Os compartimos el cuarto artículo de nuestra saga quincenal, titulado “La inteligencia artificial y las infraestructuras críticas: un enfoque regulador para la seguridad y la eficiencia” de Efrén Díaz Díaz. Responsable de las Áreas de Tecnología y Derecho Espacialdel Bufete Mas y Calvet. Estos artículos sobre el Reglamento Europeo de Inteligencia Artificial (RIA), escritos por los expertos en cada materia del Bufete Mas y Calvet , ayudan a entender y prevenir cómo afectará el RIA a cuestiones fundamentales que impactan la actividad y organización de las empresas y a las personas en el día a día.
En un mundo cada vez más interconectado y dependiente de la tecnología, las infraestructuras críticas juegan un papel fundamental en el funcionamiento de la sociedad. Estas infraestructuras incluyen sistemas esenciales como el suministro de agua, gas, electricidad, transporte y telecomunicaciones. La gestión y operación de estas infraestructuras se están transformando gracias a la inteligencia artificial (IA), una herramienta poderosa que promete optimizar procesos y mejorar la seguridad. Sin embargo, el uso de la IA en estos contextos también conlleva riesgos significativos que deben ser gestionados cuidadosamente.
1. El Reglamento de IA de la Unión Europea
El reciente Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial (Reglamento de Inteligencia Artificial, RIA), establece normas armonizadas para el uso de la IA, con un enfoque particular en las infraestructuras críticas.
Este reglamento reconoce tanto el potencial de la IA para generar beneficios económicos, medioambientales y sociales, como los riesgos asociados a su uso indebido o fallos en su funcionamiento.
2. Beneficios de la IA en Infraestructuras Críticas
La IA puede proporcionar ventajas competitivas esenciales y facilitar resultados positivos en diversos sectores. En el ámbito de las infraestructuras críticas, la IA mejora la predicción de fallos, optimiza la asignación de recursos y personaliza soluciones digitales. Esto se traduce en una mayor eficiencia y seguridad en la gestión de sistemas vitales para la sociedad. El Considerando 4 del RIA enumera diversos ámbitos como “la asistencia sanitaria, la agricultura, la seguridad alimentaria, la educación y la formación, los medios de comunicación, el deporte, la cultura, la gestión de infraestructuras, la energía, el transporte y la logística, los servicios públicos, la seguridad, la justicia, la eficiencia de los recursos y la energía, el seguimiento ambiental, la conservación y restauración de la biodiversidad y los ecosistemas, y la mitigación del cambio climático y la adaptación a él”.
3. Riesgos y clasificación de alto riesgo
El reglamento clasifica los sistemas de IA utilizados en infraestructuras críticas como de alto riesgo debido a las posibles consecuencias de su fallo.
En particular, el RIA pone la atención en los sistemas de IA destinados a ser utilizados como componentes de seguridad en la gestión y el funcionamiento de las infraestructuras digitales críticas que se enumeran en el anexo, punto 8, de la Directiva (UE) 2022/2557, relativa a la resiliencia de las entidades críticas.
Estos riesgos incluyen:
- Peligro para la vida y la salud de las personas: Un fallo en los sistemas de IA podría poner en riesgo la vida y la salud de la población a gran escala al afectar al tráfico rodado o el suministro de agua, gas, calefacción y electricidad.
- Alteración de actividades sociales y económicas: Un mal funcionamiento podría interrumpir significativamente el desarrollo normal de actividades sociales y económicas.
4. Componentes de seguridad
El RIA señala que los componentes de seguridad en infraestructuras críticas son sistemas diseñados para proteger la integridad física de estas infraestructuras y la seguridad de las personas y bienes.
Y aclara que los componentes destinados a ser utilizados exclusivamente con fines de ciberseguridad no deben considerarse componentes de seguridad, y menciona como ejemplos los sistemas de control de la presión del agua o los sistemas de control de las alarmas contra incendios en los centros de computación en la nube.
Estos componentes son esenciales para prevenir fallos que podrían tener consecuencias catastróficas.
5. Principales riesgos sistémicos de los modelos de IA
Los modelos de inteligencia artificial (IA) de uso general presentan una serie de riesgos sistémicos que pueden tener efectos negativos significativos en diversos aspectos de la sociedad.
Estos riesgos pueden surgir en cualquier etapa del ciclo de vida del modelo y están influenciados por varios factores, como el uso indebido, la fiabilidad, la equidad y la seguridad del modelo, así como su nivel de autonomía y acceso a herramientas avanzadas.
Se destacan los siguientes en relación con las infraestructuras críticas, y sobre todo las críticas digitales:
- Accidentes graves y perturbaciones de sectores críticos
Los modelos de IA pueden causar accidentes graves o interrupciones en sectores críticos como la salud, la seguridad pública y las infraestructuras críticas. Un fallo en estos sistemas podría tener consecuencias catastróficas para la vida y la seguridad de las personas.
