Illinois aprueba una ley histórica de seguridad en IA, convirtiéndose en el primer estado en exigir auditorías de modelos fronterizos

Los legisladores de Illinois enviaron el miércoles al gobernador J.B. Pritzker un proyecto de ley histórico sobre seguridad en IA, tras ser aprobado en la Cámara por 110 votos a favor y ninguno en contra, y en el Senado por 52 contra 5. Pritzker ha manifestado públicamente su intención de firmarlo. Con su promulgación, Illinois se convertirá en el primer estado del país en exigir auditorías independientes de terceros sobre las prácticas de seguridad de los grandes desarrolladores de modelos fronterizos de IA.

Qué exige el proyecto de ley

El Senate Bill 315, cuyo título formal es Ley de Medidas de Seguridad en Inteligencia Artificial, se aplica a desarrolladores de IA con ingresos brutos anuales superiores a 500 millones de dólares. Esto abarca a Anthropic, OpenAI, Google DeepMind y Meta AI, entre otros.

Las empresas cubiertas deben crear y actualizar anualmente un marco público que incluya evaluación de riesgos catastróficos, estrategias de mitigación, prácticas de ciberseguridad, gobernanza interna y evaluaciones de terceros. Además de publicar estos marcos, deben detallar cómo identifican y responden a los "incidentes críticos de seguridad" y reportarlos a la Agencia de Manejo de Emergencias de Illinois y al Fiscal General en un plazo de 72 horas desde que tengan motivos suficientes para creer que ocurrió uno. Si el incidente representa un riesgo inminente de muerte o daño físico grave, el plazo se reduce a 24 horas.

El requisito de auditoría es la disposición más relevante del proyecto. A partir del 1 de enero de 2028, los grandes desarrolladores deberán someterse a auditorías anuales independientes de sus prácticas de seguridad, un requisito que no existe a nivel federal ni en ninguna otra ley estatal.

La legislación también incluye protecciones para denunciantes internos que alerten sobre problemas de seguridad, exigiendo a las empresas mantener un proceso anónimo de reporte. El Fiscal General de Illinois obtiene autoridad de ejecución civil sobre las empresas que incumplan.

La política detrás de la votación

La principal promotora del proyecto en el Senado, la senadora demócrata Mary Edly-Allen de Grayslake, ha calificado el actual panorama regulatorio de la IA como "el Lejano Oeste". El representante estatal Daniel Didech, promotor en la Cámara, dijo a sus colegas en el pleno que la IA "tiene el potencial de mejorar drásticamente la calidad de vida de las personas en todo el mundo, pero solo si se despliega y desarrolla de manera responsable".

La votación casi unánime en la Cámara (110-0) refleja un acuerdo bipartidista inusualmente amplio. Los demócratas de Illinois están impulsando un paquete de proyectos de ley relacionados con la IA en esta legislatura, enmarcándolos explícitamente como una respuesta a la inacción federal en la regulación de la IA. Illinois está modelando su enfoque con base en leyes similares de Nueva York y California, con el objetivo de crear un estándar nacional de facto para los estados que decidan adoptarlo.

Lo que significa para la industria

El plazo de 72 horas para reportar incidentes es notablemente agresivo, más estricto, por ejemplo, que la regla de notificación de 72 horas del GDPR y comparable a las normas de divulgación de incidentes de ciberseguridad de la SEC. Para las empresas de IA, definir qué constituye un "incidente crítico de seguridad" será un gran desafío de implementación.

El requisito de auditoría anual obligatoria supone una carga de cumplimiento normativo significativa. Actualmente no existe un ecosistema de auditoría establecido para las prácticas de seguridad de la IA fronteriza, lo que significa que las empresas y los auditores externos tendrán que definir metodologías desde cero antes de la fecha de entrada en vigor en 2028. Ese vacío será un foco inmediato para los organismos de normalización, las firmas de auditoría y la propia industria.

El proyecto se aprobó con el respaldo de varias empresas de IA, lo que sugiere que la industria ve la regulación a nivel estatal como preferible a un mosaico de leyes locales más restrictivas, o como una cobertura frente a una legislación federal menos predecible. Según informó Capitol News Illinois, los defensores describen el SB 315 como "solo el primer paso".