a inversores sobre capacidades y gobernanza de IA deben ser precisas y verificables. Una empresa que declare que «gobierna el acceso de IA a los datos de clientes» debe poder demostrar en qué consiste esa gobernanza. Las divulgaciones que superan la infraestructura real de gobernanza generan su propio riesgo de cumplimiento.

Lo que exigen las reglas actuales de la SEC para flujos de trabajo financieros habilitados por IA

La SEC aún no ha promulgado un marco regulatorio integral específico para IA en servicios financieros. Lo que sí ha hecho —a través de prioridades de examen, acciones de cumplimiento y guías— es dejar claro que las reglas existentes aplican plenamente a la IA. Para los equipos de cumplimiento, esto significa que la pregunta de gobernanza no es «¿qué exigirá la SEC a la IA?», sino «¿qué exigen nuestras obligaciones actuales a todo sistema que maneje datos regulados?»

Regla 204-2: Libros y registros

La Regla 204-2 bajo la Ley de Asesores de Inversión exige a los asesores registrados mantener registros de comunicaciones relacionadas con recomendaciones, asesoría brindada e interacciones con clientes. Cuando un agente de IA genera un análisis de portafolio, redacta una carta de asesoría o prepara una presentación regulatoria, esos resultados y las interacciones de datos subyacentes están dentro del alcance. Los registros deben ser recuperables, atribuibles a una persona autorizada y mantenerse durante el periodo requerido. Un agente que genera contenido de asesoría sin una cadena de atribución rastreable que vincule el resultado con el humano que autorizó el flujo de trabajo no puede cumplir con el requisito de libros y registros para ese resultado.

Reglamento S-P: Protección de la información de clientes

El Reglamento S-P exige que las entidades cubiertas mantengan políticas y procedimientos razonablemente diseñados para proteger los registros e información de los clientes. Para los agentes de IA, las mismas obligaciones de protección que aplican al acceso de empleados humanos a los datos de clientes aplican al acceso de los agentes: el acceso debe limitarse a flujos de trabajo autorizados, los datos deben protegerse con cifrado adecuado y los eventos de acceso deben registrarse. Las enmiendas de 2024 al Reglamento S-P fortalecieron significativamente estos requisitos, agregando obligaciones de respuesta a incidentes y ampliando la cobertura a más categorías de información de clientes. Los agentes de IA que acceden a datos de clientes fuera de un marco gobernado y reforzado por políticas representan una brecha directa en el Reglamento S-P.

Obligaciones de supervisión y el estándar fiduciario

Los asesores de inversión operan bajo un deber fiduciario de actuar en el mejor interés de los clientes. Los corredores de bolsa operan bajo el Reglamento de Mejor Interés. Ambos imponen obligaciones de supervisión sobre cómo se accede y utiliza la información de los clientes en el proceso de asesoría. Cuando un agente de IA participa en un flujo de trabajo de asesoría —accediendo a datos de portafolio, generando recomendaciones o preparando materiales para clientes— el marco de supervisión de la empresa debe extenderse a ese agente. Un agente que accede a datos fuera de su alcance autorizado, o genera resultados que un supervisor no puede rastrear hasta los datos y la autorización subyacentes, representa una falla de control de supervisión bajo los estándares actuales.

Regla 17a-4 de la SEC: Registros electrónicos para corredores de bolsa

La Regla 17a-4 exige que los corredores de bolsa mantengan registros electrónicos en un formato no reescribible ni borrable, es decir, un estándar a prueba de manipulaciones para registros regulados. Cuando los agentes de IA crean, acceden o contribuyen a registros sujetos a la Regla 17a-4, la trazabilidad de acceso debe cumplir este estándar. Un corredor de bolsa que implementa agentes de IA en registros de operaciones, comunicaciones con clientes o presentaciones regulatorias sin asegurar que los registros generados y accedidos por IA cumplen con el requisito de inalterabilidad tiene una brecha directa en la Regla 17a-4.

La evolución de la postura de examen de la SEC sobre IA

Más allá de las reglas existentes, la evolución de la postura de examen y cumplimiento de la SEC indica hacia dónde se dirige el escrutinio. Los equipos de cumplimiento que entienden esta trayectoria pueden construir una infraestructura de gobernanza que satisfaga tanto las obligaciones actuales como las áreas de enfoque anticipadas en los exámenes.

Prioridades de examen FY2026: Políticas de cumplimiento de IA y divulgaciones

La División de Exámenes de la SEC identificó las políticas de cumplimiento de IA, los procedimientos de supervisión y las divulgaciones a inversores como prioridades de examen para el año fiscal 2026. El lenguaje específico —»si los asesores integran IA en las operaciones de asesoría, un examen puede revisar en profundidad las políticas y procedimientos de cumplimiento, así como las divulgaciones a los inversores»— indica que los examinadores evaluarán si las políticas de cumplimiento de IA están operacionalizadas con controles aplicables, no solo documentadas. La evidencia de acceso gobernado a los datos, y no solo la política que lo describe, es lo que finalmente requerirá un examen.

