Protegiendo a los peruanos del fraude en la era de la Inteligencia Artificial: Un análisis del Marco Regulatorio y Tecnológico 2025

La proliferación de tecnologías de inteligencia artificial generativa ha catalizado una transformación paradigmática en la ciberdelincuencia, posicionando al Perú en un escenario de riesgo elevado con un incremento del 40% en reportes de cibercriminalidad durante 2024 comparado con el año anterior. Este fenómeno, alineado con proyecciones globales que estiman costos del cibercrimen en 10.5 billones de dólares anuales para 2025, demanda una respuesta estatal articulada que proteja la integridad económica y la seguridad digital de los ciudadanos. La vulnerabilidad específica de América Latina, derivada de su acelerada adopción de servicios financieros digitales sin la correspondiente madurez en infraestructura de ciberseguridad, convierte a la implementación de un marco normativo robusto en una imperativa de política pública. En este contexto, el Estado peruano ha desarrollado una estrategia multilateral que integra reformas penales, regulación sectorial y estándares técnicos para mitigar los riesgos asociados al fraude impulsado por IA.

Las amenazas emergentes se caracterizan por la sofisticación de técnicas como deepfakes, suplantación de identidad automatizada mediante procesamiento de lenguaje natural, y ataques dirigidos a infraestructuras de pagos digitales y billeteras móviles. Estas metodologías explotan la capacidad de los modelos generativos para crear contenido hiperrealista y ejecutar campañas de phishing masivo con personalización nunca antes alcanzable. La Ley N° 32314, aprobada en abril de 2025, representa la respuesta punitiva más contundente al tipificar como agravantes penales aquellos delitos cometidos mediante el uso de tecnologías de inteligencia artificial, incluyendo pero no limitándose a deepfakes, fraude electrónico, pornografía infantil sintética e infracción de derechos de autor. Esta reforma incrementa sustancialmente las penas para delitos cibernéticos e impone un plazo de sesenta días para la promulgación de decretos reglamentarios complementarios, estableciendo un precedente en la región sudamericana.

Complementariamente, la Ley N° 31814, publicada el 9 de septiembre de 2025, constituye el primer marco regulatorio integral de IA en el Perú, adoptando un enfoque de riesgo basado en la metodología europea. Esta normativa clasifica los sistemas de scoring crediticio y evaluación automatizada de préstamos como de alto riesgo, exigiendo transparencia algorítmica, trazabilidad completa e intervención humana obligatoria en decisiones significativas. La normativa fortalece sustancialmente la protección de datos personales mediante la actualización de normativas transfronterizas y la obligatoriedad de notificación inmediata de brechas de seguridad, alineándose con estándares internacionales de privacidad y gobernanza tecnológica. Esta estructura legal bipartita—penal y administrativa—crea un ecosistema regulatorio que no solo sanciona sino que previene mediante diseño ético de sistemas.

El sector financiero ha sido objeto de intervención específica mediante la Resolución SBS N° 2286-2024, que institucionaliza la autenticación de dos factores (2FA) como estándar obligatorio para todas las transacciones con tarjetas de débito y crédito, tanto presentes como no presentes, con plena implementación a partir del 1 de julio de 2025. Esta disposición transfiere la responsabilidad financiera de pérdidas por transacciones no reconocidas directamente a las entidades bancarias, incentivando la adopción de tecnologías de detección de fraude en tiempo real. La medida reconoce que el factor humano representa la vulnerabilidad más crítica; por tanto, la automatización de controles de seguridad mediante IA se convierte en un componente esencial para mitigar riesgos operacionales y protectores del consumidor en un mercado cada vez más digitalizado.

En el ámbito tecnológico, la iniciativa GSMA Open Gateway, lanzada en enero de 2025 por los tres principales operadores móviles—Claro, Entel y Telefónica—introduce una arquitectura de APIs anti-fraude que transforma la capacidad de verificación de identidad en tiempo real. Las APIs de SIM Swap, Device Location, Device Status y Number Verification permiten a las entidades financieras validar la integridad de las comunicaciones y detectar compromisos de dispositivos antes de autorizar transacciones críticas. Esta colaboración intersectorial entre telecomunicaciones y servicios financieros representa un modelo de defense-in-depth aplicado a infraestructura digital, donde la seguridad se convierte en una capa compartida que beneficia a todos los usuarios del ecosistema móvil, independientemente de su proveedor de servicios.

La adopción de inteligencia artificial en el sector bancario y fintech peruano alcanza aproximadamente el 30% de las entidades, con aplicaciones específicas en detección de fraude transaccional, cumplimiento de normativas AML/CFT, y modelado de riesgo crediticio mediante datos alternativos. Estos sistemas implementan machine learning supervisado y no supervisado para identificar patrones anómalos en flujos de transacciones, reduciendo el tiempo de detección de incidentes de horas a milisegundos. El desafío central radica en garantizar la explicabilidad de estos modelos, conforme a los requisitos de la Ley 31814, que demanda que las decisiones algorítmicas sean auditables y comprensibles para reguladores y consumidores finales, estableciendo un equilibrio entre eficiencia operativa y responsabilidad democrática.

No obstante, persisten desafíos significativos en implementación y alfabetización digital. Aproximadamente el 60% de la población peruana carece de conocimientos básicos sobre ciberseguridad, mientras que las pymes exhiben bajos niveles de cumplimiento en controles de protección de datos. Las recomendaciones emergen en tres niveles: ciudadano, empresarial y regulatorio. Los ciudadanos deben habilitar 2FA universalmente, verificar identidades mediante las APIs de operadores móviles ante comunicaciones sospechosas, y reportar incidentes al Centro Nacional de Seguridad Digital, cuya funcionalidad se fortalece con la nueva regulación. Las empresas, particularmente fintech, deben implementar arquitecturas de "human-in-the-loop" para sistemas de alto riesgo, realizar auditorías continuas de modelos, y aprovechar el sandbox regulatorio de la SBS para validar controles anti-fraude en entornos controlados, alineando innovación con cumplimiento normativo.

En sintesis, el Perú ha desarrollado un sistema de defensa en capas contra el fraude con IA que integra de manera coherente reformas penales punitivas, regulación administrativa preventiva, estandarización sectorial financiera e innovación tecnológica colaborativa. La sinergia entre la Ley 32314, la Ley 31814, la Resolución SBS N° 2286-2024 y la iniciativa GSMA Open Gateway constituye un modelo de gobernanza tecnológica proactiva. La efectividad de este marco dependerá de la velocidad de adopción por parte de actores privados, la capacitación masiva en ciberseguridad, y la evolución continua de capacidades de respuesta a medida que los vectores de ataque se vuelvan más sofisticados. La experiencia peruana ofrece lecciones transferibles para otros mercados emergentes que buscan equilibrar la inclusión financiera digital con la seguridad de los consumidores en la era de la inteligencia artificial.

Referencias :

• Resolución SBS N° 2286-2024 y estadísticas de cibercriminalidad 2024-2025

• Marco de reporte de incidentes de seguridad digital : GSMA Open Gateway Perú, lanzamiento enero 2025

• Proyecciones globales de cibercrimen y vulnerabilidad latinoamericana

• Ley N° 31814 de IA y adopción sectorial

• Ley N° 32314 reforma penal para delitos con IA