Artículo 53 del Reglamento (UE) 2024/1689 — Obligaciones de los proveedores de modelos de IA de uso general con riesgo sistémico. Texto oficial, interpretación práctica, obligaciones clave e implicaciones para el cumplimiento.
Resumen del texto oficial
El Artículo 53 del Reglamento (UE) 2024/1689 establece obligaciones que se aplican exclusivamente a los proveedores de modelos de inteligencia artificial (GPAI) de uso general clasificados como modelos que presentan riesgo sistémico conforme al Artículo 51. Se trata de modelos entrenados con una capacidad de cómputo superior a 10^25 operaciones de punto flotante (FLOP), o modelos designados por la Oficina de IA sobre la base de una evaluación de capacidades o impacto.
Además de las obligaciones básicas aplicables a todos los proveedores de modelos GPAI conforme al Artículo 52, los proveedores cubiertos por el Artículo 53 deben: realizar evaluaciones del modelo, incluidas pruebas de adversario realizadas de conformidad con protocolos estandarizados o metodologías aprobadas; evaluar y mitigar los riesgos sistémicos a nivel de la Unión; notificar a la Oficina de IA sin demora injustificada los incidentes graves y los mal funcionamientos; garantizar un nivel adecuado de protección de ciberseguridad para el modelo, su infraestructura y su entorno físico; y documentar los resultados de las evaluaciones del modelo y ponerlos a disposición de la Oficina de IA previa solicitud.
El Artículo 53(2) dispone que los proveedores pueden acogerse a los códigos de conducta adoptados conforme al Artículo 56 para demostrar el cumplimiento. La Comisión Europea está facultada para emitir actos delegados que especifiquen el contenido y los procedimientos de las evaluaciones, y para adaptar los umbrales a medida que evoluciona la comprensión científica. La Oficina de IA supervisa el cumplimiento y puede requerir información adicional o medidas correctoras.
Qué significa esto en la práctica
El Artículo 53 crea un nivel de cumplimiento diferenciado para los modelos GPAI más capaces y potencialmente más impactantes del mercado de la UE. Cualquier organización — independientemente del lugar en que esté establecida — que ponga dicho modelo a disposición de operadores o usuarios finales en la UE debe evaluar si supera el umbral de riesgo sistémico.
Para los proveedores que superan el umbral de cómputo de 10^25 FLOP, las obligaciones son automáticas. Para los proveedores por debajo de ese umbral, la Oficina de IA puede aún activar las obligaciones del Artículo 53 tras una evaluación caso por caso basada en indicadores como el número de usuarios, la amplitud de las capacidades o la integración en sectores críticos.
En la práctica, el cumplimiento requiere establecer procesos internos sólidos: un programa de evaluación del modelo capaz de llevar a cabo ejercicios de red-teaming y pruebas de adversario antes y después del despliegue; un registro de riesgos sistémicos y el plan de mitigación asociado; un marco de ciberseguridad que cubra los pesos del modelo, las API y la infraestructura de entrenamiento; y un procedimiento de respuesta ante incidentes vinculado a la obligación de notificación hacia la Oficina de IA.
Concretamente, un proveedor de un gran modelo de lenguaje frontier puesto a disposición mediante API para operadores con sede en la UE debe llevar a cabo pruebas de adversario — tales como intentos de jailbreak y elicitación de capacidades para contenido peligroso —, documentar los resultados, conservarlos y poder compartirlos con la Oficina de IA. Si el modelo produce una salida que cause o casi cause daño grave a una persona o infraestructura crítica, ese incidente debe notificarse con prontitud. La participación en un código de conducta aprobado por la Oficina de IA conforme al Artículo 56 proporciona una vía estructurada para demostrar el cumplimiento sin esperar a que existan normas armonizadas.
Obligaciones clave
- Evaluaciones del modelo y pruebas de adversario: Llevar a cabo evaluaciones exhaustivas, incluidas pruebas de red-teaming y de adversario, utilizando protocolos estandarizados o aprobados por la Oficina de IA, antes y después de actualizaciones significativas del modelo.
