Registro de los riesgos que afectan al producto FleteChat y a su operación una vez en producción. Cada riesgo tiene probabilidad, impacto, medidas preventivas desde el diseño del producto y acciones que requieren responsables del lado de FleteChat. Lo que se documenta aquí es lo que puede salir mal en el uso del sistema, no cómo Kaeus gestiona su construcción.
R-001 — El agente responde de forma inexacta o fuera de contexto¶
Descripción. Los agentes conversacionales basados en modelos de lenguaje pueden interpretar mal una intención o generar una respuesta que no refleja con precisión el catálogo de servicios o una operación. El impacto para FleteChat es reputacional y comercial: el cliente final recibe información incorrecta sobre precios, tiempos, estatus o condiciones.
Probabilidad / Impacto: Media / Alto → 🟠 Alto.
Controles en el producto. US-059 (precisión y anti-alucinación, PR-012 fuente única de datos, PR-014 contraste de afirmaciones) obliga al agente a consultar siempre el sistema operativo antes de afirmar un dato. US-060 (manejo transparente de errores) define el comportamiento ante ausencia de dato. US-033 (handoff con consentimiento) permite escalar a humano ante cualquier duda.
Acciones del cliente. Designar un responsable de moderación del agente (ver estructura operativa) que revise conversaciones reales de forma periódica y ajuste el comportamiento según hallazgos.
Estado: 🔵 Mitigado en diseño; la operación requiere supervisión continua del cliente.
R-002 — Expectativas del cliente corporativo sobre la calidad del agente¶
Descripción. Un cliente corporativo experimentado puede esperar respuestas equivalentes a las de un ejecutivo comercial con años de experiencia. Un desajuste entre la expectativa y la capacidad real del agente genera fricción al inicio de la relación.
Probabilidad / Impacto: Media / Medio → 🟡 Medio.
Controles en el producto. US-058 (solicitar humano a demanda) y US-033 (handoff) están disponibles siempre. El tono (US-053), la clasificación crítico/no crítico (US-057) y el opt-out (US-064) respetan la preferencia del cliente final.
Acciones del cliente. Lanzar con un piloto acotado de clientes corporativos con acompañamiento cercano del equipo comercial; incorporar feedback al tono y a las capacidades del agente antes del lanzamiento masivo.
Descripción. FleteChat depende de plantillas de mensaje aprobadas por Meta para enviar notificaciones fuera de la ventana de 24 horas (cambio de estatus, devolución de handoff, vencimiento de nivel corporativo, respuestas Ley 81, re-consentimiento). Un rechazo de plantilla deja ese flujo sin canal saliente.
Probabilidad / Impacto: Alta / Alto → 🔴 Crítico.
Controles en el producto. La matriz de clasificación crítico/no crítico (US-057 PR-230) reconoce cada notificación proactiva. US-036 PR-152 exige plantilla activa y aprobada para la devolución al agente. Degradación documentada a correo cuando la plantilla no está disponible.
Acciones del cliente. Mantener plantillas de respaldo por tipo de notificación crítica. Asignar un responsable de integración WhatsApp que monitoree quality rating y someta nuevas plantillas con tiempo suficiente. Es ítem bloqueante pre-go-live (ver Excel de pendientes).
Estado: 🟡 Abierto.
R-004 — Cuenta Meta Business no verificada a tiempo¶
Descripción. El trámite de verificación de la cuenta Meta Business puede demorar semanas. Sin verificación, FleteChat no puede enviar plantillas proactivas ni operar con el volumen objetivo en producción.
Probabilidad / Impacto: Media / Alto → 🟠 Alto.
Controles en el producto. Ninguno del lado del sistema.
Acciones del cliente. Arrancar la verificación de la cuenta Meta Business como primera acción del Bloque de pendientes. Es obligación externa al producto.
Estado: 🟡 Abierto.
R-005 — El tono del agente no encaja con la imagen del cliente¶
Descripción. El tono, nombre y persona del agente quedan declarados (US-053). Si en producción el cliente percibe que el agente no refleja su imagen de marca, la adopción puede verse comprometida.
Probabilidad / Impacto: Baja / Medio → 🟢 Bajo.
Controles en el producto. Configurabilidad del saludo y del contenido (PR-194); persona, tono y registro declarados en premisas locales modificables sin cambio de código.
Acciones del cliente. Validar el agente con demos durante el desarrollo antes de exponerlo al cliente final.
Estado: 🟢 Bajo.
Riesgos operacionales y de dependencia de terceros¶
Descripción. FleteChat usa WhatsApp como canal principal del cliente. Una caída extendida de la API de Meta colapsa la operación conversacional. No existe canal alternativo funcionalmente equivalente en v1.0.
