Ir al contenido principal
WebID
DeutschEnglishEspañol

Ley de IA de la UE

Información sobre el reglamento de la UE relativo al uso de la inteligencia artificial (IA/AI)

Con la Ley de IA de la UE se ha aprobado la primera ley integral del mundo para regular el uso de la inteligencia artificial (IA), cuyo objetivo es generar confianza en las soluciones de IA y, al mismo tiempo, garantizar la seguridad, los derechos fundamentales y los valores europeos.

Esta ley, que entrará en vigor en 2025, establece requisitos estrictos para la implementación de infraestructuras críticas basadas en IA, fija obligaciones de transparencia para los contenidos generados por IA y, al mismo tiempo, fomenta la innovación al dejar margen para casos de aplicación que presenten riesgos potencialmente menores.

Aspectos fundamentales de la Ley de IA de la UE

La Ley de IA de la UE regula qué sistemas de IA están permitidos y cuáles están prohibidos en la Unión Europea. El reglamento establece normas uniformes para todos los Estados miembros en relación con la venta y el uso de sistemas de IA en la UE.

La Ley de IA de la UE define una clasificación basada en el riesgo

Además de las normas vinculantes para todos los sectores en relación con el uso de la inteligencia artificial, la Ley de IA de la UE se centra en el riesgo de casos de uso concretos. Los sistemas de IA se clasifican según su riesgo potencial para la salud, la seguridad y los derechos fundamentales en un modelo de cuatro niveles:

  1. Riesgo inaceptable
    Está prohibido el uso de soluciones basadas en IA que manipulen el comportamiento humano o utilicen la puntuación social, por ejemplo, los sistemas de reconocimiento de emociones en el lugar de trabajo o en los centros educativos.
  2. IA de alto riesgo
    Los sistemas que se utilizan en ámbitos críticos y que podrían suponer un riesgo especial para los derechos fundamentales deben cumplir requisitos estrictos en materia de calidad de los datos, transparencia, infraestructura, supervisión humana y evaluación de la conformidad. Esto se aplica también, por ejemplo, a las soluciones de IA utilizadas en la sanidad, la educación, la gestión de recursos humanos, la aplicación de la ley y los controles fronterizos, así como para el acceso a las prestaciones sociales.
  3. Obligaciones de transparencia
    Los sistemas de IA que están sujetos a obligaciones especiales de transparencia porque podrían utilizarse para manipular a las personas (por ejemplo, los chatbots o los sistemas que generan imágenes y/o vídeos de forma artificial) se han clasificado en el tercer nivel de clasificación de riesgos. Este tipo de contenidos generados por IA deben estar siempre claramente identificados como tales, de modo que los usuarios puedan reconocer que están interactuando con una máquina o viendo un contenido creado por una máquina.
  4. Modelos generales de IA (GPAI)
    Las empresas que proporcionan o utilizan sistemas de riesgo mínimo para los que no existen requisitos especiales pueden adherirse a códigos de conducta voluntarios. Sin embargo, los modelos básicos (como ChatGPT) deben garantizar la transparencia sobre los datos de entrenamiento y los derechos de autor.

¿Quién debe cumplir las disposiciones de la Ley de IA de la UE?

La Ley de IA de la UE distingue entre proveedores/desarrolladores («providers»), usuarios en sus propias operaciones comerciales («deployers») y distribuidores de sistemas de alto riesgo. Las empresas reguladas, como bancos, proveedores de servicios de pago, fintechs o criptoactores, pueden desempeñar varias funciones en función de su configuración, por ejemplo, ser proveedores de modelos desarrollados internamente y, al mismo tiempo, implementadores de soluciones SaaS adquiridas.

Los proveedores con sede fuera de la UE también deben cumplir la Ley de IA si ofrecen su solución de IA en el mercado de la UE o si esta se aplica a personas en la UE.

