Según una investigación de la asociación de confianza digital ISACA, la mayoría de empresas europeas ha adoptado la IA, pero muchas lo han hecho sin la infraestructura de gobernanza y seguridad necesarias para ello. Así lo señalan los resultados de su estudio AI Pulse Poll 2026, realizado entre profesionales de TI, y que manifiesta una brecha notable entre la adopción de esta tecnología y la preparación de las empresas para gestionar los riesgos asociados a ella.
Un 59% de los encuestados aseguraron no saber con qué rapidez podrían detener sus empresas un sistema de IA en caso de incidente de seguridad. Solo un 21% indicó que podría hacerlo en menos de media hora. Estos datos plantean dudas sobre la preparación operativa en un momento en el que los sistemas de IA de las empresas están cada vez más integrados en procesos clave de negocio.
La ausencia de procedimientos claros de respuesta, por otro lado, tiene implicaciones directas en la exposición regulatoria, el riesgo para la reputación y la continuidad de los procesos y servicios que soportan estos sistemas. El estudio también pone de manifiesto carencias importantes en la capacidad de las empresas para comprender y explicar lo que sucede cuando fallan estos sistemas.
Así, un 42% de los encuestado confía en la capacidad de su organización para investigar y explicar un incidente grave de IA a la dirección o a los reguladores. Pero solo un 11% se muestra completamente seguro de poder hacerlo.
Esto es especialmente relevante a medida que la regulación europea vaya entrando en vigor. El Reglamento de IA de la UE, que en la actualidad está en fase de implementación, establece requisitos explícitos en cuanto a explicabilidad y responsabilidad para las empresas. Estas obligaciones, además de controles técnicos, requieren estructuras de gobernanza y trazabilidad, y sobre todo, profesionales con las competencias necesarias para interpretar y comunicar el comportamiento de los sistemas de IA. La investigación sugiere que estas capacidades no están todavía implementadas a gran escala.
Un 33% de las empresas, por otro lado, no exige a sus empleados que revelen cuándo han usado la IA en sus trabajos, lo que crea grandes lagunas de visibilidad sobre dónde y cómo se usa. Además, un 20% de los encuestados no sabe quién sería el último responsable en caso de que un sistema de IA cause daños, y solo un 38% identifica al Consejo de Administración o a un directivo como responsables. Este dato contrasta con la tendencia en las regulaciones, que sitúa claramente la responsabilidad en los niveles más altos de la organización.
Por otra parte, un 40% asegura que las acciones generadas por IA reciben la aprobación de humanos antes de su ejecución, y un 26% adicional revisa las decisiones a posteriori. Pero sin una infraestructura de gobernanza más amplia que lo respalde, la supervisión humana únicamente no es suficiente para detectar o abordar problemas antes de que escalen.
Los datos sugieren que muchas empresas siguen tratando el riesgo de la IA como algo puramente tecnológico en vez de como un desafío de gobernanza transversal a toda la empresa. Esto no es sostenible, especialmente en un contexto en el que la Ia incluye en cada vez más decisiones, resultados e interacciones con clientes en todos los ámbitos de las empresas.
Chris Dimitriadis, Director de Estrategia Global de ISACA, ha afirmado que «lo que refleja esta investigación es que nuestro impulso por innovar no está acompañado por una voluntad equivalente de gobernar ese cambio, lo que nos expone a riesgos críticos. Las herramientas para gobernar la IA de forma responsable ya existen. La gestión del riesgo, los controles preventivos, los mecanismos de detección y las estrategias de respuesta y recuperación ante incidentes son la base de una buena práctica en ciberseguridad, y deben aplicarse a la IA con el mismo rigor y urgencia. La brecha entre despliegue y gobernanza no se está cerrando, sino ampliando. Las organizaciones deben actuar con rapidez».
Dimitriadis ha añadido que «esto comienza por definir responsabilidades, desarrollar capacidades de respuesta ante incidentes y generar visibilidad sobre el uso de la IA mediante auditorías que fomenten una cultura de supervisión efectiva. Pero cerrar esta brecha no se logrará únicamente mediante cambios en los procesos. Requerirá profesionales con la experiencia necesaria para evaluar rigurosamente el riesgo de la IA, integrar la supervisión a lo largo de todo su ciclo de vida y traducirlo en decisiones que resistan el escrutinio de los consejos de administración y los reguladores. Las organizaciones que lo consigan serán aquellas que prioricen la confianza de clientes y stakeholders y lideren a través de una innovación sostenible».