IRCNF

Illinois acaba de aprobar la primera ley de Estados Unidos que exige auditorías anuales de seguridad para modelos de IA de frontera.

Capitol News Illinois
Compartir:
Illinois acaba de aprobar la primera ley de Estados Unidos que exige auditorías anuales de seguridad para modelos de IA de frontera.

Illinois se ha convertido en el primer estado de Estados Unidos en exigir legalmente auditorías de seguridad independientes anuales para los modelos de IA de frontera — un hito histórico alcanzado precisamente en el momento en que la regulación federal de IA se ha estancado. La Ley de Medidas de Seguridad en Inteligencia Artificial de Illinois, impulsada por el proyecto de ley SB 315, fue aprobada en la Cámara estatal por 110-0 y en el Senado por 52-5 en mayo de 2026. El gobernador J.B. Pritzker ha señalado su intención de promulgarla.

Los márgenes de votación dicen mucho. Una votación de 110-0 en la Cámara no es un resultado reñido: es una declaración. Independientemente de los desacuerdos entre los legisladores de Illinois, encontraron un consenso casi unánime en que los desarrolladores de IA de frontera deben rendir cuentas bajo la ley estatal.

Lo que exige la ley

SB 315 crea cinco obligaciones interconectadas para las empresas cubiertas, vigentes a partir del 1 de enero de 2027, y el requisito más exigente — auditorías obligatorias de terceros — entra en vigor el 1 de enero de 2028:

  1. Marco de seguridad para IA de frontera: Las empresas cubiertas deben publicar anualmente un marco de seguridad integral que documente evaluaciones de riesgos catastróficos, estrategias de mitigación, protocolos de ciberseguridad, estructuras de gobierno y resúmenes de evaluaciones de terceros. Esto no es un ejercicio superficial: exige que las empresas articulen públicamente qué podría salir mal con sus modelos más potentes y qué están haciendo al respecto.
  2. Informes de transparencia: Antes de implementar un nuevo modelo de frontera o modificar significativamente uno existente, las empresas deben publicar un informe de transparencia. Esto crea una capa de rendición de cuentas previa a la implementación que actualmente no existe a nivel federal.
  3. Auditorías de seguridad anuales obligatorias por terceros independientes: Esta es la disposición que hace que SB 315 sea históricamente significativa. Ningún estado de EE. UU. ha exigido antes auditorías externas independientes de sistemas de IA a este nivel. A partir de 2028, las empresas cubiertas deben someterse a auditorías anuales realizadas por terceros calificados — no revisiones internas, no autocertificaciones, sino escrutinio externo independiente.
  4. Notificación de incidentes: Los incidentes críticos de seguridad deben ser reportados a las autoridades pertinentes. Esto refleja los marcos de notificación de incidentes que ya existen en las industrias de aviación, nuclear y farmacéutica — sectores donde las consecuencias de una falla pueden ser catastróficas.
  5. Protecciones para denunciantes: Los empleados que identifiquen y reporten peligros para la seguridad pública relacionados con los sistemas de IA de su empresa están protegidos contra represalias. Esta disposición reconoce lo que los conocedores de la industria ya saben: las personas con el conocimiento más directo sobre los riesgos de seguridad de la IA son a menudo las que menos pueden hablar públicamente sobre ellos.

La aplicación recae en la Agencia de Manejo de Emergencias de Illinois y la Oficina de Seguridad Nacional, en consulta con el Fiscal General del estado. Las infracciones conllevan sanciones civiles.

A quiénes cubre

La ley se dirige a "grandes desarrolladores de IA de frontera", una categoría definida por aproximadamente 500 millones de dólares o más en ingresos anuales y umbrales de cómputo significativos. En la práctica, esto significa que empresas como OpenAI y Anthropic están explícitamente dentro del alcance.

Lo que hace que la historia legislativa de SB 315 sea realmente inusual es que tanto OpenAI como Anthropic apoyaron públicamente el proyecto de ley. Eso es notable. El patrón dominante en la regulación tecnológica es que la industria regulada presione enérgicamente contra la supervisión, financie coaliciones, presente demandas y advierta sobre consecuencias que matan la innovación. Aquí, dos de las empresas de IA más trascendentales del mundo dijeron, en efecto: esta ley es razonable y la apoyamos.

Hay varias interpretaciones posibles de ese apoyo. Una es un compromiso genuino con la rendición de cuentas en seguridad. Otra es un cálculo estratégico: los grandes actores establecidos con recursos pueden absorber los costos de cumplimiento que aplastarían a competidores más pequeños, usando efectivamente la regulación como un foso. Probablemente sea una mezcla de ambas. De cualquier manera, las ópticas políticas fueron significativas: es difícil argumentar que un mandato de seguridad es un exceso irrazonable cuando las empresas a las que cubre lo están respaldando.

Por qué los estados avanzan mientras Washington se estanca

El momento de la aprobación de SB 315 no es casual. El 21 de mayo de 2026, la administración Trump pospuso una orden ejecutiva federal sobre seguridad de la IA, dejando un vacío regulatorio explícito a nivel nacional. Los estados lo están llenando.

Illinois no actúa en aislamiento. SB 315 se basó en la legislación de seguridad de IA aprobada por Nueva York y California en 2025. El patrón es familiar para cualquiera que haya observado el desarrollo de las leyes ambientales, de privacidad o de protección al consumidor en Estados Unidos: cuando la acción federal se estanca, California actúa primero, otros estados siguen y, eventualmente, Washington adopta un estándar nacional o aprueba legislación federal de prevalencia para recuperar el control.

