Usar IA en proyectos de banca o fintech es seguro solo si se controlan los datos que entran en cada prompt, se evita cualquier PII y se respetan las políticas internas de la organización. La seguridad no depende del modelo. Depende del criterio de quien lo usa.
Trabajo con IA todos los días pero mi forma de usarla cambia radicalmente cuando el proyecto involucra datos financieros. No es paranoia. Es experiencia acumulada después de años diseñando para bancos donde un dato filtrado puede tener consecuencias regulatorias serias.
Lo primero que aprendí es que un prompt mal escrito puede ser una fuga de información. Parece exagerado pero no lo es. Nunca incluyo nombres reales, números de cuenta, correos electrónicos ni patrones de comportamiento de clientes en ningún prompt. Ni siquiera como ejemplo.
Uso data masking incluso cuando trabajo con información ficticia. Si necesito contexto para que el modelo me dé algo útil, lo abstraigo. Prefiero perder un poco de precisión en la respuesta que tener que explicar un incidente de seguridad.
También soy selectivo con las herramientas. No todo lo que brilla sirve en banca. En proyectos sensibles evito servicios cloud que no tengan acuerdos claros de data retention y que no especifiquen si usan los prompts para entrenar sus modelos.
Cuando es posible uso herramientas locales o entornos empresariales con controles de auditoría. Son más lentos, menos elegantes y a veces frustrantes. Pero en fintech lo que es rápido no siempre es aceptable.
Las políticas internas mandan. Siempre. Si el banco exige logging de prompts, versionado y revisión documentada, se hace sin discusión. La IA no está por encima del compliance. Ningún atajo creativo justifica saltarse un protocolo de seguridad.
He participado en auditorías donde revisaron los prompts usados durante la fase de diseño. No buscaban creatividad. Buscaban riesgos. Querían saber si algo sensible había pasado por un modelo externo y si había documentación que lo respaldara.
Ese nivel de escrutinio cambia cómo piensas. Empezás a escribir prompts como si fueran documentos internos. Cada palabra pesa. Cada ejemplo tiene que estar limpio.
Con el tiempo desarrollé una especie de checklist mental antes de enviar cualquier prompt en un proyecto financiero. Sin datos reales. Sin nombres. Sin montos específicos. Sin contexto que pueda cruzarse con información de producción. Suena tedioso pero se vuelve automático.
La seguridad en IA no es un problema técnico solamente. Es cultural. El modelo no filtra datos por cuenta propia. El problema casi nunca es la herramienta. Es la persona que escribe el prompt sin pensar en las consecuencias.
En fintech un prompt inseguro puede costar más que mil pantallas bonitas.