Compliance AI
Compliance regulatorio sobre Claude. Auditable, trazable, en producción.
Asistentes RAG para CNBV, CNSF, SFC y SUSEP. Zero Data Retention, sin entrenamiento de modelos, audit trail con citation a circular oficial. Especialización LATAM de nuestro servicio de AI Implementation.
El problema regulatorio
Más sanciones, más regulación, menos tolerancia al error
La presión regulatoria sobre instituciones financieras LATAM creció dramáticamente en los últimos 24 meses. Las cifras públicas son inequívocas:
MXN 411.8M
Sanciones CNBV en PLD/AML (enero-noviembre 2025)
696 sanciones publicadas — un crecimiento del 192% YoY. Sólo en julio de 2025, CIBanco, Intercam y Vector Casa de Bolsa recibieron MXN 185.7M en 53 sanciones por deficiencias en prevención de lavado de dinero.
COP 500M
Multa SFC a Bancolombia (octubre 2025)
Resolución 1866 de 2025 — falla de 3 días en canales digitales que violó el Régimen de Protección al Consumidor Financiero. Sólo es una muestra: 22 Circulares Externas publicadas por la SFC en 2025, frente a 20 en 2024.
Art. 318, 326-328
CUB México: cloud cross-border requiere autorización CNBV previa
20 días hábiles de autorización previa para servicios de cómputo en la nube cross-border. Esto aplica a todo deployment de IA generativa que procese datos sensibles fuera de México sin marco contractual adecuado.
Frente a este panorama, herramientas de IA consumer (ChatGPT, Copilot, Gemini en su versión web) no son viables para uso productivo en compliance regulado. Tres razones técnicas concretas:
Entrenamiento por defecto sobre datos de usuario
En el plano consumer de la mayoría de los vendors, los prompts y outputs se pueden usar para entrenar modelos salvo opt-out manual. Para una institución regulada que procesa documentación de clientes, esto no es discusión.
Retención de datos no auditable
Ventanas de retención de 30 días o más, sin contratos específicos de eliminación. Sin garantía contractual de qué pasa con un documento de KYC o un correo con datos sensibles después de la consulta.
Ausencia de audit trail con citation a fuente oficial
Un LLM general sin RAG sobre regulación oficial vectorizada puede generar referencias plausibles pero inexistentes a circulares. Cuando llega un auditor, no hay forma de defender la respuesta.
Por qué Claude para compliance
Cuatro razones técnicas concretas
Constitutional AI: razonamiento auditable
Claude se entrena con la metodología Constitutional AI (Bai et al., Anthropic, 2022): un asistente entrenado mediante autocrítica guiada por principios explícitos, no por etiquetas humanas opacas. Para un auditor regulatorio, esto significa que la lógica detrás de una respuesta es defendible.
Ver paper (arXiv 2212.08073) →Context window de 1M tokens
La regulación CNBV / SFC / CNSF completa cabe en memoria sin necesidad de fragmentación agresiva. Las consultas mantienen contexto regulatorio completo, lo que reduce la pérdida de matiz que aparece cuando un sistema RAG chunkea muy finamente.
Docs Anthropic →Alto desempeño en español
Claude Opus 4.1 alcanza el 98.1% del desempeño en inglés sobre Multilingual MMLU en español (Sonnet 4.5: 98.2%; Haiku 4.5: 96.4%). Es desempeño relativo al baseline en inglés, no accuracy absoluta — pero significa que procesar documentación regulatoria en español no introduce degradación material vs. el baseline.
Multilingual support oficial →Zero Data Retention + sin entrenamiento + certificaciones
Para el API comercial, Anthropic no usa inputs ni outputs para entrenar sus modelos (default). Retención por defecto 30 días, configurable a Zero Data Retention para clientes empresariales. Certificaciones SOC 2 Type II, ISO/IEC 27001:2022, ISO/IEC 42001:2023 (primer estándar internacional de AI management), HIPAA BAA disponible.
Anthropic API Data Retention →Lo que construimos
Tres patrones de implementación
Patrones documentados que llevamos a producción. El alcance específico se define en el diagnóstico de la semana 1 según tu regulación, volumen documental y stack actual.