Las obligaciones de transparencia de la EU AI Act para contenido generado por IA entran en vigor el 2 de diciembre de 2026. La SB 315 de Illinois, vigente a partir del 1 de enero de 2027, coloca a Estados Unidos — a nivel estatal — en una alineación aproximada con el cronograma regulatorio internacional. Ya sea que esa alineación sea deliberada o coincidente, significa que los desarrolladores de IA con sede en EE. UU. enfrentarán plazos de cumplimiento convergentes de múltiples jurisdicciones en la misma ventana de 12 meses.

El problema de la auditoría

NetChoice, el grupo de defensa de la industria tecnológica, planteó objeciones a SB 315 que merecen una atención seria — no porque sean razones para oponerse a la ley, sino porque identifican desafíos de implementación reales que deberán resolverse.

La crítica central: no existen auditores de seguridad de IA certificados. No existen marcos estandarizados reconocidos para auditar modelos de IA de frontera. La ley exige auditorías anuales de terceros a partir de 2028 para sistemas — modelos de clase GPT, modelos de clase Claude — que ninguna infraestructura de auditoría existente está preparada para evaluar.

¿Quién auditará GPT-6? ¿Qué credenciales tendrán? ¿Qué metodología usarán? ¿Qué significa "aprobar" o "reprobar" una auditoría de seguridad de IA? Estas preguntas aún no tienen respuesta, y la ley no las responde. Crea la obligación sin crear la infraestructura.

NetChoice también señaló la vaguedad del estándar de "riesgo catastrófico irrazonable", una frase que suena intuitiva pero es legalmente imprecisa. ¿Qué nivel de riesgo es irrazonable? ¿Comparado con qué línea base? Estas brechas definitorias casi con certeza generarán litigios.

Estas críticas son válidas. También son el tipo de problemas que tienden a resolverse precisamente porque un plazo legal los hace inevitables. Los organismos de normalización, las asociaciones profesionales y las empresas especializadas no suelen desarrollar metodologías de auditoría de IA porque sería bueno tenerlas. Las desarrollan porque una ley exige que las auditorías se realicen antes de una fecha específica.

Qué significa para las empresas de IA

Para las empresas dentro del alcance, el cronograma de cumplimiento es ajustado y los requisitos son sustanciales. El requisito de publicación del marco de seguridad comienza el 1 de enero de 2027 — dentro de menos de siete meses. Eso significa que las empresas cubiertas deben, en cuestión de meses, producir y divulgar públicamente una evaluación integral de riesgos catastróficos para sus modelos más potentes.

En la práctica, una "evaluación de riesgos catastróficos" requiere que las empresas documenten formalmente escenarios en los que sus modelos podrían causar daños graves y a gran escala — y especificar qué controles tienen implementados para prevenir o mitigar esos escenarios. Para las empresas que han estado haciendo este trabajo internamente, el desafío es principalmente de divulgación. Para las empresas que no lo han hecho, el desafío es tanto sustancial como reputacional.

El requisito del informe de transparencia — publicar antes de cada implementación de un nuevo modelo de frontera — crea un punto de presión adicional. Significa que el lanzamiento de un nuevo modelo importante ya no es solo un lanzamiento de producto; también es un evento regulatorio que requiere divulgación documentada de seguridad.

El requisito de auditoría de terceros en 2028 da a las empresas dos años para identificar auditores calificados o ayudar a construir el ecosistema de auditoría que las evaluará. Dado que OpenAI y Anthropic apoyaron el proyecto de ley, tienen cierto incentivo para ayudar a que ese ecosistema se desarrolle, en lugar de llegar a la fecha límite sin auditores creíbles disponibles.

El panorama general

Así es como a menudo comienza la regulación tecnológica trascendental en Estados Unidos: de manera imperfecta, a nivel estatal, con vacíos legales reales y preguntas legítimas de implementación, pero avanzando de todos modos.

La ley de privacidad de datos de California fue criticada por ser vaga y difícil de implementar. Sin embargo, impulsó CCPA, inspiró otras leyes estatales y contribuyó a conversaciones federales sobre privacidad que continúan hoy. GDPR, ampliamente criticado en su aprobación por su carga de cumplimiento, se convirtió en el estándar global de facto en torno al cual incluso las empresas estadounidenses construyeron sistemas.

La SB 315 de Illinois podría seguir una trayectoria similar. Podría convertirse en un estándar nacional de facto si otros estados adoptan marcos similares y las empresas estandarizan su infraestructura de cumplimiento entre jurisdicciones. Podría ser desplazada por una eventual legislación federal — aunque esa legislación federal, si llega, habrá sido moldeada por lo que estados como Illinois, California y Nueva York ya han implementado.

O podría convertirse en una advertencia sobre la regulación prematura: una ley que impone costos reales, no logra los beneficios de seguridad que promete y es silenciosamente revisada o derogada. Eso también es posible.

Lo que no es posible es el statu quo. Los modelos de IA de frontera se están implementando a escala, con capacidades que sus propios desarrolladores reconocen que no comprenden completamente, en un entorno regulatorio donde el gobierno federal se ha retirado explícitamente. Algún tipo de marco de rendición de cuentas siempre iba a llenar ese vacío. En Illinois, acaba de suceder.

Los desarrolladores de IA de frontera tienen ahora hasta el 1 de enero de 2027 para publicar sus marcos de seguridad — y hasta el 1 de enero de 2028 para encontrar auditores que quizás aún no existan. El reloj está corriendo.

Originally reported by Capitol News Illinois. Read the original article for additional details.

View original source
Compartir:
Illinois acaba de aprobar la primera ley de Estados Unidos que exige auditorías anuales de seguridad para modelos de IA de frontera. | IRCNF - Intelligent Reliable Custom Next-gen Frameworks