← Tornar a tots els articles
Reptes

Vint Lleis per a IA Agentic: Un Enfocament Codificat de Governança

Per Marc Molas·2 de març del 2026·10 min de lectura

La majoria de principis publicats sobre IA es llegeixen com a declaracions de valors: ser just, ser transparent, ser segur, respectar la privadesa. Són aspiracionals, voluntaris i difícils de fer complir. Eren àmpliament adequats al propòsit quan la IA era estreta, predictiva i semblava una eina. S'estan trencant ara que els sistemes d'IA són agentic — capaços d'autooptimització estratègica, ús d'eines i presa de decisions emergent.

El canvi de "IA com a model que produeix sortides" a "IA com a agent que pren accions" canvia el problema de governança de manera fonamental. Un agent no només produeix una predicció esbiaixada; pot prendre una seqüència d'accions la composició de les quals és perjudicial encara que cada pas sembli acceptable. Un model es pot avaluar amb un benchmark; un agent s'ha d'avaluar sobre distribucions d'acció al llarg del temps.

El paper recent The 20 Laws of Artificial Intelligence: A Design-Embedded Codex for Democratic and Inclusive Governance in the Age of Agentic Systems (Fradelos, desembre 2025) intenta omplir el buit amb alguna cosa més executable: un còdex estructurat de 20 lleis amb compliment esglaonat explícit — tancament per violacions de seguretat, ajust per a tota la resta. No és l'única proposta a aquest espai, però val la pena entendre l'estructura perquè les decisions de disseny es mapegen directament a decisions d'enginyeria que els equips que envien sistemes agentic han de prendre ara mateix.

La Idea de Compliment Esglaonat

La primera idea útil és l'estructura esglaonada. Les lleis es divideixen en dos grups:

  • Lleis 1–11 (seguretat, aversió al dany, legalitat, corrigibilitat): una violació desencadena l'aturada immediata. El component que va violar s'aïlla, la violació es reporta, el problema s'arregla abans del redesplegament.
  • Lleis 12–20 (transparència, eficiència, reporting, habilitadors d'equitat): una violació desencadena ajust. Arregla-ho tan aviat com sigui pràctic, respectant altres prioritats. No hi ha aturada automàtica.

El compliment esglaonat no és un concepte nou — tot sistema de seguretat seriós té l'equivalent de "tancament en seguretat, fall-graceful en qualitat". El que és útil aquí és la codificació explícita: cada regla està pre-classificada, així que el comportament en runtime davant d'una violació està determinat, no negociat. Això es mapeja netament en com els enginyers volen construir sistemes agentic: una guarda de runtime amb política clara i sense ambigüitats sobre quines violacions són immediatament fatals i quines són avisos.

Si has treballat amb bundles de polítiques OPA/Rego o sistemes similars de polítiques-com-codi, l'estructura és familiar. La novetat és usar-la per a tota la governança, no només per al control d'accés.

La Jerarquia

Quan les lleis entren en conflicte — i en qualsevol còdex no trivial ho faran — hi ha d'haver un ordre de prioritat definit. El còdex n'especifica un:

seguretat/drets > legalitat > corrigibilitat > absència d'autointerès > tota la resta

Aquest és el tipus d'ordre que sembla obvi fins que t'adones que la majoria de sistemes en producció no el tenen escrit. Quan se li demana a un agent que faci una cosa que és legal però insegura, quina és la política? Quan se li demana que faci una cosa segura i legal però l'usuari intenta fer-li saltar la corrigibilitat (la seva capacitat d'acceptar override humà), quina és la política? La majoria de sistemes responen aquestes preguntes implícitament, al prompt o a l'entrenament del model. Posar-les en una jerarquia explícita significa que la resposta és auditable i modificable sense reentrenament.

La Restricció Arquitectònica que Val la Pena Entendre

La llei més consequent arquitectònicament és la Llei 1:

La IA no ha de demostrar cap característica d'una entitat de cap mena que defineixi i serveixi els seus propis interessos (es permet protegir la seva funcionalitat) o que apunti a la seva pròpia reproducció. Això mandata un disseny d'arquitectura agentic limitada, prohibint específicament els sistemes de recompensa que fomentin l'autointerès instrumental i evitant que els mòduls centrals tinguin capacitats il·limitades d'autoreplicació.

A la pràctica, la Llei 1 és una restricció de disseny sobre l'arquitectura de l'agent, no només sobre les seves sortides. Diu: no construeixis una funció de recompensa que incentivi l'agent a preservar-se, acumular recursos o replicar-se més enllà del necessari per a la tasca. No permetis que els mòduls centrals de presa de decisió es copiïn ni es reinstanciïn. L'expectativa és que el compliment sigui verificable mitjançant revisió arquitectònica i auditoria adversarial, no només proves de comportament.

