Cuestionamiento de seguridad en la era de la IA: la lógica de protección de datos bancarios cambia

Guo Jianhang, reportero de China Business News, Pekín

A medida que la era de la IA impulsa la recopilación y el uso de ingentes cantidades de datos, la importancia de la seguridad de los datos se vuelve cada vez más destacada.

El desarrollo de la tecnología de IA avanza con rapidez, y la inteligencia artificial se infiltrará en las decisiones operativas y actividades de gestión de los bancos a una velocidad más rápida de la prevista. Anteriormente, varios bancos anunciaron públicamente que seguirían impulsando la construcción de la transformación digital, promoviendo que los modos de trabajo pasen a estar basados en datos. Al mismo tiempo, el mercado y la supervisión también están cuestionando si las capacidades de protección de la seguridad de los datos de los bancos pueden seguir el ritmo de manera simultánea; la protección de la seguridad de los datos del banco afectará directamente el nivel de operación conforme del banco.

El reportero de China Business News observó que, al 26 de marzo, en las sanciones administrativas publicadas por el Banco Popular de China y sus dependencias, los casos que involucran explícitamente infracciones de “gestión de la seguridad de los datos” o “gestión de la seguridad de la red” ya superan los 30.

Zhang Kun, gerente general del Departamento de Entrega de Activos de Datos de Inspur (Shenzhou Information), señaló: “En la era de la IA, la gestión de la seguridad de los datos bancarios necesita, sobre la base de la gobernanza tradicional de datos, innovar y actualizarse teniendo en cuenta las características de las aplicaciones de IA. La clave es establecer un sistema de gestión de precisión de ‘delimitar con claridad el propósito, los permisos y el ciclo de vida desde el mismo instante en que se genera el dato’; mediante la combinación orgánica de medios técnicos y restricciones institucionales, se garantiza tanto la seguridad y el cumplimiento de los datos como el desarrollo saludable de la tecnología de IA”.

Más de 30 casos sancionados en lo que va del año

En el año inicial del “XV plan quinquenal número 15”, el entorno de seguridad al que se enfrenta la industria bancaria es cada vez más complejo. De la conformidad pasiva a la defensa activa, de la gobernanza de un solo punto a la operación sistemática; la pugna en torno a la seguridad de los datos se ve claramente en las sanciones emitidas por el regulador al inicio del año.

Según los anuncios de sanción del Banco Popular de China mencionados anteriormente por infracciones relativas a seguridad de datos y seguridad de redes, varias sucursales de bancos comerciales grandes estatales, bancos por acciones y bancos urbanos-rurales también han recibido multas.

A partir de algunas sanciones, Rural bank (瑞丰农商行) fue multado con 31.68 millones de yuanes, situándose entre los montos más altos de las sanciones en el primer trimestre de 2026. La información de sanciones administrativas publicada por el Banco Popular de China muestra que el Banco Rural Feng (瑞丰银行) incurrió en diversas conductas ilegales y de infracción, incluyendo la violación de las disposiciones sobre gestión de estadísticas financieras, disposiciones sobre gestión de cuentas, disposiciones sobre gestión de la seguridad de los datos y de la seguridad de la red, y no llevar a cabo debidamente la debida diligencia del cliente y la declaración de transacciones de gran cuantía, entre otras. Sobre el caso de la multa, el Banco Rural Feng informó al reportero: “Esta sanción corresponde a sanciones de la etapa temprana (de los dos primeros años); actualmente ya se ha corregido y subsanado. Principalmente se trata de problemas relacionados con el uso de datos que no cumple con las normas. Para cuestiones de detalle, en el futuro se elaborarán planes pertinentes en combinación con la actualización tecnológica y los cambios del sector, y se realizará una inversión en la mejora del sistema de protección contra riesgos”.

Además, dos bancos en Guizhou fueron sancionados por “violar las disposiciones pertinentes sobre recopilación, provisión, consulta y su gestión de la información crediticia”. Estos dos bancos manifestaron que aún no cuentan con medidas de rectificación publicables. Una persona del sector bancario rural en Guizhou le dijo al reportero: “En la actualidad, los bancos comerciales rurales, al ejecutar normas operativas como la seguridad de los datos y la seguridad de la red, en general aplican y gestionan conforme a las normas de conducta elaboradas por la asociación interbancaria provincial. Después de que una sociedad bancaria sea sancionada por infracción, las medidas de rectificación específicas a futuro también son determinadas por la asociación interbancaria provincial”.

