De asesor a actor: La IA pulsa "pagar" por cuenta propia
Durante más de una década, la inteligencia artificial en el sector financiero ha tenido un solo papel: recomendar. Ahora, ese papel está a punto de cambiar drásticamente. El 16 de febrero de 2026, DBS Bank en Singapur anunció que era el primer banco de la región Asia-Pacífico en haber completado transacciones de pago reales mediante agentes de IA, sin que el cliente confirmara manualmente cada pago individual.
El piloto se lleva a cabo en colaboración con Visa a través de la plataforma Visa Intelligent Commerce (VIC), y las primeras transacciones se realizaron en el segmento de alimentos y bebidas utilizando tarjetas DBS y POSB. El plan es expandirse al comercio electrónico y la reserva de viajes. Según Fintech News Singapore, el sistema utiliza tokenización, autenticación avanzada y límites de transacción definidos por el emisor de la tarjeta —el propio banco— como mecanismos de seguridad.
«Los agentes de IA desbloquean una nueva fase en los pagos digitales. La colaboración con Visa muestra cómo los pagos impulsados por agentes pueden implementarse de forma segura y a gran escala». — Ananya Sen, Directora del Grupo de Productos de Consumo Regionales, DBS Bank
DBS no es ajeno a las iniciativas de IA a gran escala. Según cifras publicadas por la propia empresa, el banco genera entre 565 y 750 millones de dólares en valor a partir de más de 350 casos de uso de IA, una cifra que, según las proyecciones, podría aumentar a 1.500 casos de uso. La detección de fraude ya es un área central: los sistemas de IA del banco logran una precisión del 95 por ciento y reducen el tiempo manual en un 80 por ciento, según los propios informes de DBS.
¿Qué es exactamente un agente de pagos autónomo?
Un agente de pagos de IA es un sistema que no solo analiza situaciones y sugiere acciones, sino que actúa de forma independiente dentro de límites predefinidos. En la práctica, esto significa que el agente puede identificar una situación de pago, evaluar si entra dentro de las instrucciones del usuario y completar la transacción sin solicitar aprobación manual.
La tecnología se basa en conceptos como la IA agéntica y la autorización delegada. Los principales actores tecnológicos ya han comenzado a establecer protocolos para esto: el Universal Commerce Protocol (UCP) de Google, lanzado en enero de 2026, y el Agentic Commerce Protocol de OpenAI requieren pruebas criptográficas de que el usuario ha preaprobado las acciones del agente, precisamente para reducir las disputas y el desplazamiento de la responsabilidad.
La gran pregunta sin respuesta: ¿Quién es responsable cuando algo sale mal?
Aquí, el panorama regulatorio para 2026 es preocupantemente incierto, y es aquí donde los bancos noruegos deberían prestar especial atención.
Un análisis de la Consumer Bankers Association (CBA), publicado en enero de 2026, afirma que la legislación existente —diseñada principalmente para transacciones iniciadas por humanos— crea zonas grises peligrosas para los pagos controlados por agentes. En EE. UU., el cliente podría terminar siendo la parte responsable si el agente de IA se trata como una «herramienta de acceso» que el cliente ha entregado a un tercero (el proveedor de IA), y el agente actúa luego fuera de las instrucciones.
El propio banco se encuentra en una posición intermedia difícil: no son la causa directa del error, pero siguen siendo el primer punto de contacto para las quejas de los clientes, las solicitudes de reembolso y los contracargos. Según el informe de la CBA, los bancos tienen una «visibilidad limitada del comportamiento de la IA de terceros a través de las API», lo que aumenta la exposición al fraude sin que necesariamente conlleve la correspondiente responsabilidad legal.
El bufete de abogados JD Supra resume la situación así: no existen directrices federales para los pagos basados en agentes a principios de 2026. El mismo vacío se aplica en Europa.
Contexto noruego: BankID, PSD2 y un vacío regulatorio
BankID: Construido para humanos, no para agentes
Para los bancos noruegos, BankID es el núcleo absoluto de la identidad digital y la aprobación de pagos. El sistema está construido arquitectónicamente en torno a un principio: el propio cliente autentica cada transacción individual con un código único o biometría. Un agente de IA que actúa de forma autónoma desafía directamente este principio.
Actualmente no existe un marco publicado por el consorcio BankID (operado por Vipps MobilePay) sobre cómo se pueden integrar los agentes de IA de terceros. La Autoridad de Supervisión Financiera de Noruega (Finanstilsynet) supervisa a los actores financieros noruegos y garantiza que las soluciones de banca abierta operen dentro del marco de la PSD2, pero no ha publicado directrices específicas para agentes de IA autónomos en los sistemas de pago.
