El mapa regulatorio de IA conversacional en LATAM: lo que un banco necesita saber antes de implementar

Implementar IA conversacional en banca no es solo una decisión tecnológica. Es una decisión regulatoria.

Lo que muchos equipos de innovación bancaria descubren tarde —a veces demasiado tarde— es que detrás de un agente conversacional hay un laberinto normativo distinto para cada mercado. Un laberinto que cambia más rápido de lo que la mayoría de los roadmaps contemplan.

En Delto llevamos más de 15 años trabajando con instituciones financieras en más de 15 países de América Latina. Y lo que vemos con cada proyecto es siempre la misma tensión: equipos de innovación que quieren avanzar rápido, y estructuras de riesgo y legal que necesitan certezas que el entorno regulatorio todavía no terminó de construir.

Este artículo existe para cerrar esa brecha. No es un mapa regulatorio genérico. Es lo que un banco necesita entender —mercado por mercado— antes de poner un agente de IA conversacional en producción.

Por qué los agentes conversacionales tienen una carga regulatoria específica

No todos los usos de IA generan el mismo nivel de atención regulatoria. Un modelo de detección de fraude que corre en el backend tiene un perfil de riesgo completamente diferente al de un agente conversacional que habla directamente con clientes por WhatsApp, toma o sugiere decisiones sobre productos crediticios, y captura datos financieros sensibles en tiempo real.

Esa diferencia importa porque los reguladores la perciben con claridad. Cuando un sistema de IA opera como canal oficial de atención al cliente, entra automáticamente en el radar de tres dimensiones normativas que se superponen:

• Protección al consumidor financiero: el cliente no siempre sabe que está hablando con un agente automatizado, ni entiende cómo ese agente tomó una decisión que lo afecta.
• Privacidad de datos: las conversaciones son, por definición, flujos continuos de datos personales y financieros sensibles.
• Decisiones automatizadas: en varios países ya existe legislación —o jurisprudencia— que exige explicabilidad cuando un sistema de IA impacta en derechos del usuario.

Es por eso que los agentes conversacionales son probablemente el tipo de IA con mayor superficie de exposición regulatoria en la banca retail hoy. Y es exactamente donde los reguladores de la región están poniendo la lupa.

México: sin ley de IA, pero con supervisión activa y un precedente que cambia el juego

México no tiene todavía una ley específica de inteligencia artificial. Hubo una iniciativa presentada en el Senado en abril de 2025, pero sigue sin avances significativos. Lo que sí existe —y aplica hoy— es la supervisión de la CNBV bajo el paraguas de la Ley Fintech de 2018, que incluye provisiones para tecnologías emergentes, y los lineamientos del Banco de México para el uso seguro de IA generativa.

Un dato que ilustra bien el estado de madurez del ecosistema: según una revisión de solicitudes de transparencia de marzo de 2026, el Banco de México es una de las pocas instituciones públicas del país con documentación formal sobre sus sistemas de IA —siete sistemas operativos, con un marco de gobernanza definido. El contraste con el resto del sector público dice mucho.

El precedente más relevante para los bancos llegó en mayo de 2026, cuando la CNBV autorizó a FIDUZ como Asesor en Inversiones Independiente con un modelo de negocio basado en IA, acompañado de un manual de gobernanza que hoy el propio regulador usa como referencia. El mensaje es claro: la CNBV está dispuesta a dialogar con proyectos de IA, pero necesita ver rigor técnico y documentación jurídica sólida del otro lado.

¿Qué significa esto para un banco que quiere implementar IA conversacional en México? Tener documentados los modelos en uso, una política interna de uso responsable de IA generativa, y mecanismos explícitos para evitar sesgos en decisiones automatizadas que toquen al consumidor. PROFECO tiene jurisdicción ahí. La ausencia de una ley específica no elimina esa exposición.

Nivel de exigencia regulatoria actual: Medio — pero en rápida evolución.

Colombia: el regulador que no esperó a que hubiera ley

Colombia es probablemente el caso más interesante de la región, y también el más exigente para quien quiera implementar IA en el sector financiero. No tiene ley general de IA —el Proyecto de Ley 442 se radicó en mayo de 2025 y sigue en proceso— pero tiene a la Superintendencia Financiera (SFC) actuando como si ya la tuviera.