Del análisis de los motivos de sanción incluidos en las multas, se observa que la frecuencia más alta corresponde a infracciones de las disposiciones sobre gestión de la seguridad de la red y gestión de la seguridad de los datos. En segundo lugar, infracciones de las disposiciones sobre recopilación, provisión, consulta de información crediticia y su gestión relacionada. También hay casos de infracción de conductas en las que no se adoptaron medidas técnicas para prevenir virus informáticos y ataques de red, intrusiones de red y otros actos que dañan la seguridad de la red.

Detrás de que el regulador emita multas de manera consecutiva, se encuentra la rápida conformación del sistema regulatorio de seguridad de datos financieros. Desde 2024, la Administración Nacional de Regulación Financiera y la Comisión del Mercado de Valores de China han formado un esquema de “doble supervisión”.

Según la información pública, en diciembre de 2024, la Administración Nacional de Regulación Financiera publicó las “Medidas para la gestión de la seguridad de los datos de las instituciones de banca y seguros”, introduciendo para dichas instituciones la “evaluación de seguridad de los datos”. En mayo de 2025, el Banco Popular de China publicó las “Medidas para la gestión de la seguridad de los datos en el ámbito de negocios del Banco Popular de China”, detallando y aclarando los requisitos mínimos de cumplimiento en materia de seguridad de datos en el ámbito de negocios del Banco Popular de China, y dejando claro el principio de “quien gestiona el negocio, quien gestiona los datos del negocio y quien gestiona la seguridad de los datos”.

Entrando en 2026, el ritmo de publicación de políticas avanza de manera estable. La Oficina de la Administración Nacional de Regulación Financiera emitió el “Aviso sobre la realización de una acción especial para el fortalecimiento de la capacidad de gestión de la seguridad de los datos de las instituciones financieras”, en el que se propone de forma clara el requisito general de “descubrir un lote, rectificar un lote, notificar un lote y sancionar un lote”. Además, la Oficina Nacional de Internet de China solicitó públicamente opiniones sobre las “Guías para la clasificación y la clasificación por niveles de datos de servicios de información financiera”, para afinar aún más las reglas de clasificación por niveles de datos centrales, datos importantes y datos sensibles generales.

Los profesionales consideran que la orientación central de la regulación reside en impulsar que los bancos integren la seguridad de los datos y la seguridad de la red dentro de la gobernanza corporativa y la gestión diaria, logrando la transición de un cumplimiento por etapas y pasivo hacia una gobernanza a largo plazo y sostenida.

De la “mentalidad de construir muros” a la “mentalidad de gestionar el flujo”

Bajo la presión de las políticas regulatorias, también se hacen cada vez más evidentes los eslabones débiles en la construcción de la seguridad de datos en la industria bancaria. ¿Qué eslabones débiles obvios presenta actualmente la construcción de seguridad de datos en los bancos?

Zhang Kun considera que el primero es la falta de capacidad para hacer un inventario integral de los activos de datos. Muchos bancos no tienen completamente claro el “patrimonio de datos” que poseen; en particular, carecen de una gestión unificada y eficaz sobre “datos oscuros” dispersos en distintos sistemas de negocio, entornos de prueba, ordenadores personales y sistemas heredados históricos. No saber dónde están los datos significa que no se puede hablar de una protección efectiva. En segundo lugar, falta visibilidad y capacidad de control en el proceso de circulación de datos. Un problema frecuente en el sector es que “los datos son visibles pero no controlables”: es decir, los datos en el sistema central están seguros, pero en cuanto se exportan mediante diversos métodos a Excel, a un entorno de pruebas o a un sistema de terceros, entran en la “zona ciega de la supervisión”. Los sistemas tradicionales de prevención contra filtración de datos (DLP) se enfocan más en el flujo de archivos; pero respecto a conductas de acceso a datos mediante llamadas a API, consultas a bases de datos y otros métodos, la capacidad de monitoreo y control es relativamente débil. En tercer lugar, hay problemas de concienciación sobre seguridad y de cumplimiento operativo por parte del personal. Aunque los medios técnicos sean avanzados, si la concienciación del personal sobre la seguridad no se mantiene, aún se generan grandes brechas de riesgo; especialmente cuando los departamentos de negocio, con el objetivo de mejorar la eficiencia, evitan procesos de seguridad o realizan operaciones no conformes en la colaboración para compartir datos, lo cual ocurre con cierta frecuencia.