Asistente regulatorio para Compliance Officer
Input: pregunta en lenguaje natural sobre normativa. Output: respuesta con citation exacta a circular + nivel de confianza + audit log completo.
Integraciones: Integraciones típicas: SharePoint, Notion, drives corporativos, SSO via Azure AD.
Timeline: Time-to-production: 10-12 semanas (Discovery + MVP).
Revisión contractual contra circulares vigentes
Input: documento (PDF, Word, contrato). Output: red flags vs. regulación aplicable + recomendaciones + citation. Validación cruzada entre cláusulas y circulares vigentes.
Integraciones: Integraciones típicas: DocuSign, Adobe Sign, SharePoint, AWS S3.
Timeline: Time-to-production: 10-14 semanas según volumen documental.
Detector de cambios regulatorios con alertas semánticas
Input: feed de circulares nuevas (DOF para CNBV, archivo SFC, etc.). Output: alerta segmentada a equipos relevantes con diff semántico contra la regulación anterior — no solo notificación de cambio, sino impacto concreto en políticas internas.
Integraciones: Integraciones típicas: Slack, Microsoft Teams, email, JIRA/ServiceNow para ticket creation automatizada.
Timeline: Time-to-production: 8-10 semanas.
Arquitectura de referencia
Cómo se ve el stack productivo
Capas y componentes — la implementación exacta se adapta a tu infraestructura existente.
Capa de presentación
Frontend web o plugin para Microsoft Teams / Slack. Autenticación vía SSO corporativo (Azure AD, Okta, Google Workspace).
Capa de orquestación
API Gateway con auth + rate limiting + audit logging. Orchestrator que coordina retrieval, llamadas al modelo y construcción de respuesta con citation.
Capa de retrieval
Vector DB (pgvector sobre Postgres, o Pinecone para volúmenes más altos) con embeddings de regulación oficial chunkeados estructuralmente. Re-ranking en retrieval, access control a nivel de chunk si aplica.
Capa de modelo
Claude (Sonnet 4.6 o Opus 4.7 según complejidad) vía AWS Bedrock para clientes con requisitos de data residency, o vía API directa de Anthropic. Las regiones LATAM de Bedrock (São Paulo, México Central) operan vía Global cross-region routing al 17 de mayo de 2026 — la inferencia física sale de la región, lo que se documenta contractualmente.
Capa de auditoría
PostgreSQL con audit log de cada query, contexto recuperado, respuesta del modelo, citation entregada, timestamp y user ID. Diseñado para resistir revisión regulatoria — los logs son la prueba operativa de que el sistema responde dentro de la regulación oficial.
Reguladores que cubrimos
Cobertura LATAM
| Regulador | País | Cobertura típica |
|---|---|---|
| CNBV | México | Bancos, casas de bolsa, fintechs, Sofomes, emisoras (sostenibilidad desde 2025) |
| CNSF | México | Seguros y fianzas (LISF) |
| SFC | Colombia | Bancos, fiduciarias, comisionistas, aseguradoras, fondos de pensiones |
| SUSEP | Brasil | Seguros, planes de previsión privada abierta, capitalización (evaluamos caso a caso) |
¿Tu regulador no está aquí? CNBV/SFC/CNSF/SUSEP son nuestros casos más documentados, pero evaluamos marcos adicionales en el diagnóstico inicial.
Inversión
Vive dentro del framework AI Implementation
Compliance AI es la especialización LATAM de nuestro servicio AI Implementation. El pricing exacto depende del alcance regulatorio (un solo regulador vs. multi-jurisdicción) y del volumen documental a indexar.
Discovery + Arquitectura
$25K – $35K USD
3-4 semanas
Mapeo regulatorio, arquitectura RAG con citation, blueprint de integración con tus sistemas core. Decisión go/no-go al MVP sin compromiso.
MVP funcional
$80K – $150K USD
10-12 semanas
Asistente RAG productivo con citation auditable, audit logs, integración SSO y stakeholders, capacitación al equipo de compliance.
Operación continua
Desde $15K USD / mes
Retainer mensual
Reindexación al ritmo de la regulación, mejoras de citation, expansión a nuevos casos de uso. Parte del paquete Managed AI Operations.