La exigencia de cumplimiento se ve reforzada por la amenaza de elevadas multas (de hasta 35 millones de euros o el 7 % de la facturación anual mundial) que pueden imponerse en caso de incumplimiento de los requisitos.

IA de alto riesgo en materia de cumplimiento normativo y AML

Para los sistemas de IA sujetos al Reglamento GwG/AML, la Ley de IA de la UE establece, entre otras cosas, requisitos estrictos para los procedimientos de identificación biométrica, pero al mismo tiempo deja claro que las verificaciones puramente biométricas no se tratan automáticamente como identificaciones generales. Muchas aplicaciones AML/CFT, como la supervisión de transacciones, los análisis de redes, la puntuación de fraude y otras, se consideran sistemas de alto riesgo y deben clasificarse y documentarse en consecuencia.

Al mismo tiempo, la Ley de IA define excepciones puntuales. Por ejemplo, las soluciones basadas en la IA para la prevención del fraude y el blanqueo de capitales se reconocen expresamente como un fin legítimo, por lo que estos sistemas no están sujetos a las prohibiciones generales. No obstante, también en este caso debe garantizarse la protección de los derechos fundamentales, una alta calidad de los datos y controles humanos.

Requisitos centrales de la Ley de IA de la UE para las empresas obligadas

Los sistemas de alto riesgo basados en IA deben someterse a una gestión formal de riesgos y calidad, que incluye controles de calidad de los datos, pruebas de modelos, registro, solidez técnica y ciberseguridad. Además, los proveedores deben realizar evaluaciones de conformidad, elaborar una declaración de conformidad de la UE y colocar el marcado CE.

Las empresas del sector financiero tienen obligaciones adicionales, como el uso adecuado, la formación de los empleados, la supervisión durante el funcionamiento y la notificación de incidentes graves. Se tienen en cuenta en parte las normas de gobernanza existentes de la legislación de supervisión financiera, pero no sustituyen por completo a las obligaciones de la Ley de IA.

Interfaces con AML/KYC y gobernanza

Las empresas obligadas que utilizan sistemas basados en IA, por ejemplo, para la supervisión de transacciones, la selección o el KYC onboarding no solo deben cumplir las expectativas reglamentarias en materia de eficacia y trazabilidad, sino también incorporar sistemáticamente las obligaciones de la Ley de IA, como la gobernanza de datos, la documentación y la supervisión humana. Esto se aplica, por ejemplo, a los cambios en los modelos, los ajustes de los umbrales, las nuevas fuentes de datos y el tratamiento de los falsos positivos y los riesgos de sesgo.

Marco de gobernanza de la IA y el riesgo de los modelos

Lo ideal es que las entidades financieras establezcan un marco de gobernanza de la IA y los riesgos de los modelos, es decir, un sistema estructurado de directrices, procesos, responsabilidades y controles que pueda ayudar a identificar, evaluar, minimizar y supervisar continuamente los riesgos relacionados con el uso de la inteligencia artificial y otros modelos matemáticos. Las posibles medidas podrían ser las siguientes:

  • Creación de un inventario de casos de uso de IA, así como de casos de uso de alto riesgo (puntuación, supervisión, biometría).​
  • Realización de un análisis de interfaz entre las obligaciones de la Ley de IA y los controles existentes de AML, MaRisk y RGPD para identificar posibles lagunas.​
  • Creación de estructuras de gobernanza adaptadas (funciones, procesos de autorización, supervisión, formación) y definición de una hoja de ruta que incluya la entrada en vigor de las obligaciones más importantes (a partir de 2026).

Los retos actuales del ecommerce en España

Este whitepaper explica cómo el ecommerce en España ha demostrado resiliencia ante las crisis, pero enfrenta crecientes desafíos de fraude, y destaca la importancia de usar métodos de pago seguros, software antifraude y colaboración con proveedores confiables como WebID para protegerse y prosperar.
Solicitar whitepaper
Whitepaper: Los retos actuales del ecommerce en España