La SFC creó su propio Centro de Excelencia en Inteligencia Artificial. Opera dos entornos de sandbox regulatorio —LaArenera y elHub— para que las entidades puedan probar tecnología en condiciones controladas. En octubre de 2025 lanzó su propia herramienta de IA para detección de lavado de activos. No es un regulador que supervisa desde afuera: es un regulador que adoptó la tecnología y, desde ese lugar, define cómo espera que el sector la use.

A eso se suma el peso de la jurisprudencia: la Corte Constitucional colombiana ya se pronunció dos veces sobre IA. En 2024 estableció que los procesos de decisión que usen IA deben preservar la racionalidad humana. El Consejo de la Judicatura tuvo que emitir el primer protocolo formal de uso de IA en la rama judicial del país. Esos pronunciamientos tienen peso directo en cómo los reguladores sectoriales —incluida la misma SFC— interpretan sus propias obligaciones.

En la práctica, un banco que opera en Colombia necesita: un marco de gobierno de datos alineado con los principios de la SFC, procesos de validación humana documentados en las decisiones de alto impacto, y trazabilidad completa de las interacciones del agente conversacional. Un agente que corre sin esa arquitectura de gobernanza no pasa una revisión de la Superfinanciera.

Nivel de exigencia regulatoria actual: Alto.

Perú: el primer país de LATAM con reglamento de IA vigente — y la banca clasificada como riesgo alto

Perú es el caso más avanzado de la región en términos regulatorios. En septiembre de 2025, el gobierno peruano publicó el Decreto Supremo N° 115-2025-PCM, que aprueba el Reglamento de la Ley N° 31814 y convierte a Perú en el primer país de América Latina con un reglamento general de IA en vigor. Entró a regir el 22 de enero de 2026.

El reglamento clasifica los sistemas de IA en tres niveles de riesgo. Y aquí está la parte que todo equipo bancario debe subrayar: la banca, el scoring crediticio y los programas sociales quedan expresamente clasificados como sectores de riesgo alto. No es una interpretación —está en el texto de la norma.

Para los sistemas clasificados como riesgo alto, las obligaciones son concretas:

1. Transparencia: informar al usuario sobre qué hace el sistema y cómo toma decisiones.
2. Explicabilidad: poder justificar los resultados cuando impactan derechos del usuario.
3. Supervisión humana documentada en decisiones significativas.
4. Análisis de impacto antes de poner el sistema en producción.
5. Cumplimiento estricto de la Ley de Protección de Datos Personales.

El cronograma para el sector financiero vence el 10 de septiembre de 2026. No es una fecha tentativa: es el deadline oficial.

Un punto crítico que vale destacar: Hiperderecho, organización de referencia en derecho digital peruano, alertó que el mayor riesgo no es el reglamento en sí, sino la gobernanza de datos. El reglamento está listo; los datos, en muchos casos, no. Ese es el cuello de botella real para la mayoría de las instituciones.

Nivel de exigencia regulatoria actual: Muy alto — con deadline hard en septiembre 2026.

Argentina: la norma más técnica y detallada de la región, exigible desde 2023

Argentina no tiene ley de IA —hay proyectos en el Congreso que siguen en discusión. Pero lo que sí tiene, desde septiembre de 2023, es la Comunicación "A" 7724 del Banco Central, que es probablemente el instrumento regulatorio más técnico y detallado sobre IA en el sector financiero de toda la región.

Y está vigente. No es un proyecto. No es una guía de buenas prácticas. Es una norma exigible hoy.

La Com. A 7724 obliga a todas las entidades financieras a:

• Identificar y documentar cada uso de IA y machine learning, propio o de terceros.
• Hacer evaluaciones de impacto y definir apetitos de riesgo específicos para cada sistema.
• Analizar, como mínimo, los riesgos sobre la privacidad de los usuarios, la calidad de los datos de entrenamiento, y las posibles discrepancias entre lo que predice el modelo y la realidad.
• Implementar el esquema de tres líneas de defensa para la gestión de riesgos tecnológicos.