Acciones de cumplimiento por AI Washing: Las divulgaciones deben coincidir con la realidad

La SEC ha iniciado acciones de cumplimiento contra empresas por tergiversar capacidades de IA en materiales dirigidos a inversores. Estos casos de «AI washing» establecen un principio claro: las divulgaciones sobre gobernanza de datos de IA deben representar con precisión los controles operativos reales. Una empresa que divulga una gobernanza robusta de IA sin la infraestructura subyacente está generando un riesgo de cumplimiento adicional al propio vacío de gobernanza.

Divulgación de gobernanza de IA a nivel de junta directiva

El Comité Asesor de Inversores de la SEC ha impulsado divulgaciones mejoradas sobre cómo las juntas supervisan la gobernanza de datos de IA como parte de la administración de riesgos de seguridad. Los CCO y CISO deben anticipar que las preguntas sobre gobernanza de IA a nivel de junta aumentarán y deben construir la infraestructura de evidencia para responder con controles documentados y verificables, no solo descripciones de políticas.

Dónde fallan los despliegues de IA en servicios financieros

La mayoría de los despliegues de IA en servicios financieros comparten una arquitectura diseñada para velocidad operativa y no para defensa regulatoria: agentes conectados a repositorios de datos de clientes mediante cuentas de servicio, alcance de acceso gobernado por prompts del sistema y supervisión basada en revisiones manuales periódicas. Esta arquitectura falla en múltiples dimensiones de cumplimiento de la SEC al mismo tiempo.

Sin cadena de atribución para contenido de asesoría generado por IA

La Regla 204-2 exige que tanto el acceso a los datos subyacentes como los resultados generados por IA sean atribuibles a una persona autorizada. Una cuenta de servicio autentica el sistema, no al asesor supervisor que autorizó el flujo de trabajo. Sin una cadena de custodia que vincule las acciones del agente a un humano autorizado, el contenido de asesoría generado por IA no puede ser atribuido correctamente en los libros y registros que exige la Regla 204-2. Esta brecha también hace imposible demostrar el alcance de acceso a nivel operativo para fines del Reglamento S-P: cuando un agente tiene acceso amplio al repositorio mediante una cuenta de servicio, la empresa no puede demostrar que el agente solo accedió a los datos dentro del alcance autorizado de su flujo de trabajo.

Registros generados por IA que no cumplen con 17a-4

Los corredores de bolsa que usan agentes de IA para ayudar con registros de operaciones, comunicaciones con clientes o preparación de presentaciones regulatorias deben asegurar que los registros producidos cumplan con el estándar no reescribible ni borrable de la Regla 17a-4. Los registros estándar de salida de IA, los sistemas de gestión documental y los archivos de correo electrónico no fueron diseñados para cumplir este estándar para contenido generado por IA. Las empresas que no han abordado específicamente el requisito de conservación a prueba de manipulaciones para los resultados generados por IA tienen una brecha de cumplimiento que los examinadores están preparados para encontrar.

Mejores prácticas para una gobernanza de agentes de IA defendible ante la SEC

1. Establece cadenas de atribución para cada interacción de datos de agentes de IA

Cada agente de IA que accede a datos financieros regulados debe operar bajo una credencial de identidad única vinculada al asesor humano o responsable de cumplimiento que autorizó el flujo de trabajo. La cadena de atribución —identidad del autorizador, identidad del agente, datos accedidos, resultado generado— debe capturarse en un registro a prueba de manipulaciones para cada interacción. Esto cumple con la obligación de conservación de registros de la Regla 204-2 para contenido generado por IA y proporciona a los examinadores la evidencia que solicitarán.

2. Aplica el alcance de acceso a nivel de operación, no de sesión

Implementa control de acceso basado en atributos que limite a cada agente de IA a los datos específicos del cliente requeridos para el flujo de trabajo autorizado, evaluado por operación. Un agente que genera una revisión trimestral para el Cliente A no debe tener acceso técnico a los datos de portafolio del Cliente B, y ese límite debe ser impuesto por la arquitectura de gobernanza, no por un prompt del sistema. Esto cumple con el requisito de protección del Reglamento S-P a nivel de acceso a los datos.

3. Implementa registros a prueba de manipulaciones para resultados y eventos de acceso generados por IA

Todas las interacciones de agentes de IA con datos financieros regulados deben capturarse en registros de auditoría que cumplan con el estándar a prueba de manipulaciones exigido por la Regla 17a-4 y los estándares equivalentes de conservación de registros para asesores de inversión. Estos registros deben ser atribuibles, recuperables y exportables en un formato que soporte la revisión de la SEC. Los registros estándar de aplicaciones y los logs de inferencia de IA no cumplen con este estándar.

