09 · Riesgos y consideraciones¶
Lo que puede salir mal, probabilidad, impacto, y cómo mitigar.
Matriz de riesgos¶
| Riesgo | Prob. | Impacto | Mitigación |
|---|---|---|---|
| Google cambia ToU de Gemma 4 retroactivamente | Baja | Medio | Apache 2.0 es irrevocable para versiones publicadas. Snapshot del modelo y licencia el día que lo descargues. Documenta versión exacta. |
| Aparece modelo mejor (Gemma 5, Qwen 4) | Alta a 6-12 meses | Bajo | Tu moat es fine-tune sobre datos del cliente + workflow, no el modelo base. LiteLLM permite cambio en horas. |
| HIPAA/GDPR/AI Act compliance | Alta en salud/finanzas | Alto | Empieza wellness, no clínico. EU: documenta DPIA, DPA con clientes, cifrado at-rest/in-transit. AI Act: clasifica tu sistema (mayoría = riesgo limitado, transparencia básica). |
| Costo oculto: tiempo de ingeniero ML | Alta | Medio | No te autohostees hasta tener €3K+ MRR. Quema horas en producto, no infra. |
| Quality regression en fine-tune | Media | Alto | Eval set obligatorio antes/después. Usa Langfuse para A/B testing en producción. |
| Cliente pide "garantías" como con SaaS de IA cerrada | Alta | Medio | SLA explícito, human-in-the-loop por default; nunca "fully autonomous" en contratos. |
| GPUs en cloud se vuelven caras/inaccesibles | Media | Alto | Plan B: Mac Studio M5 Ultra 256 GB como servidor (~$8K, depreciación 36 meses); on-prem RTX 6000 Ada. |
| Bugs específicos Gemma 4 + Apple Silicon (confirmados a mayo 2026) | Alto en agentic | Medio | Issue ollama/ollama#15368. Usa llama.cpp para agentic; espera Ollama 0.22+ con MLX integrado day-0. |
| Privacy breach / data leak | Media | Catastrófico | Cifrado obligatorio. Audit logs. Pen-test antes de tener clientes enterprise. Seguro de ciberresponsabilidad civil €1-5K/año. |
| Cliente único representa >30% del MRR | Media | Alto | Concentración de cliente = riesgo existencial. Diversifica activamente. |
| Modelo alucina en output crítico (legal, médico, financiero) | Alta | Alto | Human-in-the-loop obligatorio. Citas a fuentes. Confidence scores visibles. Disclaimer prominente. |
| Google cambia disponibilidad de la API gratuita | Media | Medio | Tu producto NO debe depender de la API gratuita en path crítico. Solo para queries fallback. |
| Llama 4 supera Gemma 4 → cliente pide cambio | Baja-Media | Medio | Tu cliente no sabe ni le importa qué modelo usas, salvo que lo nombres. Mantén abstracción. |
Compliance: deep dive por vertical¶
LegalTech¶
| Norma | Aplicabilidad | Mitigación |
|---|---|---|
| GDPR | Sí (datos personales en contratos) | DPA con clientes, cifrado, derecho de borrado |
| EU AI Act | Riesgo limitado | Transparencia: "este texto fue generado/revisado por IA" |
| Secreto profesional | Sí, en abogados | Cliente firma que IA es asistencia, no representación |
| RGPD (España) | Si vendes a EU | DPO obligatorio si tratamiento masivo |
Estructura recomendada: el cliente abogado es el "controller", tú eres "processor". DPA estándar (template Iubenda o Termly).
HealthTech (wellness, NO clínico)¶
| Norma | Aplicabilidad | Mitigación |
|---|---|---|
| HIPAA (US) | Solo si tu cliente es HIPAA-covered | BAA + cifrado + audit logs |
| GDPR Art. 9 (datos sensibles) | Sí | Consentimiento explícito |
| EU AI Act | Riesgo alto si afecta decisión clínica | Limita a wellness/educación |
| FDA SaMD / CE MDR | Si reclamas diagnóstico | NO reclames diagnóstico sin certificación |
Línea roja: nunca digas "diagnóstico", "tratamiento", "cura". Di "información educativa", "tracking", "recordatorio".
