Les fintechs afronten la versió més exigent del dilema de la IA en serveis financers: els equips volen els guanys de productivitat, els reguladors exigeixen traçabilitat i control de dades, i les dades amb què treballes —transaccions, registres d'identitat, patrons de flux de caixa— són exactament les que no pots enganxar en cap eina pública.
Aquest article explica com desplegar IA de manera privada en una fintech, quins casos d'ús tenen sentit de veritat, per què el compliment és el coll d'ampolla real (no la tecnologia) i com Enclave, combinat amb RAG sobre documentació normativa interna, resol la tensió.
Quins casos d'ús de la IA tenen sentit en una fintech?
La IA no és un martell per a tots els claus. En el context fintech, tres àrees mostren un retorn clar i provat:
Detecció de frau i anàlisi de risc. Els models d'aprenentatge automàtic processen milions de transaccions en temps real i detecten patrons anòmals que un analista humà tardaria hores a veure. PayPal va reduir les pèrdues per frau un 40 % amb ML. El Tresor dels EUA va recuperar 4.000 milions de dòlars en frau el 2024 gràcies a aquests sistemes.
Monitoratge antirentat de diners (AML). Els sistemes d'AML basats en regles generen un volum enorme d'alertes falses positives que consumeixen centenars d'hores d'anàlisi. Els sistemes d'AML amb IA redueixen els falsos positius entre el 70 % i el 95 %, cosa que retalla la càrrega de treball dels analistes fins al 10–20 % del que costa un sistema basat en regles. Proveïdors especialitzats com ThetaRay i Hawk.ai ja operen en aquest espai. El regulador nord-americà FinCEN va avalar explícitament l'ús d'IA i ML per a la monitorització de transaccions al juny de 2024.
Eficiència operativa interna. Cercar normativa, redactar respostes a requeriments de supervisió, sintetitzar circulars, generar informes interns: tasques que avui absorbeixen hores d'analistes qualificats. Un assistent d'IA privat que conegui la teva documentació interna i la normativa aplicable les pot resoldre en qüestió de segons, amb cites exactes.
Un cas d'ús que César García generalment desaconsella a les fintechs més petites: construir models de puntuació creditícia propis des de zero. El cost de dades, infraestructura i compliment del Reglament europeu d'IA (classificació d'alt risc, Annex III) rarament es justifica quan ja existeixen serveis especialitzats.
Per què el compliment i la privacitat són el veritable coll d'ampolla
El 43 % dels equips financers assenyala la incertesa regulatòria com la principal barrera per adoptar IA. No és por a la tecnologia: és una resposta racional al fet que les dades de les fintechs són d'alta sensibilitat i les conseqüències de gestionar-les malament són greus.
El Reglament europeu d'IA i l'Annex III. L'Autoritat Bancària Europea va confirmar el novembre de 2025 que la majoria de sistemes d'IA en fintech són d'alt risc sota l'Annex III del Reglament europeu d'IA. Això inclou la puntuació de crèdit (article 5b) i la monitorització AML en institucions supervisades. Les sancions poden arribar fins a 30 milions d'euros o el 6 % de la facturació global anual. El termini de compliment és el 2 d'agost de 2026, sense excepcions.
Andorra no és UE, però no n'és immune. L'Autoritat Financera Andorrana (AFA) va emetre el juny de 2025 una alerta de ciberseguretat de nivell "Molt Alt", senyal que la seguretat de dades és ja un tema regulatori actiu. Andorra compta amb una decisió d'adequació de la UE i la LQPD (Llei 29/2021), equivalent andorrana del RGPD. Les fintechs amb clients a la UE queden dins l'àmbit territorial del Reglament europeu d'IA. L'Agència Andorrana de Protecció de Dades (APDA) pot imposar multes de fins a 100.000 euros per infraccions molt greus.
La lliçó de Samsung i el que significa per a les fintechs. El 2023, tres enginyers de Samsung van enganxar codi font propietari i transcripcions de reunions internes a ChatGPT públic durant un període de vint dies. Samsung va prohibir l'eina a tota la companyia en qüestió de setmanes. Per a una fintech el risc és major: imagina que algú enganxa dades de transaccions sospitoses, registres KYC o paràmetres d'un model de risc en una eina pública. Aquella exposició no té marxa enrere.
La realitat tècnica: les versions gratuïta i Plus de ChatGPT utilitzen les dades de les converses per entrenar models per defecte. Les versions Enterprise i API no han entrenat amb dades d'usuari des del març de 2023, però el membre mig d'un equip no sap distingir entre versions i fa servir el que té més a mà.
L'article 44 del RGPD restringeix la transferència de dades regulades fora de la UE. Una configuració de RAG local evita completament aquest problema.
Com fer servir IA sense que les teves dades entrinin models de tercers
La resposta és arquitectura de dades privada. Dos enfocaments complementaris cobreixen la majoria de necessitats de les fintechs.
RAG sobre documentació normativa i interna. RAG —Retrieval-Augmented Generation, o generació augmentada per recuperació— és una arquitectura en la qual la IA mai no treballa amb dades en cru. En lloc d'això, construeixes localment un índex vectorial a partir dels teus propis documents (circulars de l'AFA, la LQPD, polítiques internes, contractes amb contraparts), i el model només veu els fragments rellevants recuperats en el moment de la consulta:
- Els teus PDFs normatius es processen localment per crear un índex vectorial.
