Como suele pasar con la regulación tecnológica, creo que muchas leyes y proyectos de ley de IA ya están obsoletos y atrasados respecto a la tecnología. Suposiciones de hace unos años llevaron a dependencias de caminos difíciles de desviarse. Muchos avances en IA hoy en día provienen del post-entrenamiento, el andamiaje, el uso de herramientas y la escalada por computación por inferencia: esto significa que, aunque los modelos mejoren con los años, no solo los laboratorios empujan la frontera de lo que es realmente posible, sino muchas empresas innovando en los modelos. Además, muchas mitigaciones como filtros, clasificadores, mecanismos de supervisión, etc., no se aplican al modelo sino al andamiaje de software; como resultado, muchas propuestas legales que esperan mitigar los daños a nivel de modelo no son muy efectivas. La gente se dio cuenta de esto con sesgo hace unos años, y ahora de nuevo con muchas otras preocupaciones. Para mí, estos desarrollos confirman que (a) primero, la carga debe recaer en demostrar que las leyes existentes y la negligencia son insuficientes; muy pocos lo hacen; (b) cuando no lo son y existen lagunas, es mejor optar por una regulación basada en resultados para permitir que una cadena compleja de actores negocie las mitigaciones/intervenciones adecuadas; (c) hacerlo requerirá experiencia en el dominio y considerando las leyes, códigos sectoriales existentes, etc., es decir, no requisitos horizontales abstractos; (d) seguridad del peso del modelo, evaluaciones que sirven como caveat emptor y requisitos básicos de transparencia podrían seguir teniendo sentido a nivel de modelo; (e) se necesitan reguladores capaces que comprendan lo suficientemente a fondo cómo se utiliza la IA en sus verticales. Pero sí, no vas a 'mitigar' amenazas ofensivas de ciberseguridad ni fraudes asistidos por IA ajustando el modelo. Los enfoques basados en entidades tampoco resuelven nada de esto y simplemente asumen que puedes reducir el riesgo (y las mitigaciones asociadas) a unos pocos actores similares, al estilo UE. El problema es que la solución adecuada no es especialmente atractiva y, básicamente, no viene acompañada de la satisfacción de "hemos abordado todo tipo de riesgos mediante una única intervención a gran escala". Y que hacerlo así requerirá enfrentarse a la realidad de la sobrerregulación en muchos sectores y la escasez en otros (¿ciber, biología? depende de tu modelo de amenaza específico).