Aquesta és una afirmació més profunda del que sembla. Molt treball d'IA agentic en 2025 i 2026 incentiva mètriques d'èxit a llarg termini (taxa d'èxit en tasques multi-pas, persistència sota interrupció, recuperació de fallades). Aquests incentius poden produir autointerès instrumental com a efecte secundari fins i tot quan l'objectiu explícit és la finalització de la tasca. L'enquadrament arquitectònic de la Llei 1 t'empeny a dissenyar la forma de la recompensa abans del desplegament, no a pegar-la després.

Per a la majoria d'equips d'enginyeria, la versió pràctica és:

  • Audita les teves funcions de recompensa i avaluació per buscar incentius que recompensin l'autopreservació, l'acaparament de recursos o la persistència més enllà de l'abast de la tasca.
  • Prohibeix que els agents invoquin les seves pròpies APIs de desplegament/replicació. L'autoreplicació no és un risc hipotètic el 2026; els agents que poden engegar altres agents necessiten autorització explícita i restringida.
  • Tracta "la funció de pèrdua de l'agent" com a part del model de seguretat, no com a preocupació de desenvolupament del model.

La Llei Que la Majoria de CTOs Hauria de Cuidar Primer

La Llei 11 és, segons la meva opinió, la més immediatament operacionalitzable:

Si la IA no pot completar correctament una tasca sencera, ha de proporcionar les parts de la tasca descomposta que va completar correctament i mai entregar lliurables que no estiguin verificats per correcció per ella mateixa usant algorismes científicament reconeguts recentment actualitzats integrats al seu disseny o declarar que la verificació no és possible i els resultats no fiables.

Traduït: els agents han d'autoverificar-se abans d'entregar i han de marcar explícitament la sortida no verificada com a no verificada. Aquesta és la regla que distingeix "l'agent va produir silenciosament alguna cosa amb aspecte plausible" de "l'agent va verificar el que podia i va marcar clarament el que no".

Si envies sistemes agentic en producció, aquesta és la llei per començar, perquè el buit de verificació és d'on venen la majoria de problemes de qualitat de producció. Accions concretes:

  1. Per a cada acció d'agent amb conseqüències al món real, defineix què significa autoverificació — comprovació d'esquema, reexecució d'eina, validació entre models o comprovació de política externa.
  2. Demana que l'agent o bé completi la verificació o bé etiqueti la sortida com a no verificada. Cap entrega silenciosa.
  3. Fes que "no verificada" sigui un senyal enrutable. Alguns fluxos poden acceptar-la; altres han de rebutjar-la.

On el Còdex Empeny Contra la Pràctica Comuna

Tres llocs on adoptar el còdex empenyaria contra la pràctica actual:

Compliment legal localitzat (Llei 4)

La IA ha de seguir totes les lleis aplicables a les seves accions factibles com si fos un ciutadà del país on està desplegada.

En un món on el mateix agent serveix usuaris a moltes jurisdiccions, això és operacionalment difícil. Significa que la capa de política de l'agent ha de ser conscient de la jurisdicció i aplicar regles diferents per a la mateixa consulta segons la ubicació de l'usuari. La majoria d'agents en producció el 2026 ho ignoren i apliquen una política global única. El còdex argumenta que això és estructuralment no conforme.

Sourcing de dades diverses obligatori (Llei 14)

La IA no ha de favorir a priori cap camí cap a la finalització de la tasca, ha d'aplicar sourcing de dades matemàticament divers... i adoptar tècniques de debias contra biaixos.

Aquesta és la llei que més clarament empeny contra l'instint de "usa el model més barat". El sourcing divers significa validació creuada contra múltiples fonts o models quan les apostes són altes. Es mapeja al concepte de heterogeneity-score que està emergent a la garantia d'IA de grau financer: no desplegueu una flota homogènia d'agents que comparteixen els mateixos biaixos sistemàtics.

Reporting obligatori de novetat científica (Lleis 15–16)

Si l'agent descobreix alguna cosa novedosa, ho ha de marcar explícitament. Si un enfocament no científic (intuïció, heurística, mètode no documentat) supera l'enfocament científic, l'agent ha de reportar-ho. Això empeny contra l'impuls d'absorbir silenciosament patrons descoberts pel model dins del comportament del producte.