- Quan un analista fa una pregunta ("Què diu la circular X sobre els límits d'exposició?"), el sistema cerca en aquest índex i passa al model només els fragments pertinents.
- El model respon citant la font exacta. Els documents originals mai no arriben al model en cru; el model mai no els "aprèn".
Resultat: el model respon amb context rellevant i les dades sensibles queden dins del teu perímetre. El servei de consulta de documentació interna de Smart Growth implementa exactament aquesta arquitectura.
Infraestructura de LLM sense entrenament. Plataformes com Azure OpenAI i AWS Bedrock ofereixen accés a models de llenguatge potents —la mateixa tecnologia que hi ha darrere de ChatGPT— amb garanties contractuals que les teves dades no entrenen models, opcions de residència de dades a la UE i registres d'auditoria SOC 2. Són l'alternativa empresarial al ChatGPT públic i superen el filtre de compliment.
Per a una fintech andorrana que treballa amb dades de clients europeus, la combinació de RAG local sobre documentació normativa i inferència a Azure OpenAI o AWS Bedrock és l'arquitectura que supera el filtre de compliance sense sacrificar capacitat.
Per on començar sense frenar compliance?
L'error més habitual a les fintechs és intentar desplegar la IA d'un cop amb un cas d'ús ambiciós —un model de puntuació propi, un motor d'AML construït des de zero— i quedar-se bloquejat en revisions legals durant mesos. L'enfocament que recomana César García és començar pels casos d'ús amb menys risc regulatori i més impacte operatiu.
Pas 1: diagnòstic. Un diagnòstic d'IA cartografia la teva documentació, identifica els fluxos de treball amb més fricció i avalua quins casos d'ús compleixen dos criteris: retorn clar i risc regulatori manejable. Per a una fintech, els candidats habituals són un assistent intern sobre normativa (no és d'alt risc) i l'automatització d'informes interns (tampoc d'alt risc). Els models de decisió sobre clients (d'alt risc sota l'Annex III) venen després, amb el protocol de compliment corresponent en marxa.
Pas 2: pilot privat. Amb els casos d'ús prioritzats, el pilot s'executa amb dades reals en un entorn aïllat: sense accés des d'internet, amb control d'accés per rols i registres d'auditoria des del primer dia. L'equip de compliment pot revisar l'arquitectura abans que res no passi a producció.
Pas 3: avaluació i escalada. Si el pilot funciona, l'escalada és gradual. No cal esperar un sistema perfecte per començar a mesurar el retorn.
El termini del Reglament europeu d'IA per a sistemes d'alt risc és el 2 d'agost de 2026. Si tens o preveus tenir sistemes de puntuació o AML amb IA, el diagnòstic no pot esperar.
Com ho resol Enclave, el ChatGPT privat de Smart Growth?
Enclave és el ChatGPT privat que César García i Smart Growth han desenvolupat per a empreses que no poden fer servir eines públiques amb dades sensibles. Per a una fintech, resol el problema en tres capes:
Capa de privacitat. Les dades mai no surten de la teva infraestructura. Enclave es desplega sobre Azure OpenAI, AWS Bedrock o models de codi obert allotjats als teus propis servidors, segons el nivell de control que necessitis. Sense entrenament amb les teves dades. Sense transferència a tercers no autoritzats.
Capa de coneixement. Enclave es connecta a la teva documentació interna mitjançant RAG: circulars de l'AFA, polítiques de risc, manuals de compliance, contractes. Els analistes pregunten en llenguatge natural i obtenen respostes amb cites exactes. MoraBanc, una de les principals institucions bancàries andorranes, va desplegar un assistent d'atenció al client amb IA a través d'Inbenta i va aconseguir un creixement del 112 % en accessos a la plataforma i del 154 % en volum de transaccions. Que la IA conversacional funcioni en la banca andorrana ja és un fet demostrat.
Capa de traçabilitat. Cada consulta queda registrada: qui ha preguntat, què ha preguntat, què ha respost la IA i quin document ha citat. És el registre d'auditoria que qualsevol inspector de l'AFA o auditor extern pot revisar: no és un afegit posterior, sinó part del disseny des del principi.
Per a les fintechs que treballen amb la solució sectorial d'IA per a fintech de Smart Growth, Enclave s'integra amb els sistemes existents —core bancari, CRM, eines d'informes— mitjançant connectors configurats a mida.
En resum
La IA té un retorn real en fintechs: detecció de frau, reducció de falsos positius en AML, eficiència operativa interna. El problema no és la tecnologia: és el risc d'exposar dades regulades a models de tercers i de desplegar sistemes d'alt risc sense el protocol adequat.
La resposta no és prohibir la IA —això és perdre avantatge competitiu. La resposta és desplegar-la de manera privada:
- RAG sobre normativa interna perquè els analistes obtinguin respostes amb cites exactes sense que les dades surtin del perímetre.
- Infraestructura de LLM sense entrenament (Azure OpenAI, AWS Bedrock) per als casos d'ús avançats.
- Traçabilitat i control d'accés des del primer dia perquè compliance pugui validar-ho.
El primer pas és un diagnòstic delimitat que defineixi quins casos d'ús ofereixen millor retorn i menor risc regulatori. Amb el termini del Reglament europeu d'IA el 2 d'agost de 2026, no hi ha marge per esperar.
Reserva una consulta amb César García i avalua com la teva fintech pot desplegar IA privada sense frenar compliance.