¿Quién paga cuando tu IA comete un error? El nuevo vacío de responsabilidad que las pequeñas empresas necesitan conocer.

La mayoría de los propietarios de pequeñas empresas que adoptaron herramientas de IA en los últimos dieciocho meses lo hicieron sin cambiar su seguro. Tenía sentido en aquel momento. Las herramientas eran baratas, los proveedores prometían cumplimiento normativo, y nadie hacía preguntas difíciles sobre qué pasa cuando un chatbot da un mal consejo o un filtro de currículums descarta al candidato equivocado.

Esa suposición se está desmoronando ahora. No por una oleada de demandas (aunque esas están llegando), sino porque la industria aseguradora ha decidido que no quiere cubrir la responsabilidad de la IA bajo pólizas estándar.

Qué acaba de cambiar

Los reguladores estatales aprobaron más del 80 por ciento de las solicitudes de las principales aseguradoras para añadir exclusiones de IA a las pólizas de responsabilidad civil general comercial, errores y omisiones, y directores y ejecutivos. Las exclusiones empezaron a aparecer en pólizas renovadas en enero. Florida, Connecticut y Maryland aprobaron el mayor volumen.

El lenguaje varía, pero el patrón es consistente. Si un sistema de IA que despliegas causa daño, tu póliza estándar puede no responder. Eso incluye el asistente de agenda que reserva dos reuniones con clientes a la vez, el algoritmo de precios que viola accidentalmente normas de préstamo justo, el bot de atención al cliente que hace una promesa que tu empresa no puede cumplir, o el sistema de seguimiento de candidatos que filtra grupos protegidos.

El alcance es más amplio de lo que la mayoría de operadores esperan. Las aseguradoras no están excluyendo solo agentes de IA de vanguardia. Las exclusiones a menudo cubren cualquier herramienta de toma de decisiones automatizada, lo que puede incluir la función de autocompletado en tu CRM, el filtro de spam que enruta consultas de clientes, o el modelo de previsión de inventario que alguien construyó en Excel hace tres años.

Por qué las aseguradoras se están retirando

La industria aseguradora ha visto este patrón antes. Hace una década, las empresas argumentaban que los incidentes cibernéticos deberían estar cubiertos bajo pólizas de propiedad y responsabilidad existentes porque esas pólizas no los excluían explícitamente. Algunos de esos argumentos tuvieron éxito. Las aseguradoras respondieron separando lo cibernético de la cobertura estándar y construyendo productos independientes.

La IA está siguiendo la misma trayectoria, pero más rápido. Las aseguradoras no pueden poner precio a un riesgo que no entienden, y la variedad de formas en que las herramientas de IA pueden crear responsabilidad sigue expandiéndose. En lugar de esperar a que las reclamaciones clarifiquen la exposición, las aseguradoras la están excluyendo ahora y creando productos de responsabilidad de IA separados para empresas dispuestas a pagar por ellos.

Esos productos independientes existen, pero son caros e inconsistentes. Las primas van desde unos pocos cientos de euros hasta varios cientos de miles al año, dependiendo de los límites de cobertura (típicamente 2 a 50 millones de euros) y los casos de uso específicos de IA involucrados. La mayoría se están vendiendo a empresas de software que construyen productos de IA, no a pequeñas empresas que usan herramientas estándar.

Dónde está la exposición

Las pequeñas empresas enfrentan responsabilidad de IA desde cuatro direcciones, y la mayoría no tienen cobertura clara para ninguna de ellas.

Primero, está el riesgo operativo directo. Tu herramienta de IA toma una decisión que le cuesta dinero a alguien o le niega una oportunidad. Una solicitud de préstamo es rechazada por un sistema automatizado de suscripción. Un candidato a un puesto es filtrado por un selector de currículums. Un cliente recibe una cotización de precio equivocada de un chatbot. Si esa decisión viola la ley antidiscriminación, normas de protección al consumidor u obligaciones contractuales, tú asumes la responsabilidad.

Segundo, está el riesgo del proveedor. Usas una herramienta de IA de terceros, y esa herramienta falla o produce resultados sesgados. Los términos de servicio del proveedor casi con certeza renuncian a la responsabilidad y la ponen sobre ti como implementador. Tu seguro puede argumentar que deberías haber realizado la debida diligencia antes de adoptar la herramienta. El seguro del proveedor no cubrirá tus pérdidas.

Tercero, está el riesgo de datos y privacidad. Tu equipo mete información de clientes, registros de empleados o datos propietarios en una herramienta de IA que no fue diseñada para manejarlos de forma segura. Los datos quedan expuestos, son mal utilizados o se incorporan a un conjunto de datos de entrenamiento al que nunca accediste. Las pólizas cibernéticas están empezando a limitar o excluir por completo las pérdidas de datos relacionadas con IA.

Cuarto, está el riesgo reputacional y de propiedad intelectual. Tu herramienta de IA genera contenido que infringe los derechos de autor de alguien, imita la marca registrada de un competidor o hace afirmaciones que no puedes sustentar. Estos riesgos se cruzan con la cobertura de lesiones publicitarias, pero las aseguradoras argumentan cada vez más que el contenido generado por IA no encaja dentro de las definiciones tradicionales de póliza.

Qué requieren realmente las regulaciones

El panorama de cumplimiento normativo es un mosaico. Aún no hay ley federal de IA, aunque eso puede cambiar. Lo que existe ahora es una lista creciente de normas estatales que se aplican si haces negocios en esos estados, independientemente de dónde esté ubicada tu empresa.

