El sector financiero fue uno de los primeros en aplicar modelos estadísticos a la toma de decisiones, mucho antes de que se hablara de inteligencia artificial. La tarjeta de scoring desarrollada en los años cincuenta ya buscaba lo mismo que hoy persigue un modelo de aprendizaje automático: estimar la probabilidad de que un solicitante no devuelva un crédito. Lo que ha cambiado es la potencia de los métodos, el volumen de datos disponibles y, sobre todo, las exigencias regulatorias sobre cómo se explican y supervisan esas decisiones.
Este artículo se centra en dos aplicaciones donde la IA aporta valor medible en banca y financiación: el riesgo crediticio —decidir a quién prestar y en qué condiciones— y la detección de fraude financiero. Ambas comparten una característica incómoda: trabajan con datos muy desbalanceados, porque la inmensa mayoría de los clientes paga y la inmensa mayoría de las transacciones son legítimas.
Credit scoring y predicción de impago
El objetivo del scoring crediticio es estimar la probabilidad de impago (PD, probability of default) de un solicitante en un horizonte temporal, típicamente doce meses. La definición de «impago» no es trivial: el marco prudencial de Basilea y la normativa de la Autoridad Bancaria Europea fijan el incumplimiento en noventa días de mora o en la improbabilidad de pago. Sobre esa etiqueta se entrena el modelo.
Durante décadas el estándar fue la regresión logística, valorada por su transparencia: cada variable tiene un coeficiente interpretable y el resultado es una probabilidad entre 0 y 1. Hoy conviven con ella modelos de gradient boosting como XGBoost o LightGBM, que capturan interacciones no lineales y suelen mejorar la capacidad discriminante. Esa mejora tiene un coste: son cajas más opacas. Por eso en crédito al consumo la transparencia no es opcional, y técnicas de explicabilidad como los valores SHAP (Shapley Additive Explanations) permiten descomponer cada decisión individual en la contribución de cada variable, requisito casi imprescindible para justificar una denegación ante el cliente y ante el supervisor.
En la banca minorista persiste, además, una herramienta intermedia muy útil: el scorecard construido sobre regresión logística con variables transformadas mediante weight of evidence (WoE). La técnica discretiza cada variable continua en tramos y sustituye cada tramo por un valor que mide su poder predictivo, lo que aporta dos ventajas: linealiza la relación con el riesgo y produce una tarjeta de puntuación que un analista de riesgos puede leer e interpretar tramo a tramo. Esa interpretabilidad explica por qué, pese a la irrupción de modelos más potentes, muchas entidades mantienen scorecards de regresión en sus decisiones de concesión: la diferencia de discriminación frente a un modelo de boosting puede ser pequeña, mientras que la diferencia de defendibilidad ante el supervisor es enorme. El equilibrio entre potencia y transparencia es, en crédito, una decisión de gobierno tanto como técnica.
Métricas que de verdad importan
Medir un modelo de riesgo por su exactitud (accuracy) es un error clásico: si solo el 3 % de los créditos impaga, un modelo que conceda todo acierta el 97 % y es inútil. Las métricas correctas son otras. El AUC-ROC mide la capacidad de ordenar buenos y malos pagadores; en la banca se usa con frecuencia su primo, el coeficiente Gini (Gini = 2·AUC − 1), donde valores por encima de 0,4 suelen considerarse aceptables en carteras minoristas. El estadístico KS (Kolmogorov-Smirnov) mide la máxima separación entre las distribuciones de buenos y malos. Y por encima de todo está la matriz de coste: aprobar a un moroso (falso negativo) y rechazar a un buen pagador (falso positivo) tienen costes económicos muy distintos, y el umbral de corte debe fijarse optimizando ese coste, no la exactitud.
Detección de fraude financiero
El fraude transaccional plantea un problema de clasificación extremadamente desbalanceado —fracciones de un punto porcentual— y, además, adversarial: el defraudador adapta su comportamiento para evadir las reglas. Frente a los sistemas tradicionales basados en reglas fijas («bloquear si el importe supera X»), los modelos actuales combinan dos familias. Los supervisados aprenden de fraudes históricos etiquetados; los no supervisados, como Isolation Forest o autoencoders, detectan desviaciones del comportamiento normal sin necesitar ejemplos previos, lo que permite captar fraudes nunca vistos. El análisis de grafos añade una capa potente al modelar las relaciones entre cuentas, dispositivos y beneficiarios, revelando redes de mulas financieras que un análisis transacción a transacción no detectaría. Para abordar el desbalance, técnicas de remuestreo como SMOTE generan ejemplos sintéticos de la clase minoritaria durante el entrenamiento.
Un factor decisivo en fraude que no aparece en crédito es la latencia. La decisión de aprobar o bloquear una transacción con tarjeta debe tomarse en pocos milisegundos, mientras el cliente espera en el datáfono. Eso condiciona la ingeniería: el modelo se sirve en tiempo real, las características se calculan al vuelo a partir de un historial reciente (importe medio del cliente, frecuencia de operaciones, distancia geográfica respecto a la última compra) y el sistema debe degradar con elegancia si una fuente de datos no responde a tiempo. Por eso conviven dos capas: una de scoring en tiempo real, rápida y conservadora, y otra de análisis en diferido, más profunda, que revisa patrones a posteriori y alimenta las investigaciones. El coste del falso positivo aquí es muy tangible: bloquear la compra legítima de un buen cliente daña la relación tanto como deja pasar un fraude daña la cuenta de resultados, y el umbral debe calibrarse con esa tensión presente.
