¿Está listo el EU AI Act para los agentes de IA?

The EU AI Act vs Agentic AI Risks

12 de febrero de 2025 · 6 min de lectura

El EU AI Act, llamado a ser el primer marco regulatorio integral para IA del mundo, busca abordar los riesgos de los sistemas de IA, incluidos los agentes de IA. Sin embargo, frente a los riesgos emergentes de los agentes, todavía hay varias brechas:

  1. Toma de decisiones autónoma: el EU AI Act no cubre por completo los riesgos de la autonomía de los agentes. Aunque se centra en sistemas de alto riesgo, no contempla específicamente la complejidad de la toma de decisiones de agentes autónomos [1][6].

  2. Exposición y exfiltración de datos: los agentes pueden acceder y procesar grandes volúmenes de datos, aumentando el riesgo de fugas. El Act no aborda suficientemente estos riesgos específicos [2].

  3. Consumo de recursos: los agentes pueden consumir recursos significativos y provocar problemas tipo denegación de servicio. El Act no lo cubre de forma explícita [2].

  4. Secuestro de agentes: la posibilidad de que actores no autorizados tomen control de agentes es un riesgo importante no plenamente cubierto [2].

  5. Riesgos de cadena de suministro: el uso de bibliotecas o código de terceros introduce riesgos supply-chain no cubiertos de forma integral [2].

  6. Divergencia entre sector público y privado: el Act aplica reglas distintas en algunos casos, aunque la asimetría de poder creada por IA puede ser similar en ambos sectores [4].

  7. Requisito de intencionalidad: algunas prohibiciones requieren intención, lo que puede dejar huecos ante consecuencias dañinas no intencionales [4].

  8. Alcance limitado de la vulnerabilidad: el foco en edad y discapacidad física/mental puede no proteger frente a manipulaciones basadas en otras características protegidas por derecho europeo de igualdad [4].

  9. Clasificación de riesgo inconsistente: el enfoque basado en riesgo a veces coloca sistemas similares en categorías distintas sin justificación clara [4].

  10. Falta de coherencia con legislación UE existente: hay inconsistencias con GDPR y ePrivacy que pueden generar confusión regulatoria [4][5].

  11. Regulación limitada de agentes totalmente autónomos: falta regulación específica para agentes plenamente autónomos con personalidad jurídica [8].

  12. Toma de decisiones ética: el Act no ofrece directrices completas para asegurar decisiones alineadas con valores humanos y sociales [6].

Para cerrar estas brechas, los responsables políticos podrían actualizar el AI Act para abordar mejor los retos específicos de los agentes: autonomía, potencial de abuso e impacto social amplio [6].

Fuentes:
[1] https://www.ibm.com/think/topics/eu-ai-act
[2] https://www.computerweekly.com/opinion/Gartner-Mitigating-security-threats-in-AI-agents
[3] https://www.ceps.eu/ceps-publications/the-ai-act-and-emerging-eu-digital-acquis/
[4] https://www.europarl.europa.eu/RegData/etudes/STUD/2022/729507/EPRS_STU(2022)729507_EN.pdf
[5] https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai
[6] https://www.weforum.org/stories/2024/12/ai-agents-risks-artificial-intelligence/
[7] https://www.edf-feph.org/publications/eus-ai-act-fails-to-set-gold-standard-for-human-rights/
[8] https://www.linkedin.com/pulse/regulatory-gap-materializes-eus-proposed-ai-act-fully-igor-barshteyn
[9] https://artificialintelligenceact.eu/high-level-summary/
[10] https://www.lumenova.ai/blog/ai-agents-potential-risks/