Preguntas frecuentes.

¿Qué es el EU AI Act y cuándo se aplica?

El EU AI Act (Reglamento (UE) 2024/1689) es la ley europea de IA basada en el riesgo. Las prohibiciones de IA de riesgo inaceptable se aplican desde el 2 de febrero de 2025. La mayor parte de las obligaciones pasan a ser aplicables el 2 de agosto de 2026 — incluidas las obligaciones de transparencia (artículo 50) y de alfabetización en IA (artículo 4). En el marco del paquete Digital Omnibus (posición del Parlamento Europeo adoptada en junio de 2026, pendiente de adopción definitiva), se prevé aplazar a diciembre de 2027 las obligaciones de alto riesgo (anexo III).

¿Qué sistemas se consideran «de alto riesgo»?

El anexo III enumera ocho categorías: biometría, infraestructuras críticas, educación, empleo, acceso a servicios esenciales (incluidos scoring crediticio y tarificación de seguros), aplicación de la ley, migración y administración de justicia. La IA usada como componente de seguridad en productos del anexo I (productos sanitarios, máquinas, etc.) es de alto riesgo por remisión.

¿Qué exige el artículo 12 (registro)?

El artículo 12 obliga a los proveedores de IA de alto riesgo a habilitar el registro automático de eventos que garanticen la trazabilidad durante todo el ciclo de vida. La cadena de auditoría de Noetik está enlazada por hash y es append-only; cada decisión se escribe de forma determinista con la versión de la política, la clasificación y el veredicto.

¿Qué es el artículo 14 (supervisión humana)?

El artículo 14 exige que los sistemas de IA de alto riesgo se diseñen para una supervisión efectiva por personas durante su uso — comprender, vigilar, anular o detener el sistema. La puerta pre-ejecución de Noetik es la capa de anulación: una solicitud que infringe una política dura nunca llega al modelo.

¿Quién es «proveedor» y quién «implementador»?

El proveedor desarrolla el sistema de IA y lo introduce en el mercado, y asume la carga principal de documentación y conformidad. El implementador lo utiliza bajo su autoridad, con obligaciones de uso conforme, registro, supervisión y — en algunos despliegues del sector público — evaluaciones de impacto en derechos fundamentales. Noetik soporta ambos roles.

¿Qué es la norma ISO/IEC 42001?

ISO/IEC 42001:2023 es la norma internacional de sistema de gestión para sistemas de gestión de IA (AIMS) — estructurada como ISO 27001 e ISO 9001, con Plan-Do-Check-Act, gobernanza y controles basados en riesgos. Es la candidata principal a norma armonizada para la dimensión de sistema de gestión del EU AI Act.

¿Qué es el NIST AI RMF y qué funciones cubre Noetik?

El marco NIST de gestión de riesgos de IA define cuatro funciones: Govern, Map, Measure, Manage. La autoría de políticas de Noetik sirve a Govern; el clasificador y el ClarityScore sirven a Measure; la puerta pre-ejecución sirve a Manage. La función Map — contexto, uso previsto, impacto — permanece en el equipo de cumplimiento del cliente.

¿Qué es la gobernanza pre-ejecución?

La gobernanza pre-ejecución evalúa cada solicitud de IA antes de su ejecución frente a una pila de políticas determinista. La diferencia con el monitoreo posterior es causal: la pre-ejecución decide qué se permite; el monitoreo posterior reporta qué ocurrió.

¿Cómo funcionan los veredictos EXECUTE, HOLD y BLOCK?

El motor devuelve uno de tres veredictos. EXECUTE pasa al modelo una solicitud clara y conforme. HOLD devuelve una indicación ClarityFeedback™ que pide al usuario aclarar o corregir su propia entrada, que luego se vuelve a evaluar. BLOCK detiene una solicitud que infringe una obligación no negociable — legal, regulatoria, de seguridad — o la capa de seguridad Tier-1 siempre activa, con un motivo registrado. Los veredictos se producen en orden determinista en cada llamada y cada evaluación queda registrada.

¿Qué es el ClarityScore?

El ClarityScore es una medida numérica determinista de la claridad de la entrada, derivada de señales estructurales explícitas (sintáctica, semántica, afectiva, de política). Dos entradas equivalentes producen siempre la misma puntuación, y gobierna la decisión EXECUTE-frente-a-HOLD. La puntuación se escribe en la cadena de auditoría junto con el veredicto.

¿Qué es una cadena de auditoría a prueba de manipulación?

Cada entrada está enlazada por hash a la anterior (estilo Merkle) y firmada con una clave por instancia. Modificar cualquier entrada histórica invalida todos los hashes posteriores, lo que se detecta en cualquier verificación. La cadena es append-only y exportable para auditoría independiente.

¿PREEXEC es autohospedado o SaaS?

PREEXEC se entrega como motor autohospedado. El cliente lo opera en su propia infraestructura — bare-metal, máquina virtual o contenedor — dentro de su propio perímetro de seguridad. No se envía a Noetik Governance Ltd ninguna solicitud, salida ni dato de auditoría.

¿Qué modelos de IA se admiten?

PREEXEC es agnóstico al modelo. El motor gobierna solicitudes destinadas a cualquier modelo de lenguaje — OpenAI, Anthropic, Mistral, variantes locales de Llama, endpoints alojados por el proveedor. La integración se realiza mediante una capa de adaptadores; el modelo en sí no se modifica.

¿Qué pasa con la latencia y el impacto operativo?

El motor es determinista; el coste crece con la profundidad de la pila de políticas y la complejidad del clasificador. En configuraciones típicas, el coste por llamada es muy inferior al de la propia generación del modelo. El cliente realiza su propio presupuesto de latencia durante el piloto.

¿En qué sectores se centra Noetik?

Sectores regulados con alta exposición a IA de riesgo: banca y servicios financieros (chatbots de asesoramiento, narrativas de decisión crediticia — anexo III), seguros (suscripción, tarificación — anexo III), sanidad (apoyo a decisiones clínicas, IA embebida en productos sanitarios) y administración pública (servicios a la ciudadanía, decisiones de elegibilidad). La pila de políticas se configura por sector.