La primera mesa-coloquio del Congreso "Innovación tecnológica y nuevos modelos de negocio en el juego presencial. Inteligencia Artificial, Big Data y Ciberseguridad en la gestión de los establecimientos" reunió a cuatro voces con miradas complementarias: presentó y moderó el Ilmo. Sr. Jesús Martínez García (Director General de Innovación Tecnológica de la Ciudad Autónoma de Melilla) y participaron Carlos Alberto Sáiz Peña (socio de Ecix y vicepresidente de CUMPLEN), Agustín González Tuñón (director de Tecnología y Digitalización de CODERE) y José Antonio Amador Reyes (inspector jefe del Cuerpo Nacional de Policía, Jefe de Sección de Transformación Digital de la División de Operaciones y Transformación Digital).
Desde el arranque, Jesús Martínez García fijó el marco: aprovechar la potencia transformadora de la IA, la analítica masiva y la automatización sin rebasar los límites que protegen los derechos fundamentales. Puso como ejemplo la experiencia de Melilla —ciudad de tamaño similar a Palencia—, donde, subrayó, la administración “entiende el sector”, regula con criterio y hace pedagogía pública para que la ciudadanía vea el vínculo entre creación de empleo, actividad económica y desarrollo tecnológico. La cuestión de fondo, dijo, es “armonizar eficacia y garantías” en un contexto de “presiones brutales” por la rapidez con la que evolucionan las herramientas. La mesa, dividida en bloques, comenzó por el binomio innovación–cumplimiento.
Tomó el relevo Carlos Alberto Sáiz Peña, que fue directo al “paso cero” de cualquier proyecto de IA: inventariar dónde se usa ya la inteligencia artificial dentro de la organización. Lejos de ser una obviedad, advirtió, muchas empresas descubren que conviven un uso corporativo y controlado con otro descentralizado y fuera de perímetro. Planteó trabajar con un enfoque basado en riesgos —común a privacidad, ciberseguridad e IA— y con metodologías profesionales que eviten “hacerse trampas al solitario” para obtener el resultado deseado. En el plano institucional, recordó que la nueva gobernanza europea de IA traerá autoridades de control con capacidad sancionadora; en España, la futura AESIA convivirá con la AEPD y otros reguladores sectoriales. De cara a la personalización y el modelado de comportamiento, fijó tres líneas rojas: la privacidad de las personas, las decisiones automatizadas con impacto relevante y las técnicas subliminales expresamente prohibidas por el Reglamento europeo de IA. Por eso defendió el compliance by design —implicar desde el inicio a legal, seguridad y privacidad— y animó al sector a autorregularse con guías consensuadas con la autoridad para dar seguridad jurídica en materias sensibles (biometría, antifraude, autoexclusión, KYC/AML).
Interpelado sobre la transparencia en IA —y, en particular, sobre la explicabilidad en modelos generativos—, Sáiz se inclinó por una “transparencia proporcional”: una capa clara y comprensible para el usuario, otra más profunda para la autoridad y una tercera que preserve la ventaja competitiva frente a competidores. Denunció la infoxicación a la que conduce a veces la normativa: “de nada sirven quince páginas de texto si el usuario no entiende nada”. Y, ya en el terreno de la ciberseguridad, la calificó de inversión estratégica y no de gasto, porque los daños de una brecha “son muchas veces irreversibles” en un mercado negro de datos que agrega filtraciones de múltiples fuentes. Criticó, además, la superposición de normas en Europa y la falta de liderazgo tecnológico, y reclamó coordinación público-privada real, porque “los ataques ya no son el tópico del ‘hacker con capucha’; son bandas criminales e incluso intereses de Estado. Nadie se defiende solo”.