Hay un detalle operativo que muchos bancos pasan por alto: esas obligaciones aplican también a los sistemas de IA contratados a terceros. Si el agente conversacional lo provee un vendor externo, el banco necesita cláusulas contractuales que garanticen acceso a la documentación técnica necesaria para cumplir con la norma. No alcanza con confiar en que el proveedor "lo tiene cubierto".

A eso se suma que la Provincia de Buenos Aires publicó en noviembre de 2025 su propio marco de clasificación por riesgo para sistemas de IA, basado en el AI Act europeo, agregando otra capa normativa para las entidades que operan allí.

Nivel de exigencia regulatoria actual: Muy alto — vigente y auditable hoy.

El cuadro comparativo: qué exige cada mercado hoy

Los cinco denominadores comunes que ningún proyecto puede ignorar

A pesar de sus diferencias, México, Colombia, Perú y Argentina comparten una lógica regulatoria: no se trata de frenar la innovación. Se trata de documentación, gobernanza y trazabilidad. En la práctica, eso se traduce en cinco imperativos concretos:

1. Inventario de sistemas antes de implementar uno nuevo. Suena básico, pero la mayoría de los bancos no tienen ese inventario actualizado. Sin saber qué sistemas de IA ya están corriendo, es imposible hacer una evaluación de impacto coherente —ni cumplir con la Com. A 7724 en Argentina.

2. Evaluación de impacto antes del despliegue, no después. El análisis de riesgo no puede ser un paso que se hace para cerrar el proyecto. Tiene que ocurrir antes de que el agente llegue a producción. En Perú, es un requisito normativo explícito. En Argentina y Colombia, es la diferencia entre pasar o no una auditoría.

3. Supervisión humana diseñada de verdad. No como un checkbox formal que no agrega valor. El regulador —especialmente la SFC colombiana— ya sabe distinguir entre una validación humana real y una de papel. Si el agente toma decisiones de alto impacto, tiene que haber una persona en el loop con criterio y responsabilidad documentada.

4. Comunicación transparente al cliente. El usuario tiene que saber que está hablando con un agente de IA y tiene que poder cuestionar una decisión automatizada que lo afecte. Esto no es solo una buena práctica: en Perú es una obligación legal. En Colombia y México, es un riesgo de protección al consumidor activo hoy.

5. Trazabilidad de las conversaciones. Cada interacción del agente debe ser recuperable, auditable y explicable. No solo por el regulador: también para resolver disputas, detectar errores y mejorar el modelo con datos reales.

La ecuación que muchos equipos de innovación tienen invertida

Hay una creencia instalada en muchos equipos de innovación bancaria: que esperar a que "el regulador diga algo" es la opción más segura. Pero cuando Perú ya tiene un reglamento vigente, Argentina tiene una comunicación técnica exigible desde 2023 y Colombia tiene un supervisor que audita activamente sin necesitar ley, esa ecuación se invierte.

Y no es homogénea entre mercados: lo que en Brasil todavía está en proceso legislativo, en Argentina ya es auditable. Lo que en México es una guía de buenas prácticas, en Perú ya tiene un deadline hard.

Los proyectos que nacen con gobernanza incorporada desde el diseño no solo cumplen con el regulador: tienen menos fricciones internas, se aprueban más rápido en los comités de riesgo y legal, y generan más confianza en los equipos que necesitan dar el visto bueno para escalar.

Cómo lo resolvemos en Delto

En Delto, el compliance no es algo que agregamos al final del proyecto. Es parte de la arquitectura desde el día uno.

Nuestra plataforma de IA conversacional para banca está diseñada para operar dentro de los marcos regulatorios de cada país donde nuestros clientes tienen presencia. Eso significa gobernanza de datos documentada, trazabilidad de conversaciones nativa, capacidad de integrar validación humana en los flujos de decisión, y contratos con nuestros clientes que les permiten cumplir con las obligaciones de supervisión sobre sistemas de terceros —como exige la Com. A 7724 en Argentina.

No porque el regulador lo exija —aunque sí lo exige— sino porque es la única forma de que los proyectos de IA conversacional en banca realmente escalen en LATAM sin fricciones ni sorpresas.

Si tu banco está evaluando implementar IA conversacional y quiere entender cómo navegar este mapa regulatorio en tu mercado específico, podemos ayudarte a construir esa arquitectura desde el inicio.