Probabilidad / Impacto: Baja / Crítico → 🟠 Alto.
Controles en el producto. NFR-009 define el comportamiento esperado ante caída (detección automática, mensaje de estado, preservación de conversaciones). Las plantillas Meta solo se requieren para mensajes proactivos; durante la ventana de 24h el canal funciona normalmente.
Acciones del cliente. Documentar el procedimiento de continuidad antes del go-live: a quién se notifica, cómo se contacta a clientes críticos por un canal alternativo (correo, teléfono) mientras dura la caída, y el criterio para retomar operación normal.
Estado: 🟡 Abierto hasta definir el procedimiento.
R-007 — Caída del proveedor del modelo de lenguaje¶
Descripción. Sin el LLM, el agente no puede atender ni cotizar conversacionalmente. Depende del servicio del proveedor, de la red y de los límites de cuota.
Probabilidad / Impacto: Baja / Alto → 🟡 Medio.
Controles en el producto. NFR-010 garantiza degradación a handoff manual o mensaje de estado sin perder conversaciones activas. Timeouts explícitos en el cotizador (HT-10 contrato mínimo); política de reintentos configurada.
Acciones del cliente. Asegurar disponibilidad de operadores para absorber handoffs manuales durante una caída del LLM.
Descripción. Meta puede suspender la cuenta ante quality rating bajo, denuncias de spam o violaciones de políticas. Es efectivamente equivalente a una caída total del canal, pero con causa controlable.
Probabilidad / Impacto: Baja / Alto → 🟡 Medio.
Controles en el producto. Minimización de PII en plantillas (política documentada en NFRs); respeto al horario razonable (US-057) y al opt-out (US-064); monitoreo continuo del quality rating (NFR-042) con alertas.
Acciones del cliente. Responsable de integración WhatsApp asignado con capacidad de respuesta inmediata ante alerta de rating.
Estado: 🟡 Abierto hasta definir el responsable.
R-009 — Caída del proveedor cloud o del proveedor de correo¶
Descripción. La infraestructura aloja los datos operativos; el correo transporta magic links, instructivos y paquetes Ley 81. Sin ellos, flujos críticos quedan interrumpidos.
Probabilidad / Impacto: Baja / Alto → 🟡 Medio.
Controles en el producto. NFR-011 define escalación automática ante fallo persistente (embarques en distribución incompleta, alertas a operador).
Acciones del cliente. Plan de backup y disaster recovery documentado con RPO y RTO objetivos, y prueba periódica de restauración.
Estado: 🟡 Abierto.
R-010 — Fallo del import masivo de listas de precios¶
Descripción. Un archivo grande con errores de integridad referencial puede retrasar la actualización comercial hasta que se corrija.
Probabilidad / Impacto: Media / Medio → 🟡 Medio.
Controles en el producto. Preview obligatorio antes de aplicar (US-045 PR-178); sanitización anti-CSV-injection (PR-227); transaccionalidad atómica (PR-179); export de plantilla base (PR-203) para reducir errores de formato.
Acciones del cliente. Mantener un price_manager con backup. Usar siempre la plantilla oficial exportada por el sistema como base para nuevos imports.
Estado: 🔵 Mitigado por diseño; requiere disciplina operativa del cliente.
Riesgos legales y de cumplimiento (jurisdicción: Panamá)¶
R-011 — Incumplimiento del plazo legal de respuesta a solicitudes Ley 81¶
Descripción. Una solicitud de acceso, portabilidad o eliminación puede llegar en un momento sin operador disponible y vencer antes de procesarse. El plazo en Panamá es de 15 días hábiles.
Probabilidad / Impacto: Media / Alto → 🟠 Alto.
Controles en el producto. US-061 registra cada solicitud en una bandeja con estado y SLA. Alerta al admin antes del vencimiento (ventana configurable, default 72 h). PR-222 mantiene contactabilidad durante el trámite.
Acciones del cliente. Designar al admin principal y backup como responsables del trámite; definir cobertura de fines de semana si así lo exige el plazo hábil.
Estado: 🟡 Abierto hasta definir cobertura.
R-012 — Política de privacidad no publicada al go-live¶
Descripción. Sin política publicada, FleteChat incumple el Art. 6 de la Ley 81 desde el primer cliente. Es condición previa al go-live.
Probabilidad / Impacto: Media / Crítico → 🔴 Crítico.
Controles en el producto. US-062 consulta la política desde el chat (PR-206); US-063 registra consentimiento con versión vigente de la política. Ambas referencias requieren que la política exista.
Acciones del cliente. Redacción de la política con asesor legal panameño con al menos 4 semanas de antelación al go-live; designación formal del DPD/DPO; enumeración explícita de transferencias internacionales (Meta, proveedor LLM, cloud, correo) con su base legal.