- Impacto en los procesos democráticos y la seguridad pública
La IA puede influir negativamente en los procesos democráticos y la seguridad pública y económica. Por ejemplo, la difusión de contenidos falsos o discriminatorios puede socavar la confianza en las instituciones y provocar inestabilidad social.
- Difusión de contenidos ilícitos o discriminatorios
Los modelos de IA pueden facilitar la propagación de información ilícita, falsa o discriminatoria, lo que puede tener efectos perjudiciales para las personas y las comunidades. Esto incluye la desinformación y el menoscabo de la privacidad, que amenazan los valores democráticos y los derechos humanos.
- Riesgos químicos, biológicos, radiológicos y nucleares
La IA puede reducir las barreras para el desarrollo, diseño, adquisición o uso de armas químicas, biológicas, radiológicas y nucleares. Esto aumenta el riesgo de que estas tecnologías sean utilizadas de manera indebida o maliciosa.
- Cibercapacidades ofensivas
Los modelos de IA pueden ser utilizados para descubrir, explotar o utilizar operativamente vulnerabilidades en sistemas críticos, lo que podría llevar a ciberataques que comprometan la seguridad de infraestructuras esenciales.
- Autorreproducción y entrenamiento de otros modelos
Los modelos de IA que pueden hacer copias de sí mismos o entrenar a otros modelos presentan riesgos adicionales, ya que pueden perpetuar errores o sesgos y aumentar la dificultad de controlarlos.
- Sesgos y discriminación
La IA puede dar lugar a sesgos dañinos y discriminación, lo que entraña riesgos para las personas, las comunidades y las sociedades. Es crucial abordar estos sesgos para evitar consecuencias negativas.
- Reacción en cadena
Un fallo en un modelo de IA puede desencadenar una reacción en cadena con efectos negativos considerables, afectando a ciudades enteras, sectores de actividad o comunidades completas.
6. Regulación y Supervisión
Para mitigar los riesgos, el reglamento establece que los sistemas de IA de alto riesgo deben someterse a una vigilancia poscomercialización.
Esto garantiza que los proveedores puedan mejorar continuamente sus sistemas y adoptar medidas correctoras oportunas. Además, se requiere que los proveedores registren información detallada en una base de datos de la UE, accesible al público, para aumentar la transparencia y facilitar la supervisión.
En particular, es esencial implementar medidas de mitigación adecuadas, como:
- Evaluación continua de riesgos: Realizar evaluaciones periódicas de los riesgos asociados a los modelos de IA y actualizar las estrategias de mitigación según sea necesario.
- Transparencia y supervisión: Aumentar la transparencia en el desarrollo y uso de la IA, y establecer mecanismos de supervisión robustos para garantizar el cumplimiento de las normativas.
- Desarrollo responsable: Fomentar prácticas de desarrollo responsable que prioricen la seguridad, la equidad y la fiabilidad de los modelos de IA.
- Colaboración internacional: Promover la cooperación internacional para abordar los riesgos globales asociados a la IA y compartir mejores prácticas y conocimientos.
En conclusión, aunque la IA ofrece numerosas oportunidades para mejorar la eficiencia y la seguridad de las infraestructuras críticas, es fundamental gestionar cuidadosamente los riesgos sistémicos asociados. Con una regulación adecuada y un enfoque proactivo, es posible maximizar los beneficios de la IA mientras se minimizan sus riesgos.
7. Excepciones y autorizaciones especiales
En situaciones excepcionales, como amenazas a la seguridad pública o la protección del medio ambiente, las autoridades pueden autorizar el uso de sistemas de IA de alto riesgo sin una evaluación de conformidad previa.
Esta medida permite una respuesta rápida en casos de emergencia, siempre que se solicite la autorización durante o después del uso sin demora indebida.
8. Espacios controlados de pruebas para la IA
El reglamento también propone la creación de espacios controlados de pruebas para la IA.
Estos espacios permiten desarrollar, entrenar y probar sistemas de IA en un entorno regulado, fomentando la innovación y garantizando que los sistemas cumplan con los requisitos de seguridad y eficacia antes de su implementación a gran escala.
9. Conclusión
El Reglamento de IA de la UE subraya la importancia de una regulación estricta y una supervisión continua de los sistemas de IA utilizados en infraestructuras críticas. La IA tiene el potencial de transformar la gestión de estas infraestructuras, pero su implementación debe ser cuidadosamente controlada para proteger la seguridad y el bienestar de la sociedad. Con una regulación adecuada, la IA puede convertirse en una aliada poderosa para mejorar la eficiencia y seguridad de las infraestructuras críticas, asegurando un futuro más seguro y sostenible para todos.