Existen plataformas de banca abierta en Noruega —la empresa Neonomics, por ejemplo, opera la plataforma de IA Nello AI como AISP (Proveedor de Servicios de Información de Cuentas) con licencia de la Autoridad de Supervisión Financiera y la normativa de la UE— pero sin una integración explícita de BankID para pagos controlados por agentes.
PSD2 y PSD3: Sin excepciones de IA a la vista
La directiva de la UE PSD2 permite que terceros inicien pagos a través de servicios de iniciación de pagos y proporciona una base jurídica. Sin embargo, la Autenticación Reforzada de Clientes (SCA) sigue siendo la regla, no la excepción.
Existen excepciones a la SCA para transacciones de bajo valor inferiores a 30 euros, pagos de suscripciones recurrentes tras la aprobación inicial y transacciones a beneficiarios de confianza, pero ninguna de ellas está diseñada específicamente para agentes de IA, y no existen exenciones específicas para la IA, según análisis de Taylor Wessing y PwC Legal.
La próxima PSD3 y el Reglamento de Servicios de Pago (PSR) asociado refinan el marco de la SCA, pero tampoco introducen excepciones específicas para la IA. Al contrario: según PwC Legal, el enfoque regulatorio en 2026 se dirige hacia el endurecimiento de los controles contra el fraude impulsado por la IA —deepfakes, suplantación de identidad y ataques de phishing automatizados—, no hacia la liberalización para los agentes de IA.
La EBA (Autoridad Bancaria Europea) publicó en junio de 2025 una declaración que clasificaba ciertas actividades criptográficas bajo la PSD2, pero sin tocar la cuestión de los agentes de IA.
Las oportunidades son reales, especialmente en el mercado corporativo
A pesar de las incertidumbres regulatorias, existen oportunidades de negocio sustanciales en la tecnología, especialmente donde los flujos de pago son predecibles y la exposición al riesgo es baja:
- Pago automatizado a proveedores para clientes corporativos, donde los agentes de IA gestionan facturas rutinarias dentro de marcos y límites de importe preaprobados
- Gestión de suscripciones y gastos para clientes particulares, donde el agente optimiza el momento del pago y alerta sobre desviaciones del comportamiento normal
- Detección activa de fraude combinada con acción, donde el agente no solo identifica patrones sospechosos sino que puede detener o marcar transacciones activamente, un área en la que DBS ya ha demostrado valor comercial
DNB ha invertido significativamente en experiencia en IA en los últimos años y cuenta con un punto de partida tecnológico que hace que los proyectos piloto sean realistas. La alianza SpareBank 1 ha explorado la automatización en varias etapas del viaje del cliente. Sin embargo, ambos actores tienen camino por recorrer antes de poder igualar lo que DBS ha demostrado en Asia.
A nivel mundial, el panorama es mixto: según análisis de FutureIoT y Kane Bridge News, por el momento solo una pequeña minoría de bancos traduce realmente las inversiones en IA en un crecimiento medible de los ingresos. La tecnología está disponible; los modelos de negocio y la normativa van a la zaga.
Confianza: El factor humano que nadie puede automatizar
Aunque la tecnología esté madura, la disposición de los clientes a ceder el control es una variable decisiva. Las encuestas europeas del sector bancario muestran que la confianza en la IA en las decisiones financieras está creciendo, pero está condicionada a dos cosas: que los clientes entiendan exactamente lo que el agente puede y no puede hacer, y que existan mecanismos sencillos para revocar los poderes de forma inmediata.
La transparencia y la experiencia del usuario serán, por tanto, tan críticas como la tecnología de IA subyacente. Los bancos que tengan éxito no serán necesariamente los que tengan los modelos más avanzados, sino los que hagan que los pagos autónomos sean comprensibles y reversibles para los clientes comunes.
«A través de Visa Intelligent Commerce, estamos construyendo los cimientos que harán que el comercio por agentes sea seguro, protegido y escalable». — T.R. Ramachandran, Jefe de Productos y Soluciones para Asia Pacífico, Visa
El camino a seguir: Dar forma al desarrollo o ser moldeado por él
El piloto de DBS de febrero de 2026 es un punto de datos temprano en una evolución que se acelerará. La pregunta para los bancos noruegos no es si los agentes de pago autónomos se convertirán en una realidad, sino cuándo llegarán al mercado noruego y si los actores noruegos habrán participado en la configuración de las condiciones marco.
Un primer paso natural para los actores noruegos sería iniciar un diálogo estructurado con el consorcio BankID (Vipps MobilePay) y la Autoridad de Supervisión Financiera sobre las condiciones marco para la autorización delegada, en paralelo con proyectos piloto internos en entornos controlados, preferiblemente en el mercado corporativo, donde los volúmenes de transacciones son predecibles y la exposición al riesgo es manejable.
Quien espere a que la normativa esté terminada antes de empezar a pensar, se encontrará en una posición en la que los estándares de otros ya habrán sido establecidos.