Ver framework completo en AI Implementation · Managed AI Operations
Preguntas frecuentes
Lo que CISOs, compliance officers y CTOs nos preguntan
¿Cómo manejan datos sensibles bajo CNBV o SFC?+
Despliegue sobre AWS Bedrock con enrutamiento desde São Paulo (sa-east-1) o México Central (mx-central-1) — la inferencia física ocurre con Global cross-region routing (no in-region). Esto se documenta en el contrato y se valida con tu equipo legal antes del kick-off. Para clientes con requisitos estrictos de residencia, combinamos Bedrock con Zero Data Retention de Anthropic (ZDR) — los datos del cliente no se almacenan en reposo después de devolver la respuesta del API, salvo cuando la ley o el combate al abuso lo requieran. Para banca en México, también revisamos la aplicabilidad de los Artículos 318, 326, 327 y 328 de la Circular Única de Bancos (CUB), incluyendo la autorización previa de 20 días hábiles para servicios de cómputo en la nube cross-border donde corresponda.
¿El sistema cita la circular exacta de cada respuesta?+
Sí. La arquitectura RAG indexa la regulación oficial al nivel de chunk (CNBV, SFC, CNSF, SUSEP según aplique), y cada respuesta incluye citation a span: número de circular, sección, fecha de publicación, y URL al documento oficial cuando está disponible públicamente. Las respuestas sin cita verificable se rechazan al nivel de retrieval, no al nivel de output — lo que reduce el riesgo de que el modelo invente una referencia regulatoria.
¿Cómo se mantiene actualizado cuando la regulación cambia?+
Suscripción automatizada a las fuentes oficiales (DOF para CNBV/CNSF; archivo de Circulares Externas de la SFC, que publicó 20 circulares en 2024 y 22 en 2025; equivalente para SUSEP). Re-indexación incremental con embeddings versionados y TTL por fuente. Cuando entra una circular nueva, se notifica a los equipos relevantes con diff semántico contra la regulación anterior — opcionalmente vía Slack, Teams o email.
¿Pueden desplegar sobre AWS Bedrock para data residency LATAM?+
Sí, pero con un matiz importante: AWS Bedrock soporta Claude desde São Paulo (sa-east-1) y México Central (mx-central-1), pero al 17 de mayo de 2026 ambas regiones operan exclusivamente vía Global cross-region routing — la inferencia física ocurre fuera de la región. Para clientes con requisitos absolutos de residencia in-region, evaluamos arquitecturas alternativas en el diagnóstico inicial. La feature de Data Residency directa de Anthropic se complementa con esta arquitectura.
¿Qué pasa si el modelo alucina una regulación?+
Tres capas de mitigación. (1) RAG con re-ranking sobre regulación oficial vectorizada — el modelo no recupera contexto fuera del corpus aprobado. (2) Citation API obligatoria: si no hay citation a fuente oficial recuperable, la respuesta se rechaza antes de llegar al usuario. (3) Audit log completo: cada query, contexto recuperado, respuesta y citation se guardan para revisión posterior. Combinado con el enfoque Constitutional AI de Anthropic (Bai et al., 2022), el riesgo de invención regulatoria baja sustancialmente — pero la auditoría humana periódica sigue siendo parte de la operación.
¿Tienen casos de éxito en banca LATAM?+
Estamos cerrando los primeros engagements en banca y fintech LATAM bajo NDA durante 2026. Para validar resultados antes de firmar, después del diagnóstico técnico podemos conectarte con referencias bajo confidencialidad. Como puntos de prueba públicos en financial services globalmente, Anthropic documenta casos como Commonwealth Bank of Australia (fraud, customer service) y AIG (underwriting con tiempo de revisión 5x menor y accuracy del 75% al 90%+). Para evidencia local, te pasamos referencias contractuales una vez avanzado el proceso.
Solicita el diagnóstico de Compliance AI
Llena el formulario y te contactamos en menos de 24 horas hábiles. En la primera llamada repasamos qué reguladores aplican a tu caso. O por WhatsApp con el botón de abajo.
30 minutos para revisar tu marco regulatorio.
En la primera llamada repasamos qué reguladores aplican a tu caso, qué documentación está vectorizable, y cuál de los tres patrones de implementación se alinea con tu objetivo de 90 días. Si no es buen fit, te lo decimos en la misma llamada.
Agendar diagnóstico (30 min)