4. Alinea las divulgaciones a inversores con las capacidades reales de gobernanza

Antes de hacer cualquier divulgación dirigida a inversores sobre el uso de IA, controles de acceso o gobernanza de datos, audita si los controles descritos existen realmente en el entorno operativo. Las acciones de cumplimiento de la SEC por AI washing establecen que la brecha entre la divulgación y la realidad es en sí misma un riesgo de cumplimiento. Las divulgaciones deben describir controles verificables —identidad autenticada del agente, acceso gobernado por políticas, trazabilidad de auditoría— y no marcos de gobernanza aspiracionales que aún no están en funcionamiento.

5. Actualiza los procedimientos escritos de supervisión para cubrir los flujos de trabajo de agentes de IA

Actualiza los procedimientos escritos de supervisión de la empresa para abordar el acceso de agentes de IA a datos de clientes y flujos de trabajo regulados. Los WSP deben especificar qué flujos de trabajo de agentes de IA están autorizados, a qué datos puede acceder cada uno, cómo se monitorean las acciones de los agentes y qué revisión de supervisión aplica a los resultados generados por IA. Un examen de políticas de cumplimiento de IA incluirá una revisión de los WSP, y muchas empresas aún no han hecho esta actualización.

Cómo Kiteworks habilita una gobernanza de agentes de IA defendible ante la SEC para servicios financieros

Los equipos de cumplimiento en servicios financieros necesitan una gobernanza de IA que genere evidencia, no solo políticas. Cuando un examinador de la SEC pregunte cómo tu empresa controla el acceso de IA a los datos de clientes, la respuesta debe ser un registro completo y recuperable de cada interacción de agente: quién la autorizó, qué datos se accedieron, bajo qué política y cuándo. La Red de Datos Privados de Kiteworks proporciona a las empresas de servicios financieros una arquitectura de gobernanza a nivel de datos que intercepta cada interacción de agentes de IA con datos financieros regulados antes de que ocurra, generando la trazabilidad de auditoría que exige la SEC.

Cadena de atribución y registro de delegación para la Regla 204-2

Kiteworks autentica a cada agente de IA antes de que acceda a los datos de clientes y vincula esa autenticación al asesor humano o responsable de cumplimiento que autorizó el flujo de trabajo. La cadena de atribución completa se conserva en cada entrada del registro de auditoría, cumpliendo con la obligación de conservación de registros de la Regla 204-2 para contenido generado por IA sin reconstrucción manual.

Alcance de acceso a nivel de operación para el Reglamento S-P

El Motor de Políticas de Datos de Kiteworks evalúa cada solicitud de datos de agentes de IA en función del perfil autenticado del agente, la clasificación de los datos del cliente, el contexto del flujo de trabajo autorizado y la operación específica. Un agente autorizado para acceder a los datos de portafolio del Cliente A no puede acceder a los registros del Cliente B ni realizar operaciones fuera de su alcance permitido. Esta aplicación por operación cumple con el requisito del Reglamento S-P de que el acceso a los datos de clientes esté limitado a los fines autorizados, a nivel arquitectónico y no solo por instrucción.

Registro de auditoría a prueba de manipulaciones para 17a-4 y preparación para exámenes

Cada interacción de agentes de IA con datos financieros se captura en un registro a prueba de manipulaciones a nivel de operación, que se integra directamente con el SIEM de la empresa y es exportable en un formato que soporta la revisión de la SEC. Cuando la División de Exámenes solicite un paquete de evidencias para la gobernanza de datos de IA, la respuesta es un informe, no una reconstrucción forense a partir de registros de infraestructura que nunca fueron diseñados para cumplir con 17a-4.

Gobernanza de agentes para gestión patrimonial a escala defendible ante la SEC

Kiteworks Compliant AI permite a las empresas de gestión patrimonial implementar agentes de IA para informes a clientes, revisiones de portafolio y flujos de trabajo regulatorios, con cada interacción gobernada de extremo a extremo. Un agente que produce paquetes de revisión trimestral de portafolio accede solo a los datos de clientes específicamente autorizados, bajo cifrado validado FIPS 140-3, con una trazabilidad completa que vincula cada acceso de datos al responsable de cumplimiento que lo autorizó, a velocidad de IA y sin una revisión manual de cumplimiento.

Para los equipos de cumplimiento en servicios financieros que necesitan gobernar la IA a escala sin crear exposición a auditorías, Kiteworks hace que cada interacción de agentes de IA con datos financieros regulados sea defendible por diseño. Descubre más sobre Kiteworks para servicios financieros o solicita una demo.