Estado: 🟡 Abierto (ver Excel de pendientes).
R-013 — Incidente de seguridad con datos personales¶
Descripción. Una fuga o exposición accidental (correo a destinatario equivocado, enlace filtrado, acceso indebido a base de datos) obliga a notificar a ANTAI y a titulares afectados, con sanciones económicas asociadas.
Probabilidad / Impacto: Baja / Crítico → 🟠 Alto.
Controles en el producto. Cifrado en tránsito (NFR-013) y reposo (NFR-014); entrega multicanal del paquete Ley 81 (US-061 PR-205); anonimización histórica ante eliminación (PR-215); audit log inmutable (US-050); rate limits y bloqueo por intentos (US-048).
Acciones del cliente. Procedimiento de notificación de brechas documentado, con responsable, plazos y contenido mínimo. Designación del DPD/DPO como primer contacto con ANTAI.
Estado: 🟡 Abierto para el procedimiento.
R-014 — Transferencias internacionales sin base legal documentada¶
Descripción. Los proveedores del producto (Meta, proveedor LLM, cloud, correo) procesan datos en jurisdicciones distintas a Panamá. Sin cláusulas contractuales tipo o consentimiento específico, las transferencias pueden ser objetadas por ANTAI.
Probabilidad / Impacto: Media / Alto → 🟠 Alto.
Controles en el producto. El consentimiento informado (US-063) incluye la referencia a la política, que debe enumerar las transferencias.
Acciones del cliente. Firmar cláusulas contractuales tipo o contratos de tratamiento con cada proveedor; documentarlo como base legal en la política (NFR-031).
Descripción. Si la legislación lo exige por tipo y volumen de tratamiento, no registrar las bases de datos personales ante ANTAI expone a sanciones administrativas.
Probabilidad / Impacto: Baja / Medio → 🟢 Bajo.
Controles en el producto. Ninguno; es trámite administrativo del responsable del tratamiento.
Acciones del cliente. Validación legal sobre aplicabilidad; trámite completado antes del go-live si aplica.
R-016 — Cobertura operativa insuficiente del equipo de FleteChat¶
Descripción. Si el equipo de operadores no cubre los momentos de alta demanda o los fines de semana, los handoffs quedan sin atender y los clientes experimentan esperas prolongadas.
Probabilidad / Impacto: Alta / Medio → 🟠 Alto.
Controles en el producto. P4-05 / PR-216 — el agente sigue detectando intents críticos del cliente durante pending_handoff (cancelación, opt-out, emergencia) y responde sin esperar al operador. Fallback automático con mensaje al cliente cuando nadie toma el handoff en la ventana configurada.
Acciones del cliente. Definir cantidad de operadores, horario y cobertura fuera de horario (ver pregunta PC-02 del documento de preguntas pendientes).
Estado: 🟡 Abierto hasta que el cliente defina la estructura.
R-017 — Cliente corporativo descubre su vencimiento al intentar cotizar¶
Descripción. Sin aviso proactivo, el cliente corporativo se entera de que perdió su nivel cuando intenta una operación. Experiencia negativa.
Probabilidad / Impacto: Alta / Medio → 🟠 Alto.
Controles en el producto. PR-218 (notificación al cliente corporativo en ventana de aviso y día del vencimiento efectivo, clasificada como crítica en la matriz de proactivos).
Acciones del cliente. Aprobar el texto de la plantilla Meta específica. Responsable comercial que dé seguimiento a las alertas internas (US-040) y contacte al cliente para renovación.
Estado: 🔵 Mitigado por diseño; validación pendiente del cliente.
Descripción. Si hay un único price_manager sin backup, una ausencia prolongada bloquea actualizaciones comerciales urgentes y deja precios desactualizados en el catálogo.
Probabilidad / Impacto: Alta / Medio → 🟠 Alto.
Controles en el producto. El preview obligatorio protege frente a errores. La historia de import (US-045) contempla un segundo revisor en v1.1 (hallazgo diferido P3-17).
Acciones del cliente. PC-02 exige explícitamente un price_manager con backup. Es decisión pendiente.
Estado: 🟡 Abierto hasta que el cliente defina la estructura.
R-019 — Acceso indebido de operadores a cuentas no asignadas¶
Descripción. En v1.0 los operadores ven todas las cuentas; si el volumen de operadores crece, el riesgo de acceso indebido o de confusión aumenta.
Probabilidad / Impacto: Baja / Medio → 🟢 Bajo.
Controles en el producto. Audit log registra cada acceso (US-050). En v1.1 se propone control por asignación explícita (hallazgo diferido P3-19).
Acciones del cliente. Supervisión por el admin; uso del audit log para detectar patrones inusuales.