La ley de Colorado, que entró en vigor el 1 de febrero, requiere que las empresas que despliegan sistemas de IA de alto riesgo (aquellos que afectan decisiones de empleo, vivienda, crédito, salud, educación o seguros) realicen evaluaciones de impacto, implementen cuidado razonable para prevenir discriminación algorítmica, y divulguen a los consumidores cuándo la IA está tomando una decisión consecuente sobre ellos. Las multas llegan hasta 20.000 dólares por violación.

Las normas de California requieren que las empresas notifiquen a los usuarios antes de que un sistema de toma de decisiones automatizado interactúe con ellos, particularmente en contextos de atención al cliente, precios o personalización. Las violaciones conllevan multas de hasta 7.500 dólares cada una, más exposición a demandas privadas bajo la ley de protección al consumidor.

Illinois requiere notificación cuando la IA ayuda con contratación, evaluaciones de desempeño, promociones o acciones disciplinarias. El estado también aprobó normas que requieren divulgación cuando los clientes interactúan con chatbots.

La Ley Local 144 de Nueva York ha estado en vigor desde 2023 y requiere auditorías independientes de sesgo para cualquier herramienta de decisión de empleo automatizada, independientemente del tamaño de la empresa. Una startup de cinco personas que usa un selector de currículums de IA enfrenta la misma estructura de auditoría, notificación y multas que una multinacional.

La mayoría de las pequeñas empresas que usan herramientas de IA no han realizado auditorías de sesgo, no han escrito políticas de uso de IA, y no han evaluado si sus herramientas califican como de alto riesgo bajo ninguno de estos marcos. Ese vacío crea responsabilidad responda o no tu seguro.

Qué hacer antes de la renovación

La próxima vez que el seguro de tu empresa esté por renovarse, tres preguntas importan.

Primero, ¿tu póliza ahora excluye la IA? Lee la sección de exclusiones. Si ves lenguaje que hace referencia a inteligencia artificial, toma de decisiones automatizada, sistemas algorítmicos o aprendizaje automático, tu cobertura probablemente se ha reducido. Pide a tu corredor que explique exactamente qué está excluido.

Segundo, ¿qué herramientas de IA estás usando realmente? Haz una lista. Incluye las obvias (chatbots, servicios de transcripción, generadores de contenido) y las menos obvias (enrutamiento automático del CRM, sistemas de seguimiento de candidatos, herramientas de precios, detección de fraude). Para cada herramienta, identifica qué decisiones toma y qué datos toca.

Tercero, ¿dónde está realmente sentada tu responsabilidad? Para cada herramienta, pregunta si los términos de servicio de tu proveedor ponen la responsabilidad sobre ti como implementador. Pregunta si la herramienta toma decisiones que podrían considerarse de alto riesgo bajo las normas de Colorado, California, Illinois o Nueva York. Pregunta si tu seguro actual respondería si esa herramienta causara daño.

Si la respuesta a la tercera pregunta es no o poco clara, tienes cuatro opciones. Puedes comprar cobertura de responsabilidad de IA independiente (cara, y la disponibilidad es limitada para empresas que no son de software). Puedes dejar de usar las herramientas de mayor riesgo (operativamente difícil si están integradas en tu flujo de trabajo). Puedes implementar controles y documentación para reducir tu exposición (consume tiempo pero es necesario). O puedes aceptar el riesgo y seguir adelante sin seguro (no recomendado, pero es lo que la mayoría de las pequeñas empresas están haciendo actualmente por defecto).

El mínimo de cumplimiento

Si vas a seguir usando herramientas de IA, tres cosas reducen tu exposición de responsabilidad lo cubra o no tu seguro.

Primero, documenta qué estás usando y por qué. Crea un inventario simple de herramientas de IA en uso, qué función empresarial sirve cada una, y quién aprobó la compra. Si alguna vez enfrentas una investigación regulatoria o demanda, poder mostrar que sabías lo que tenías es la base.

Segundo, escribe una política de uso. No necesita ser complicada. Especifica qué pueden y no pueden meter los empleados en herramientas de IA (no datos personales de clientes, no datos empresariales confidenciales, no registros de empleados a menos que la herramienta esté específicamente diseñada para ese propósito). Especifica que los resultados de IA requieren revisión humana antes de enviarse a clientes o usarse en decisiones sobre personas. Asegúrate de que el equipo realmente la ha leído.

Tercero, audita tus herramientas de mayor riesgo. Si usas IA para contratación, préstamos, evaluación de inquilinos, cotización de seguros o precios, obtén una auditoría independiente de sesgo o pide a tu proveedor que proporcione evidencia de que ha hecho una. Si usas IA para decisiones de cara al cliente en Colorado, California o Illinois, confirma que estás proporcionando las notificaciones requeridas. Estos pasos no eliminan la responsabilidad, pero demuestran cuidado razonable, lo cual importa tanto a reguladores como a aseguradoras que deciden si cubrir una reclamación.

La industria aseguradora no se equivoca al tratar la IA como un riesgo distinto. Las herramientas son poderosas, los modos de fallo no se entienden completamente, y el panorama legal todavía se está formando. Pero el vacío entre cuando las aseguradoras excluyen la IA y cuando la cobertura independiente asequible se vuelve ampliamente disponible va a dejar a muchas pequeñas empresas expuestas.

Los operadores que atraviesen ese vacío en mejor forma serán los que trataron el despliegue de IA como una cuestión de gestión de riesgos desde el principio, no solo como una herramienta de productividad que compraron porque todos los demás la estaban comprando.

Relacionado: De ChatGPT a la acción: dar a la IA acceso seguro a los datos de tu empresa • Cuando tu equipo no quiere tocar las herramientas de IA que compraste