Preguntas frecuentes

Las reglas actuales de la SEC ya aplican. La Regla 204-2 exige registros de comunicaciones y asesoría atribuibles a personas autorizadas, lo que incluye contenido de asesoría generado por IA. El Reglamento S-P exige procedimientos de protección para los controles de acceso a datos de clientes, lo que cubre el acceso de agentes de IA. Las prioridades de examen de la SEC para el año fiscal 2026 confirman que las políticas de cumplimiento de IA y las divulgaciones son áreas activas de revisión, no preocupaciones futuras. La obligación de gobernanza existe ahora, bajo reglas vigentes desde hace años.

Sí. La Regla 17a-4 exige que los corredores de bolsa mantengan registros electrónicos —incluyendo los creados o accedidos en flujos de trabajo regulados— en un formato no reescribible ni borrable. Cuando los agentes de IA crean, acceden o contribuyen a registros sujetos a esta regla, esos registros y la trazabilidad de acceso deben cumplir con el estándar a prueba de manipulaciones. Los registros estándar de salida de IA y las trazas de auditoría de aplicaciones no fueron diseñados para cumplir con este estándar. Las empresas deben confirmar que su infraestructura de gobernanza de IA produce registros que cumplen específicamente con los requisitos de retención y formato de la 17a-4.

Según las prioridades de examen de la SEC para el año fiscal 2026 y la guía previa, los examinadores buscarán: procedimientos escritos de supervisión que aborden los flujos de trabajo de agentes de IA; evidencia de que el acceso de IA a datos de clientes está limitado a fines autorizados y acotado por operación; registros de atribución que vinculen las acciones de los agentes de IA con los autorizadores humanos; divulgaciones a inversores sobre el uso de IA que reflejen con precisión los controles reales de gobernanza; y trazabilidad de auditoría para contenido de asesoría generado por IA que cumpla con las obligaciones de conservación de registros. Los documentos de políticas por sí solos no satisfarán a un examinador que busca evidencia de controles operacionalizados.

Las acciones de cumplimiento de la SEC por AI washing establecen que las divulgaciones a inversores sobre capacidades de IA y gobernanza de datos de IA deben representar con precisión los controles operativos reales, no marcos aspiracionales. Antes de divulgar que tu empresa «gobierna el acceso de IA a los datos de clientes» o «mantiene trazabilidad de auditoría para interacciones de agentes de IA», los equipos de cumplimiento deben verificar que esos controles existen en el entorno operativo y pueden generar evidencia bajo demanda. Las divulgaciones que superan la realidad de la gobernanza generan exposición a cumplimiento que es distinta —y adicional— al vacío de gobernanza subyacente.

La revisión supervisora a nivel de resultados —que un humano revise el contenido generado por IA antes de que llegue a los clientes— es un control valioso pero no cumple con los requisitos subyacentes de gobernanza de acceso a datos. No produce una cadena de atribución para el acceso a los datos, no aplica el control ABAC a nivel de operación y no crea un registro a prueba de manipulaciones de qué datos accedió el agente. La gobernanza a nivel de datos intercepta cada evento de acceso antes de que ocurra, aplicando identidad, políticas, cifrado y registros de forma independiente a lo que produzca el modelo. Ambos controles pueden ser apropiados, pero solo la gobernanza a nivel de datos cumple con los requisitos de conservación de registros y protección de la SEC en el punto de acceso a los datos.

El paso más inmediato es una auditoría de acceso a los datos: identifica cada flujo de trabajo de agentes de IA que maneje datos financieros regulados, mapea a qué datos puede acceder técnicamente cada agente frente a lo que está autorizado a acceder y evalúa si los eventos de acceso de esos flujos están capturados en registros de auditoría atribuibles y a prueba de manipulaciones. Esta auditoría definirá el alcance de tu brecha de gobernanza y establecerá la base para tu plan de remediación. Hasta que la gobernanza a nivel de datos esté implementada, cada interacción de agentes de IA con datos de clientes está generando eventos de acceso no atribuibles que no pueden ser presentados a un examinador en el formato que exigen la Regla 204-2 y el Reglamento S-P.

Recursos adicionales

  • Artículo del Blog
    Estrategias Zero‑Trust para una protección de privacidad de IA asequible
  • Artículo del Blog
    Cómo el 77% de las organizaciones está fallando en la seguridad de datos de IA
  • eBook
    Brecha de gobernanza de IA: Por qué el 91% de las pequeñas empresas juegan a la ruleta rusa con la seguridad de datos en 2025
  • Artículo del Blog
    No existe «–dangerously-skip-permissions» para tus datos
  • Artículo del Blog
    Los reguladores ya no preguntan si tienes una política de IA. Quieren pruebas de que funciona.

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks