La conversación sobre IA en los comités de dirección españoles tiene un sesgo grave. Casi todo el tiempo se invierte en discutir qué modelo elegir, qué partner contratar o qué herramienta probar primero. Es la pregunta que más espacio ocupa, no la que más decide.
El riesgo real de adoptar IA en una empresa mediana no vive en el modelo. Vive aguas arriba, en la cadena de dependencias que el modelo necesita para funcionar, y aguas abajo, en la operación que tiene que sostenerlo cuando algo falla.
La buena noticia para la PYME española: gestionar esa cadena no requiere ser Google. Requiere una conversación distinta en el comité, un marco regulatorio que ya está cuajando a favor del que se mueve con criterio (EU AI Act, GDPR y la transposición española en marcha) y una serie de decisiones operativas que caben perfectamente en una agenda de noventa días.
El espejismo del modelo
Cuando un CEO se sienta con su equipo a discutir IA, la pregunta que aparece encima de la mesa suele ser "¿qué modelo usamos?". OpenAI o Anthropic. Modelo abierto o cerrado. Cloud público o privado. La discusión consume horas, presupuestos y atención política.
Es la discusión equivocada. O, al menos, la que menos riesgo carga.
Los modelos hoy son una commodity razonablemente buena, y casi todos sirven para la mayoría de los casos de uso que una PYME va a abordar en los próximos doce meses. Lo que separa a la empresa que captura valor de la que solo gasta es lo que rodea al modelo, no el modelo en sí.
Un dato del MIT que ya hemos citado en este blog lo resume bien: 19 de cada 20 pilotos de IA no llegan a la cuenta de resultados. Fallan porque la cadena que tenía que sostenerlos no estaba en condiciones; el modelo casi nunca es el problema.
La cadena oculta: datos, proveedores, integración y operación
Hay cuatro capas que rara vez aparecen en las reuniones de "estrategia de IA" pero que deciden si esa estrategia va a generar P&L o solo coste.
1. Los datos. El modelo lee lo que tú le das. Si tus datos están dispersos en sistemas que no se hablan entre sí, mal categorizados, con calidad inconsistente y propiedad confusa, ninguna IA te va a salvar. Gartner ha cuantificado esta capa con dureza: el 60% de los proyectos de IA se abandona por datos que no estaban listos. Los datos rara vez son tema atractivo en un consejo, pero son donde realmente se gana o se pierde el caso de negocio.
2. Los proveedores. El modelo no es solo el modelo: también es la nube en la que corre, el proveedor de APIs, el integrador que lo conecta a tu ERP, la herramienta vertical que monta el caso de uso encima. Cada uno de esos eslabones es una dependencia operativa real. Si tu proveedor sube precios, cambia condiciones contractuales o sufre un incidente, tu IA sufre con él. Muchas PYMES están firmando contratos que no han leído porque "esto es estándar del sector", y no siempre lo es.
3. La integración. Una IA aislada en un sandbox no mueve nada. Para que aporte valor tiene que conversar con tu ERP, tu CRM, tu sistema de gestión de almacén, tu plataforma de e-commerce. Cada integración es un punto donde puede romper algo (latencias, formatos, autenticación, permisos) y los equipos pequeños suelen subestimar dramáticamente cuánta operación nueva genera mantener vivas esas integraciones.
4. La continuidad operativa. El día que tu agente conversacional empieza a responder mal a clientes, ¿qué pasa? ¿Tienes un mecanismo de degradación que devuelve la conversación a un humano? ¿Tienes alguien monitorizando outputs sin esperar a que llegue una queja por LinkedIn? La mayoría de las PYMES despliega IA sin red de seguridad operativa porque esa red nunca aparece en la propuesta del vendor.
"El modelo es la parte fácil. Lo difícil es todo lo que el modelo necesita para no convertirse en un riesgo nuevo."
Lo que dice el regulador: EU AI Act, GDPR y la transposición española en marcha
La regulación europea de IA puede convertirse en ventaja competitiva para la PYME bien gestionada, si se entiende a tiempo.
El EU AI Act entró en vigor en agosto de 2024 con un calendario escalonado: las prohibiciones de prácticas inaceptables (manipulación, scoring social, vigilancia biométrica indiscriminada) aplican desde febrero de 2025; las obligaciones para modelos de propósito general (GPAI) entraron en agosto de 2025; las exigencias sobre sistemas clasificados como de alto riesgo van escalonando hasta 2027. Cada empresa que despliega IA en Europa está dentro del calendario, le guste o no.
España ha avanzado más rápido que la media de la UE en construir el aparato supervisor: la AESIA (Agencia Española de Supervisión de la Inteligencia Artificial) opera desde A Coruña como autoridad competente nacional, y la transposición operativa avanza con el anteproyecto de ley de gobernanza de la IA ya en tramitación. La traducción para el directivo es sencilla: el marco se está cerrando, y el plazo en el que era razonable no tener una respuesta se acaba.
Y por debajo, el GDPR sigue mandando sobre todo lo que toque dato personal. Cualquier proveedor de IA que reciba datos de tus clientes está bajo el régimen del responsable y encargado del tratamiento. Si tu vendor entrena modelos con datos de tus clientes sin base jurídica clara, el problema sigue siendo tuyo en última instancia.
La PYME que se toma este marco en serio gana dos cosas. Primero, capacidad de exigir a proveedores con criterio: contratos serios, garantías documentadas, evidencia de cumplimiento. Segundo, un argumento comercial sólido frente a clientes empresariales que cada vez piden más diligencia de cumplimiento a sus proveedores. El cumplimiento, bien hecho, es un canal de ventas.
Los cuatro vectores de riesgo invisibles que importan en la PYME
Si la cadena oculta es el mapa, los siguientes son los lugares donde más arde el fuego en las PYMES que asesoramos.
1. Calidad de datos. Un dato sucio entra en un modelo y sale una recomendación sucia. Multiplicada por el volumen al que opera la IA, lo sucio se vuelve sistémico antes de que nadie se dé cuenta. El primer trabajo serio antes de cualquier despliegue es auditar los datos críticos del caso de uso: trazabilidad, calidad, propiedad, base jurídica de tratamiento. Sin eso, todo lo demás es teatro.
2. Dependencia de vendors. Si tu caso de uso vive enteramente sobre la API de un solo proveedor, ese proveedor controla tu margen. Subida de precios, cambio de condiciones, baja de SLA: tú pagas la factura. La defensa es portabilidad, con contratos con condiciones razonables de salida, abstracciones que permitan cambiar el proveedor sin reescribir la aplicación entera y evaluación periódica de alternativas. Esto no es paranoia, es buena ingeniería contractual.
3. Continuidad operativa. Toda IA en producción es un sistema crítico hasta que se demuestre lo contrario. Necesita monitorización (qué responde, con qué latencia, a quién), mecanismos de degradación (qué pasa si el modelo cae o responde mal) y rutas de escalado humano. Lo que en el mundo IT clásico llamamos un runbook. Si la respuesta a "qué hacemos si esto falla a las 3 de la madrugada" es silencio, no estás listo para producción.
4. Ciberseguridad. Aquí coinciden dos voces serias del 2026: EY apunta a la IA como multiplicador de fuerzas para los atacantes y dependencia defensiva crítica para las empresas, y Klog incluye en sus tendencias 2026 la combinación ciberseguridad-IA y las arquitecturas zero trust. La interpretación operativa es clara: los atacantes ya están usando IA para acelerar phishing, descubrimiento de vulnerabilidades y fraude. Tu IA defensiva no es opcional, y tu IA productiva amplía la superficie de ataque. Cualquier despliegue de IA tiene que pasar por una revisión de seguridad equivalente a la de un sistema crítico, no como un check ceremonial al final.
El contexto institucional de 2026: por qué la resiliencia está subiendo en la agenda
La Estrategia de Tecnología e Innovación 2026 del Ministerio de Defensa, presentada en abril, pone el foco en tres conceptos que cualquier directivo del sector civil debería leer también como suyos: resiliencia operativa, capacidad de adaptación y autonomía tecnológica. Aunque venga del ámbito de Defensa, su lectura aplica a cualquier empresa española: es el riesgo de dependencia que sufrimos hoy.
Para la PYME, esto traducido al lenguaje del comité significa tres preguntas. ¿Qué pasa si mi proveedor de IA crítico se cae una semana? ¿Cuánto tardaría en migrar a una alternativa? ¿Qué porcentaje de mi operación depende hoy de un solo vendor extranjero al que no puedo auditar? Las respuestas honestas suelen incomodar.
El mensaje, dicho sin rodeos: usa IA con un mapa de dependencias que sepas defender en consejo.
Cómo se ve un programa de adopción de IA con riesgo gestionado, sin un IT enorme
Las PYMES que están capturando valor con IA sin tener un departamento de IT a la altura de un IBEX comparten una serie de patrones que conviene reconocer.