El ciclo de vida del modelo: del desarrollo a la monitorización
Un modelo de riesgo no termina cuando alcanza buen rendimiento en validación; ahí empieza su vida útil. La fase de desarrollo fija la variable objetivo, construye el dataset respetando el orden temporal y selecciona el algoritmo. La fase de validación independiente, exigida por las prácticas de model risk management, somete el modelo a backtesting sobre datos no vistos y a pruebas de estrés que simulan escenarios adversos —una recesión, una subida de tipos—. La fase de producción despliega el modelo con controles de versión y trazabilidad de cada decisión. Y la fase de monitorización, la más descuidada y la más crítica, vigila dos derivas: la del propio modelo (su capacidad predictiva se erosiona) y la de la población (los solicitantes de hoy no se parecen a los de hace dos años). El population stability index cuantifica esta segunda; cuando supera el umbral de alerta, el modelo debe recalibrarse o reentrenarse antes de que el deterioro se traslade a la morosidad de la cartera.
Pasos de implementación y gobierno del modelo
- Definir la variable objetivo con rigor. Acordar la definición de impago o de fraude según normativa antes de tocar un solo dato.
- Construir el conjunto de datos con ventana temporal. Separar entrenamiento, validación y test respetando el orden cronológico para no filtrar información del futuro.
- Comprobar el sesgo. Verificar que el modelo no discrimina por variables protegidas ni por sus correlatos (código postal como proxy de origen, por ejemplo).
- Validar de forma independiente. Un equipo distinto al que construyó el modelo lo somete a backtesting y pruebas de estrés, conforme a las guías de model risk management del supervisor.
- Monitorizar la deriva. Vigilar el population stability index para detectar cuándo la población solicitante cambia y el modelo deja de ser válido.
Marco regulatorio aplicable
En la Unión Europea, el Reglamento de Inteligencia Artificial (Reglamento UE 2024/1689, el AI Act) clasifica como sistema de alto riesgo la evaluación de la solvencia y la calificación crediticia de personas físicas, lo que impone obligaciones de gestión de riesgos, documentación técnica, supervisión humana y trazabilidad. A ello se suma el artículo 22 del RGPD, que reconoce el derecho del afectado a no ser objeto de decisiones basadas únicamente en tratamiento automatizado con efectos jurídicos significativos, y a obtener intervención humana y explicación. La Agencia Española de Protección de Datos ha publicado guías concretas sobre estos requisitos. Ignorar este marco no es solo un riesgo reputacional: es un riesgo sancionador directo.
Comparativa de modelos para riesgo crediticio
| Modelo | Capacidad predictiva | Interpretabilidad | Encaje regulatorio |
|---|---|---|---|
| Regresión logística | Media | Alta | Excelente |
| Árboles de decisión | Media | Alta | Bueno |
| Gradient boosting (XGBoost) | Alta | Baja (mitigable con SHAP) | Aceptable con explicabilidad |
| Redes neuronales | Alta | Muy baja | Difícil de justificar |
Preguntas frecuentes
¿Puede una entidad denegar un crédito basándose solo en un algoritmo? El artículo 22 del RGPD obliga a ofrecer intervención humana y explicación cuando la decisión automatizada produce efectos significativos. En la práctica, el modelo recomienda y una persona puede revisar los casos límite.
¿Por qué no usar siempre el modelo más preciso? Porque en finanzas la precisión sin explicabilidad no es admisible regulatoriamente, y un punto de mejora en discriminación no compensa la incapacidad de justificar una denegación ante el supervisor o el cliente.
¿Cómo se evita que el modelo discrimine? Excluyendo variables protegidas, auditando sus correlatos indirectos y midiendo métricas de equidad entre grupos. La ausencia de la variable no garantiza ausencia de sesgo si otra la representa de forma indirecta.
¿Cada cuánto hay que reentrenar un modelo de scoring? No hay un periodo fijo; depende de la deriva de la población. La monitorización continua del population stability index indica cuándo la realidad se ha alejado de los datos de entrenamiento y procede recalibrar.
En Summum Inteligencia Artificial defendemos que en finanzas la mejor decisión de modelado rara vez es la más sofisticada, sino la que equilibra capacidad predictiva, explicabilidad y encaje regulatorio. Un sistema de riesgo crediticio o de detección de fraude solo aporta valor si la entidad puede defender cada decisión ante el cliente, ante el auditor y ante el regulador. La frontera competitiva ya no está en tener el algoritmo más potente, sino en gobernarlo: documentarlo, vigilar su deriva y mantener a la persona como última instancia de control. Esa disciplina es lo que separa un modelo que genera negocio sostenible de uno que acumula pasivos silenciosos hasta que la cartera se deteriora o el supervisor llama a la puerta.