La publicación del estándar ETSI EN 304 223 no solo marca un hito regulatorio en ciberseguridad aplicada a la IA, sino que introduce cambios relevantes en la lógica de protección, explotación y gobernanza de la propiedad intelectual en este campo.
Para las organizaciones que desarrollan, entrenan o integran sistemas de IA, este estándar no es solo una referencia técnica: es un nuevo punto de apoyo —o de exposición— en materia de responsabilidad legal, estrategia de patentes y defensa ante eventuales conflictos.
ETSI EN 304 223 es un estándar técnico europeo, con alcance global, que define los requisitos básicos de ciberseguridad para modelos y sistemas de inteligencia artificial.
Fue publicado por el ETSI (European Telecommunications Standards Institute) y está orientado a establecer un marco común de seguridad para la IA, independientemente del sector o la tecnología específica utilizada.
El estándar establece qué medidas mínimas de ciberseguridad deben cumplirse a lo largo de todo el ciclo de vida de un sistema de IA, incluyendo diseño y desarrollo, entrenamiento de modelos, despliegue, y operación y mantenimiento.
No prescribe una tecnología concreta, sino principios y controles de seguridad que deben estar presentes.
Cuando un estándar define “buenas prácticas”, también empieza a definir qué puede considerarse negligente, insuficiente o jurídicamente cuestionable.
1. Estándares vs patentes: una tensión estructural
Los estándares técnicos, por definición, buscan interoperabilidad y adopción amplia. Las patentes, en cambio, otorgan derechos exclusivos. Cuando un estándar incorpora tecnologías patentadas, surge una tensión clásica:
- ¿Qué partes del estándar pueden estar cubiertas por patentes?
- ¿En qué condiciones deben licenciarse esas patentes?
En este punto, una lectura puramente técnica suele ser insuficiente: identificar si una solución propia puede transformarse en patente esencial o, por el contrario, infringir derechos de terceros, requiere un análisis jurídico especializado desde etapas tempranas.
En el ecosistema ETSI, esto se resuelve mediante el principio FRAND (Fair, Reasonable and Non-Discriminatory), que obliga a los titulares de patentes esenciales al estándar a:
- Declarar sus patentes
- Licenciarlas en condiciones justas y no excluyentes.
Impacto clave: la ciberseguridad de la IA pasa de ser una ventaja competitiva “cerrada” a convertirse, en parte, en infraestructura compartida.
La correcta identificación de obligaciones FRAND —y su impacto en la valorización de la IP— puede marcar la diferencia entre una cartera de patentes estratégica y una fuente inesperada de conflictos contractuales.
2. Patentes esenciales para estándares (SEPs) en IA
ETSI EN 304 223 abre la puerta a una nueva categoría crítica: Standard Essential Patents (SEPs) aplicadas a IA y ciberseguridad.
Esto puede incluir:
- Técnicas de protección contra envenenamiento de datos
- Mecanismos de integridad y trazabilidad de modelos
- Métodos de detección de manipulación o extracción de modelos
Para algunas organizaciones, este escenario representa una oportunidad de monetización; para otras, un riesgo latente de dependencia tecnológica. Distinguir una situación de la otra no es trivial y exige una evaluación legal-técnica integrada.
Las organizaciones que ya tengan patentes en estos dominios podrían:
- Convertirse en licenciantes estratégicos
- Verse obligadas a abrir su IP bajo condiciones FRAND si sus tecnologías resultan esenciales.
Anticipar este escenario permite definir si conviene patentar, licenciar, negociar o rediseñar soluciones antes de que el estándar consolide su adopción.
3. Cambio en la estrategia de patentamiento
Con la estandarización, patentar “el qué” reduce su valor relativo, mientras que gana relevancia patentar:
- El cómo se implementa
- Optimizaciones de performance
- Arquitecturas específicas
- Automatización de controles de seguridad
- Integraciones con pipelines MLOps
Así, la ventaja competitiva se desplaza de la invención aislada a la capacidad de implementación avanzada y escalable
Esta transición suele ser uno de los puntos más delicados para equipos de innovación: no todo lo técnicamente sofisticado es jurídicamente defendible, ni todo lo patentable resulta estratégicamente conveniente.
Aquí, la articulación entre equipos técnicos y asesoramiento legal especializado se vuelve clave para evitar inversiones en activos de IP con bajo retorno o alto riesgo de impugnación.
4. Know-how, trade secrets y software
No todo queda capturado por el estándar ni por las patentes.
Muchas organizaciones optarán por proteger:
- Modelos de evaluación de riesgos
- Herramientas internas de fortalecimiento de IA
- Procesos de monitoreo continuo
Y lo harán mediante secreto industrial (trade secrets), especialmente cuando:
- La divulgación para patentamiento no sea conveniente
- El valor esté en la operación más que en el método
La frontera entre lo que conviene patentar y lo que debe protegerse como secreto industrial es cada vez más fina en entornos de IA, donde el valor suele residir en la operación, el entrenamiento y la mejora continua.
Una estrategia híbrida de IP mal definida puede exponer activos críticos sin generar protección efectiva.
5. Riesgos legales y de compliance
La existencia de un estándar reconocido globalmente cambia el escenario jurídico.
– No cumplir con prácticas de seguridad estandarizadas puede:
- Aumentar la exposición a litigios
- Debilitar la defensa ante incidentes de ciberseguridad
– Cumplir con el estándar puede:
- Funcionar como evidencia de “best effort”
- Reducir riesgos legales y reputacionales
La ciberseguridad de la IA deja de ser solo un tema técnico y pasa a ser un activo legal y reputacional.
En disputas futuras, la pregunta ya no será solo “qué ocurrió”, sino si la organización actuó conforme a estándares reconocidos por la industria.
Cumplir con ETSI EN 304 223 puede funcionar como evidencia de “best effort”, mientras que ignorarlo puede debilitar seriamente una defensa legal ante incidentes de ciberseguridad o uso indebido de IA.
Mirada estratégica final
ETSI EN 304 223 no solo regula la seguridad de la IA: redefine qué puede apropiarse, protegerse y monetizarse en este campo.
En este nuevo contexto, la propiedad intelectual deja de ser un tema aislado del negocio y se convierte en una decisión estratégica que combina tecnología, regulación y riesgo legal.
La diferenciación ya no estará en ignorar el estándar, sino en construir sobre él con una estrategia de propiedad intelectual jurídicamente sólida, capaz de sostener innovación, cumplimiento y valor a largo plazo.