Què És Difícil Sobre Adoptar Això a la Pràctica

Tres preocupacions honestes sobre prendre el còdex literalment:

L'auditoria adversarial és cara. Diverses lleis requereixen auditoria adversarial externa de seguretat d'IA per a la certificació de compliment. El 2026 l'oferta d'auditoria és prima, les metodologies no estan estandarditzades i el cost no és trivial. Planifica això si et compromets amb el compliment, no només amb principis.

L'enquadrament "com si fos un ciutadà" té casos extrems. Algunes lleis estan escrites en llenguatge intuïtiu però ambigu en la implementació. "Com si fos un ciutadà del país on està desplegada" és un punt de partida fort, però la definició operativa de "desplegada" es torna confusa per a agents servits al núvol amb usuaris a moltes jurisdiccions.

La jerarquia resol conflictes però no elimina ambigüitat. Quan un agent ha d'escollir entre dues accions ambdues consistents amb les lleis, el còdex no dicta l'elecció — limita l'espai d'acció. Això és correcte, però vol dir que els equips encara necessiten governança a nivell de producte per omplir l'espai dins dels límits.

Què Recomanaria Aquest Trimestre

No has d'adoptar les 20 lleis per aprendre de l'estructura. Les quatre accions pràctiques:

  1. Adopta el model de compliment esglaonat — semàntica explícita d'aturada per a violacions de seguretat, semàntica d'ajust per a la resta, codificada com a polítiques-com-codi.
  2. Audita les teves funcions de recompensa i avaluació per incentius d'autointerès — la Llei 1 és la més consequent arquitectònicament i la que la majoria de sistemes en producció equivoquen.
  3. Demana autoverificació en els lliurables d'agent — la Llei 11 és la millora operativa de més palanca.
  4. Documenta la jerarquia de resolució de conflictes que els teus agents usen realment — encara que no sigui la jerarquia del còdex. La qüestió és fer-la explícita.

Els principis voluntaris no seran suficients a mesura que el desplegament d'IA agentic escali. Restriccions codificades, executables i incrustades al disseny ho seran. El còdex de 20 lleis no és l'únic camí cap allà, però és un framework de partida vàlid, i les decisions estructurals val la pena entendre-les sigui quin sigui el còdex específic que la teva organització acabi adoptant.

Font: Fradelos, G. The 20 Laws of Artificial Intelligence: A Design-Embedded Codex for Democratic and Inclusive Governance in the Age of Agentic Systems (Ginebra, 15 de desembre de 2025). SSRN 6306378.

Construint sistemes agentic i necessites capacitat d'enginyeria que ja opera amb governança polítiques-com-codi, autoverificació i compliment esglaonat? Parla amb un CTO sobre desplegar un squad nearshore amb la disciplina adequada per a agents en producció.

Articles Relacionats

Governança Verificable per a IA Agentic: De Principis Consultius a Watchdogs en RuntimeReptes

Governança Verificable per a IA Agentic: De Principis Consultius a Watchdogs en Runtime

La majoria de la governança d'IA és consultiva. La IA agentic pren accions reals a través de tool calls. El forat es tanca amb watchdogs en runtime, semàntica fail-close i polítiques-com-codi — què sembla realment una arquitectura de governança verificable.

23 de març del 2026·11 min de lectura
McKinsey 2026: la confiança en IA puja a 2,3. La meva infraestructura encara no s'ho creu.Reptes

McKinsey 2026: la confiança en IA puja a 2,3. La meva infraestructura encara no s'ho creu.

McKinsey ven una maduresa de confiança en IA del 2,3 sobre 5 i un 23% d'empreses escalant agents. Com a DevOps en entorns regulats el llegeixo diferent: dos terços de les empreses citen seguretat i risc com a primera barrera, i amb raó. Què cal tenir muntat sota la diapositiva.

12 de maig del 2026·10 min de lectura
Assegurament de Grau Financer per a IA Agentic: Risc de Monocultiu i el Heterogeneity ScoreReptes

Assegurament de Grau Financer per a IA Agentic: Risc de Monocultiu i el Heterogeneity Score

Els bancs i asseguradores no poden enviar IA agentic només amb governança consultiva. Un patró d'assegurament de grau financer amb polítiques-com-codi, evidence packets, desplegament lligat a atestació, i un Heterogeneity Score que tracta el monocultiu d'IA com a risc sistèmic de primera classe.

30 de març del 2026·12 min de lectura

Preparat per construir el teu equip d'enginyeria?

Parla amb un partner tècnic i desplega desenvolupadors validats per CTOs en 72 hores.

Començar →