FinTech¶
| Norma | Aplicabilidad | Mitigación |
|---|---|---|
| DORA (EU, 2025+) | Sí si vendes a entidades financieras | Plan de continuidad, audit interno |
| PSD2 (pagos) | Solo si mueves dinero | Generalmente no aplica si solo analizas |
| MiCA (cripto) | Si tocas activos digitales | Evita inicialmente |
| GDPR | Sí | DPA + cifrado |
GovTech¶
| Norma | Aplicabilidad | Mitigación |
|---|---|---|
| GDPR + RGPD nacional | Sí | DPO obligatorio |
| EU AI Act | Riesgo alto si afecta decisión administrativa | Supervisión humana obligatoria |
| Soberanía digital (Francia, España) | Sí | Self-hosted on-prem o cloud EU |
Riesgos técnicos específicos de Gemma 4¶
Bugs conocidos (mayo 2026)¶
GitHub issue ollama/ollama#15368:
- Flash Attention hang con prompts >500 tokens en 31B Dense (Ollama 0.20.x).
-
Mitigación: Ollama 0.22+ o
OLLAMA_FLASH_ATTENTION=0. -
OpenAI /v1 endpoint envía contenido al campo
reasoningen vez decontent. -
Mitigación: parsea ambos campos y concaténalos.
-
MLX runner no soporta
Gemma4ForConditionalGenerationen algunas builds. - Mitigación: usa backend Metal (default) o llama.cpp.
Limitaciones de cuantización¶
- Q4_K_M es 99% de FP16, pero el 1% restante puede ser crítico en:
- Cálculo numérico exacto (contabilidad).
- Razonamiento legal con citaciones precisas (alucinación de artículos).
- Generación de código con paths/imports específicos.
Mitigación: para casos críticos, usa Q5_K_M o Q6_K. Si el cliente lo paga, Q8_0.
Alucinaciones¶
Gemma 4 alucina menos que Gemma 3, pero más que GPT-5/Claude 4 en: - Citas a fuentes (URLs, autores, fechas). - Cálculos numéricos complejos sin code interpreter. - Conocimiento factual reciente (cutoff del modelo).
Mitigación: - RAG obligatorio para cualquier output con citas. - Code execution para cálculos (FastAPI con sandbox). - Disclaimer + human-in-the-loop para outputs críticos.
Riesgos de negocio¶
Concentración de cliente¶
Si un solo cliente representa >30% del MRR, mitiga: - Activamente buscar 3+ clientes adicionales antes de aceptar contratos grandes. - Contratos multi-año con cláusulas de salida controlada.
Burn rate¶
Como dev solo con M4 Pro, tu burn es bajo (~€500-1000/mes en servicios cloud + dev tools). No aceleres salvo MRR >€5K. La regla: - MRR <€1K: vives de ahorros / day job. - MRR €1K-5K: side hustle serio. - MRR >€5K: posible jump full-time (con 6 meses de runway personal).
Vendor lock-in inverso¶
No te cases con un cliente que pide tanta customización que se vuelve impossible servir a otros. Cobra setup fee alto (€2K-10K) por customización, no la metas en el SaaS estándar.
Plan de continuidad básico¶
Documenta en runbooks/:
- Recuperación de servicio: cómo restaurar inferencia si tu Mac muere.
- Backup: snapshot diario de Qdrant + Postgres a S3/Backblaze.
- Migración a cloud: scripts para spinear todo en Cloud Run en <2h.
- Contacto a clientes: lista de emails + script de notificación.
- Renovación de certificados: Let's Encrypt auto-renewal.
- Rotación de secrets: cada 90 días.
Checklist pre-launch¶
- [ ] LICENSE de Apache 2.0 incluido en repo.
- [ ] NOTICE con atribución a Google.
- [ ] Privacy Policy + Terms of Service (Iubenda o Termly).
- [ ] DPA template listo para clientes EU.
- [ ] Cifrado at-rest (Postgres encryption + S3 SSE).
- [ ] Cifrado in-transit (TLS 1.3, HSTS).
- [ ] Audit logs en Langfuse + Postgres.
- [ ] Backup automatizado (test la restauración una vez).
- [ ] Status page (Better Uptime, gratis).
- [ ] Sentry para error tracking.
- [ ] Seguro de ciberresponsabilidad civil (€1-5K/año desde €1M de cobertura).
- [ ] Customer support email + tiempo de respuesta documentado.
- [ ] Refund policy clara.