Zhang Kun considera que, en el contexto de la emisión de normas y políticas, la construcción de seguridad de datos de los bancos se encuentra en un periodo crítico de transición de “impulsada por el cumplimiento” a “gestión de riesgos”. Sin embargo, en el entorno regulatorio actual, en la práctica concreta de implementación, la construcción de seguridad de datos de los bancos todavía enfrenta múltiples desafíos. Por ejemplo, los bancos establecen un sistema de clasificación y clasificación por niveles de datos, pero en la ejecución real enfrentan dificultades para llevarlo a la práctica. Asimismo, con la aceleración de la internacionalización del negocio bancario, aumentan cada vez más los escenarios de transferencia de datos al extranjero; con el endurecimiento de los requisitos de cumplimiento para el flujo transfronterizo de datos, los bancos necesitan construir mecanismos de evaluación de seguridad para la exportación de datos. En la actualidad, el flujo de datos depende de “canales de datos nuevos” como interfaces API y conexiones directas a bases de datos, lo que también trae nuevos puntos de exposición al riesgo.

En realidad, en el contexto de una aplicación profunda de nuevas tecnologías como la inteligencia artificial (IA), la lógica de protección de la seguridad de los datos en la industria financiera ha experimentado una transformación fundamental.

El responsable de tecnología de Jiajie Yunxing Technology, una empresa de operación y despacho de inteligencia de computación, le dijo al reportero: “El mayor impacto para la construcción de seguridad de datos en los bancos en la era de la IA es que la estrategia de seguridad debe desplegarse dinámicamente junto con cada llamada a datos y cada ruta. En la ruta tradicional de acceso a datos de ‘usuario—sistema de aplicaciones—base de datos’, la estrategia de seguridad se construye principalmente en torno al perímetro de red y una sola aplicación. En la era de la IA, la ruta de acceso centrada en agentes de IA se vuelve altamente dinámica: los usuarios invocan diversas herramientas y API a través de los agentes de IA, acceden a recursos de datos empresariales entre sistemas; la planificación de rutas es autónoma y el flujo es entre dominios, haciendo que el control de acceso tradicional basado en perímetro y aplicaciones sea difícil de que funcione. Al mismo tiempo, el riesgo de filtración de datos pasa de un único escenario a concurrir a través de múltiples rutas. Además, para garantizar que el agente complete tareas, otorgar permisos amplios con facilidad puede provocar riesgos como acceso no autorizado por exceder permisos. Todos estos factores están influyendo en la transformación de la estrategia de protección de datos en la era de la IA”.

En la era de la IA, ¿cómo debe cubrir la gestión de la seguridad de los datos en los bancos todo el ciclo de vida de los datos? Zhang Kun considera que los bancos necesitan construir un marco de gobernanza de IA centrado en los datos, mejorando la capacidad de gestión del ciclo de vida de los datos desde múltiples dimensiones. En la fase de recopilación, se debe establecer un mecanismo de evaluación especial para la recopilación de datos de aplicaciones de IA. Para los requisitos de datos de un proyecto de IA, se debe explicar campo por campo el propósito y la necesidad, y seguir el principio de “limitación del propósito + mínimo necesario”. Al mismo tiempo, se deben introducir herramientas automatizadas de detección de cumplimiento para realizar escaneos de privacidad y cumplimiento sobre los datos a ingresar, y establecer un mecanismo de trazabilidad del origen de los datos, para asegurar la “limpieza” y legalidad de los datos de entrenamiento. En la fase de almacenamiento y uso, deberían aplicarse ampliamente tecnologías de mejora de privacidad. En particular, el uso de la tecnología de privacidad diferencial: al añadir ruido matemático a los datos, se impide que un atacante pueda inferir información de privacidad específica de individuos a partir de la salida del modelo. En la fase de intercambio, se debe establecer un mecanismo de gestión de intercambio de datos de precisión basado en escenarios. En función de las características de las aplicaciones de IA, se deben definir el alcance del intercambio de datos, los métodos de intercambio y los requisitos de seguridad en diferentes escenarios. Se pueden adoptar tecnologías como el aprendizaje federado para compartir el valor de los datos preservando la privacidad. En la fase de destrucción, se necesita establecer un mecanismo operativo automatizado e inteligente para el ciclo de vida. Mediante el uso de herramientas automatizadas para marcar y gestionar datos a lo largo de la cadena completa; cuando los datos completen la tarea de entrenamiento de IA o superen el período de retención conforme, el sistema activará automáticamente el proceso de destrucción segura y generará comprobantes de destrucción que no se puedan modificar.

Innumerables noticias e interpretación precisa, todo en la aplicación Sina Finance