Desde la trinchera operativa, Agustín González Tuñón explicó que en CODERE han aprendido a incorporar el cumplimiento como guía desde el diseño y no como freno de última hora: “Los parches salen caros”. Su metodología se apoya en pilotos cortos, medición rigurosa y la valentía de cancelar lo que no funciona antes de escalar. Advirtió contra la hiperpromesa de la automatización —RPA, machine learning, IA generativa—, que “vende ROI muy atractivo” pero genera costes ocultos de mantenimiento y monitorización, y pierde la confianza del negocio si falla. “Antes de automatizar hay que limpiar el proceso”, resumió. En la operación diaria, la IA actúa hoy como “copiloto”: acelera la detección de fraude, dispara alertas 24/7 y reduce tiempos de respuesta, pero las decisiones críticas mantienen el human-in-the-loop. A medio plazo, dibujó una omnicanalidad responsable: identidad única, wallet/cashless, programas de lealtad coherentes entre presencial y online, y telemetría en tiempo real para jugar con ventaja en negocio y seguridad. Mirando al futuro inmediato, pronosticó una fusión total entre físico y digital con máquinas convertidas en “paquetes tecnológicos” que interactúan en tiempo real con el jugador. La siguiente ola, dijo, serán agentes de IA especializados —fraude, operaciones, comercial— que orquesten acciones. “Quien no incorpore IA al core del negocio quedará fuera”.
La radiografía de amenazas vino de la mano del inspector jefe José Antonio Amador Reyes, que contextualizó la estafa digital en tres etapas: captación de la víctima (phishing, smishing, webs clonadas y señuelos muy verosímiles), suplantación de identidad (con datos obtenidos mediante pretextos plausibles como alquileres vacacionales, DNI robados o compras de bases en la dark web) y monetización/blanqueo (cuentas de “mulas”, retiradas en efectivo, tarjetas prepago y criptoactivos). En su etapa en una comisaría con alto volumen, entre el 30% y el 40% de las denuncias diarias tenían vector online, y una parte significativa se conectaba con apuestas o cripto. Advirtió que la IA juega “a dos bandas”: potencia la defensa —analizar miles de transacciones y detectar patrones anómalos es imposible sin IA—, pero también el ataque: hoy el phishing llega en español perfecto, proliferan deepfakes convincentes y la propia IA ayuda a identificar perfiles vulnerables.
Por ello, Amador elevó a “mínimos higiénicos” medidas como la segmentación de redes, la gestión de identidades y accesos con MFA, el enfoque Zero Trust, el parcheo continuo, la monitorización 24/7 y los simulacros de respuesta a incidentes. Reclamó equipos de seguridad con recursos, formación y estabilidad —la rotación deja brechas— y subrayó la importancia de identificar a quien entra en los establecimientos presenciales para que cualquier hecho sea auditable. En el plano preventivo, repasó herramientas como el registro autonómico de autoexclusión (que el ciudadano puede tramitar en comisarías), los canales ágiles de intercambio de indicadores de fraude entre sector y fuerzas de seguridad, y la educación con charlas en colegios y mayores. Incluso anticipó un cambio de perfil del jugador en entornos digitales: más organizado en clubes o pools, apoyado por algoritmos y estrategias colectivas, lo que exigirá anticipación técnica y regulatoria por parte de operadores y administraciones.
El tramo final volvió a la pregunta clave: ¿ciberseguridad, inversión estratégica o gasto obligatorio? González Tuñón fue tajante: inversión que protege reputación y continuidad del negocio. Sáiz recordó que pensar en “pequeñas” brechas es ingenuo porque los datos se agregan y se revenden, multiplicando el riesgo real. Amador, por su parte, comparó el mundo digital con abrir una tienda sin alarmas: la cuestión no es si habrá un incidente, sino cuándo y cómo responderá la organización. La síntesis de la mesa fue clara: IA sí, pero gobernada con inventarios y análisis de riesgos; datos con propósito al servicio del negocio y del juego responsable; ciberseguridad integral con cooperación público-privada; y una omnicanalidad que una salones de juego, casinos, bingos, máquinas y apuestas con el juego online bajo los mismos principios de trazabilidad, límites y verificación. Quien integre todo ello con seriedad —concluyeron— tendrá la ventaja competitiva en el nuevo tablero del juego presencial.
18+ | Juegoseguro.es – Jugarbien.es
