Illinois aprueba SB 315 e impone auditoría anual independiente a Anthropic, OpenAI y Google DeepMind

La Cámara de Representantes de Illinois aprobó el 27 de mayo por 110 a 0 el SB 315, la Ley de Medidas de Seguridad para la Inteligencia Artificial, y envió el texto al escritorio del gobernador J.B. Pritzker, quien declaró públicamente que lo sancionará. El Senado había aprobado la ley el 21 de mayo. Illinois se convierte en el tercer estado de Estados Unidos en regular a los desarrolladores de modelos de frontera, detrás de Nueva York, que aprobó la Ley RAISE, y California, que aprobó la Ley de Transparencia en IA de Frontera (SB 53).

El corazón de la ley: auditoría independiente anual

El SB 315 obliga a los "desarrolladores cubiertos" a contratar auditores terceros independientes anualmente para evaluar los protocolos internos de seguridad. La definición incluye empresas que entrenan modelos por encima de los límites de computación establecidos en la ley, un rango que hoy captura a OpenAI, Anthropic, Google DeepMind, xAI, Meta AI y Mistral. El auditor tendrá acceso a la documentación de los procesos, resultados de pruebas adversariales y métricas de capacidad, según nota de la Transparency Coalition.

La ley establece cuatro obligaciones operacionales concretas. La primera es divulgar informes de auditoría con el nivel de detalle definido por el Departamento de Innovación y Tecnología de Illinois. La segunda es reportar incidentes críticos de seguridad en un plazo corto, estipulado en la normativa complementaria. La tercera es presentar resúmenes periódicos de riesgo de uso interno, en un formato similar a los informes de la Política de Escalado Responsable voluntarios de Anthropic. La cuarta es mantener registros para inspección. Las penalidades civiles son monetarias y aumentan con los ingresos anuales de la empresa.

El mosaico americano y la comparación con Bruselas

La combinación de la Ley RAISE en Nueva York, SB 53 en California y ahora SB 315 en Illinois abarca tres de las cinco economías estatales más grandes y la mayoría del parque computacional declarado por los seis laboratorios objetivo. Para los CISOs de bancos estadounidenses, la próxima ronda de evaluaciones de proveedores de modelos tendrá que comparar informes independientes entre las tres jurisdicciones. La diferencia más visible es el enfoque: California se centra en la computación entrenada, Nueva York se centra en incidentes reportables, e Illinois exige una cadencia fija anual con auditoría independiente.

La lectura europea cambia de tono. La Unión Europea pospuso en mayo para el 2 de diciembre de 2027 la entrada en vigor de los requisitos para la IA de alto riesgo del Anexo III bajo el Digital Omnibus, y la obligación de crear al menos un sandbox nacional se trasladó al 2 de agosto de 2027. El resultado práctico es que, durante 12 a 18 meses, la norma estatal estadounidense estará más cercana a un régimen de auditoría continua que a la norma federal europea. Las empresas francesas y alemanas que habían apostado por el cumplimiento "EU first" ahora necesitan armar un dossier estadounidense antes del europeo. Para Brando Benifei, eurodiputado relator de la Ley de IA, en una entrevista con Politico, "el retraso europeo crea espacio para que terceros definan de hecho el estándar global de auditoría de modelos".

Lo que cambia para consultorías, bancos y gigantes de software

Las Big Four, MBB, Accenture y Capgemini ya tenían equipos de "IA responsable" en fase de expansión para el régimen europeo. El SB 315 abre una nueva vía de ingresos inmediata: auditoría de los protocolos de seguridad en los laboratorios de frontera cubiertos. KPMG, Deloitte y PwC, con licencias de auditoría en Estados Unidos, están posicionadas para competir por el mandato, pero el texto de la ley exige independencia funcional del auditor frente a contratos de tecnología. PwC, que mantiene una asociación comercial con OpenAI en el ámbito empresarial, y Deloitte, con una asociación de reventa con Anthropic, tendrán que estructurar cortafuegos internos antes de competir por contratos de auditoría independiente.

Para los bancos brasileños y europeos que operan OpenAI o Anthropic en producción, el informe anual público se convierte en insumo directo para la evaluación del riesgo de proveedor. Itaú, Bradesco, BTG Pactual y Nubank en Brasil, Deutsche Bank, BBVA, ING, Santander y UBS en Europa, Mizuho y MUFG en Japón, todos operan pipelines críticos sobre modelos de frontera a través de AWS Bedrock o Azure OpenAI. El comité de riesgo operativo necesitará incorporar esta nueva fuente al ciclo de revisión trimestral.

El cronograma que define la lectura de riesgo

El Departamento de Innovación y Tecnología de Illinois necesita publicar regulaciones complementarias en un plazo definido por el texto de la ley, y la primera ventana de auditoría se abrirá 12 meses después de la sanción. Para los laboratorios de frontera que aún discuten internamente qué documentos pueden volverse públicos sin exponer riesgos competitivos, el reloj comenzó a contar el 27 de mayo. Para los clientes corporativos que firmaron MSA con cláusula de "mejores prácticas de la industria" en seguridad de IA, la definición de lo que se considera "práctica de la industria" será auditada por primera vez por un tercero independiente, con publicación obligatoria.

La próxima lectura vendrá de la Casa Blanca. La administración federal ha dicho a los laboratorios que prefiere un estándar nacional único, pero no ha enviado al Congreso un proyecto de ley correspondiente. Cada estado que aprueba su propia ley reduce el margen político para la armonización federal, y Illinois consolida el escenario en el que el régimen estatal se ha convertido en el de facto.