Tratan la IA como una decisión de comité, no como un experimento de un equipo. Hay un sponsor ejecutivo que rinde cuentas en consejo, no un entusiasta aislado. Cada caso de uso se aprueba con tres números encima de la mesa: el valor proyectado, el coste total (no solo licencias, también integración y operación) y los riesgos identificados con plan de mitigación.
Eligen un primer caso de uso pequeño, con métrica clara y ROI defendible en noventa días. Buscan el más demostrable, no el más ambicioso, y lo despliegan con monitorización desde el primer día, sin tratarlo como un piloto académico que se mide al final.
Compran advisory senior con foco estratégico en lugar de intentar construir un equipo IA desde cero. Externalizan lo que no es músculo competitivo (infraestructura, modelos base, herramientas verticales) y se concentran en lo que sí lo es: el dato propio, el conocimiento de cliente, los procesos diferenciales. El error clásico es el opuesto, dedicar meses a montar equipo interno mientras la oportunidad se evapora.
Y, sobre todo, ponen el cumplimiento desde el principio en el diseño, en vez de tratarlo como un capítulo final del proyecto. Una IA diseñada para cumplir EU AI Act y GDPR cuesta marginalmente más al inicio y dramáticamente menos cuando llega la auditoría, la queja del cliente o la modificación regulatoria.
Seis imperativos para tu próximo comité de dirección
Si eres CEO, CFO o presidente de consejo en una PYME española, esto es lo que llevaría yo a la próxima reunión donde la IA aparezca en la agenda.
1. Pasa la pregunta de "qué modelo" a "qué cadena de dependencias". Pide al equipo que dibuje en una página la cadena completa de cada caso de uso de IA: datos de origen, proveedor del modelo, integraciones, operación, monitorización, plan de fallo. Si no cabe en una página, no la entendéis.
2. Audita tus datos críticos antes de aprobar el siguiente piloto. No todos los datos, solo los críticos del caso de uso: calidad, propiedad, base jurídica de tratamiento, trazabilidad. Si no pasa esta auditoría, ningún modelo lo va a compensar.
3. Establece una política de portabilidad de proveedores. Define con claridad qué pasa si tienes que cambiar el modelo, el cloud o el integrador en seis meses. Si la respuesta es "se rompe todo", tienes un problema de dependencia que el comité tiene que ver explícitamente.
4. Trata cada IA en producción como un sistema crítico. Monitorización, métricas operativas, mecanismos de degradación, rutas de escalado humano. Una IA en producción sin runbook no está en producción, está en deriva.
5. Construye cumplimiento desde el diseño. EU AI Act, GDPR y AESIA marcan ya el suelo regulatorio. Diseñar el caso de uso con cumplimiento integrado cuesta poco; reparar incumplimiento cuesta mucho. Pide a tu asesor jurídico que se siente con quien dimensiona la solución, no después.
6. Trae músculo senior externo al consejo si no lo tienes dentro. Su trabajo es sostener la pregunta estratégica encima de la mesa (dependencias, riesgos, prioridades y plazos), porque la ejecución ya la cubren tus equipos y tus proveedores. La diferencia entre una conversación de IA con criterio y una con buenismo digital es enorme cuando se mide a doce meses vista.
La oportunidad: por qué la PYME española está mejor posicionada de lo que cree
Hay una narrativa instalada en muchos comités: "esto de la IA es para Google, no para nosotros". Es una narrativa cómoda y equivocada.
La PYME española tiene tres ventajas estructurales para gestionar bien las dependencias invisibles de la IA. Primera, es lo bastante pequeña para que el CEO pueda ver y decidir sobre la cadena completa, algo que en una multinacional pasa por veinte comités. Segunda, opera dentro de un marco regulatorio (EU AI Act, GDPR y AESIA) que penaliza al chapucero y favorece al ordenado. Tercera, el coste de oportunidad de empezar bien es enorme: cada trimestre ordenando datos y dependencias es un trimestre en el que el competidor que solo cambia de modelo se hace más frágil sin saberlo.
Hace falta mover dos cosas a la vez: la mentalidad directiva y el dispositivo de gobernanza. Por eso en Stradiax acompañamos a equipos directivos en dos frentes complementarios: el programa presencial Shift Directivo, para reconfigurar cómo el comité piensa sobre IA y decisión, y los programas de Strategic Advisory y Board Advisory para sostener la pregunta estratégica encima de la mesa cuando la operación quiere comerse el calendario.
La pregunta para tu próximo comité ya no es si adoptar IA. Esa la ha respondido el mercado. La pregunta es si vas a hacerlo viendo la cadena entera o solo el modelo. La empresa que ve la cadena gana; la que solo ve el modelo paga la factura sin saber por qué.
