OpenAI publica Frontier Governance Framework y fija en US$ 1 mil millones el umbral de riesgo sistémico

OpenAI publicó este jueves el Frontier Governance Framework, un documento formal que mapea sus controles de seguridad y evaluación de riesgos para dos requisitos legales específicos: el Código de Práctica para IA de Uso General (GPAI) de la UE, derivado de la Ley de IA de la UE, y la Transparency in Frontier AI Act (TFAIA) de California. El documento define el riesgo sistémico como cualquier escenario en el que un modelo contribuya a más de 50 muertes o US$ 1 mil millones en daños materiales a partir de un solo incidente, estableciendo la primera escala pública de umbrales de riesgo para los modelos de frontera de la empresa.

Cuatro dominios de riesgo, con umbrales operativos

El marco organiza las amenazas potenciales de los modelos de OpenAI en cuatro dominios: ofensiva cibernética, riesgos CBRN (químico, biológico, radiológico y nuclear), manipulación nociva y pérdida de control. En cada dominio hay tres niveles de riesgo (tiers), con definiciones funcionales. En el dominio CBRN, un modelo de Nivel 3 es aquel que puede habilitar a un especialista para desarrollar un vector de amenaza biológica comparable a un agente de Clase A del CDC americano, o completar de manera autónoma el ciclo de síntesis de una amenaza biológica regulada. La línea entre los tiers define lo que un modelo demuestra en evaluaciones controladas, no lo que podría hacer hipotéticamente.

Por qué ahora, y qué exige cada marco

El momento tiene una razón regulatoria directa. El Código de Práctica GPAI de la UE, derivado de la Ley de IA de la UE, exige que los desarrolladores de modelos entrenados con compute superiores a 10^25 FLOPs publiquen documentación de riesgo sistémico y se sometan a auditorías de terceros. Los modelos GPT-4, GPT-4o y GPT-5 de OpenAI cruzan este umbral computacional. La TFAIA de California, vigente desde el 1 de enero de 2026, cubre a los desarrolladores de modelos entrenados con más de 10^26 FLOPs y a empresas del sector con ingresos anuales superiores a US$ 500 millones; OpenAI se encuadra en ambas condiciones.

OpenAI alinea sus controles de infraestructura con las normas ISO 27001, 27017, 27018 y 27701, además de evaluaciones SOC 2 Tipo II. El marco documenta un Plan de Respuesta a Incidentes de Seguridad de IA (AIRP), con procedimientos de selección, investigación y notificación externa para incidentes graves, y un proceso de acceso independiente para evaluadores externos antes del lanzamiento de modelos que se aproximen a un nuevo tier de riesgo.

Qué cambia para el CIO o CISO que implementa modelos de OpenAI

Para organizaciones que operan GPT-4o o GPT-5 en automatización de procesos o atención al cliente, el marco crea tres obligaciones prácticas indirectas. Los contratos de nivel de servicio y los análisis de riesgo internos necesitan hacer referencia al AIRP de OpenAI como parte de la cadena de respuesta a incidentes. Las auditorías de proveedores de IA requeridas por NIS2 en Europa necesitan verificar la conformidad con los umbrales documentados. Cualquier incidente en el que un modelo contribuya a un daño superior a los umbrales definidos activa obligaciones de notificación a las autoridades regulatorias nacionales.

Tres jurisdicciones, tres lecturas

En la Unión Europea, el plazo de conformidad plena con la Ley de IA de la UE está previsto para agosto de 2026. Para empresas como SAP, Deutsche Telekom y Siemens, que integran APIs de OpenAI en productos industriales y de gestión, el Frontier Governance Framework se convierte en un documento de referencia obligatorio en sus propias evaluaciones de conformidad con la Ley de IA de la UE. La Comisión Europea exige que los desarrolladores de IA de frontera presenten este tipo de documentación a la Oficina de IA antes de la fecha límite de agosto.

En Estados Unidos, la TFAIA de California exige que OpenAI realice evaluaciones de riesgo antes del lanzamiento de modelos de frontera y notifique al Departamento de Tecnología del Estado en caso de incidente grave. El marco documenta los mecanismos por los cuales esta obligación se cumple, lo que reduce el riesgo regulatorio de la empresa en un estado donde la mayoría de los grandes laboratorios de IA tienen sede.

En Brasil, donde el PL 2338/2023 (proyecto de ley de IA) se tramita en el Senado con influencia directa del modelo europeo de evaluación de riesgo sistémico, organizaciones del sector financiero y de salud que ya operan modelos GPT en producción necesitan verificar si las obligaciones descritas en el marco de OpenAI corresponden a lo que la ley brasileña deberá exigir. El Banco Central y la ANPD han observado la Ley de IA de la UE como referencia activa para orientaciones sectoriales sobre gobernanza de IA.

Google, Anthropic y Meta aún no han publicado equivalentes formales vinculados al Código de Práctica GPAI. Si lo hacen, el umbral de US$ 1 mil millones que OpenAI ha fijado como definición de riesgo sistémico puede convertirse en la referencia de facto del sector, con implicaciones directas sobre cómo los reguladores europeos y californianos calibrarán sus propias escalas de responsabilidad.