- Evaluación y mitigación del riesgo sistémico: Identificar, analizar y mitigar los posibles riesgos sistémicos a nivel de la Unión que puedan derivarse del desarrollo, la comercialización o el uso del modelo.
- Notificación de incidentes graves: Notificar a la Oficina de IA sin demora injustificada cualquier incidente grave o mal funcionamiento vinculado al modelo GPAI con riesgo sistémico, incluida información sobre el incidente y las medidas correctoras adoptadas.
- Protección de ciberseguridad: Implementar y mantener medidas de ciberseguridad apropiadas que protejan el modelo, su infraestructura física y la cadena de suministro — incluidos los pesos del modelo, las API y los pipelines de entrenamiento — proporcionales a los riesgos identificados.
- Documentación y transparencia ante la Oficina de IA: Mantener registros de los resultados de las evaluaciones, las metodologías de prueba y las medidas de mitigación de riesgos; ponerlos a disposición de la Oficina de IA previa solicitud.
- Vía de cumplimiento mediante códigos de conducta: Demostrar la conformidad con las obligaciones del Artículo 53 adhiriéndose a los códigos de conducta elaborados conforme al Artículo 56, a la espera de la disponibilidad de normas armonizadas.
Relación con otros artículos
El Artículo 53 no puede leerse de forma aislada. Se basa directamente en el Artículo 51, que define los criterios y procedimientos para clasificar un modelo GPAI como modelo que presenta riesgo sistémico — incluido el umbral de cómputo de 10^25 FLOP y la potestad discrecional de designación de la Oficina de IA. Las obligaciones básicas del Artículo 52 siguen siendo plenamente aplicables junto con el Artículo 53; este último añade una capa adicional en lugar de sustituir al anterior.
El Artículo 55 regula las presunciones cualificadas de conformidad, mientras que el Artículo 56 establece el mecanismo de códigos de conducta al que el Artículo 53(2) hace referencia expresa como vía de cumplimiento. El papel supervisor de la Oficina de IA sobre las obligaciones del Artículo 53 se fundamenta en los Artículos 88 a 90, que establecen las competencias y procedimientos de supervisión. Para los proveedores que también son operadores de sistemas de IA de alto riesgo, los requisitos del Capítulo III (Artículos 9–16) sobre gestión de riesgos y documentación técnica pueden solaparse con el trabajo de mitigación del riesgo sistémico exigido por el Artículo 53, y se recomienda la coordinación entre los equipos de cumplimiento para evitar duplicidades.
Calendario de cumplimiento
La Ley de IA de la UE entró en vigor el 1 de agosto de 2024 (veinte días después de su publicación en el Diario Oficial el 12 de julio de 2024). El Artículo 53, como parte del Título V que regula los modelos de IA de uso general, se hizo aplicable el 2 de agosto de 2025 — doce meses después de la entrada en vigor, de conformidad con el Artículo 113(3).
Esto significa que los proveedores de modelos GPAI con riesgo sistémico debían tener operativos sus programas de evaluación, procedimientos de notificación de incidentes y marcos de ciberseguridad en esa fecha. El calendario de aplicación escalonada como referencia: las prácticas de IA prohibidas conforme al Artículo 5 se aplican desde el 2 de febrero de 2025 (seis meses); las obligaciones sobre modelos GPAI, incluido el Artículo 53, desde el 2 de agosto de 2025 (doce meses); las obligaciones relativas a los sistemas de IA de alto riesgo conforme al Anexo I desde el 2 de agosto de 2026 (veinticuatro meses); y las obligaciones restantes para los sistemas de IA de alto riesgo desde el 2 de agosto de 2027 (treinta y seis meses). Los proveedores también deben seguir de cerca los actos delegados de la Comisión Europea que puedan concretar los requisitos de evaluación del Artículo 53 o ajustar el umbral de cómputo a medida que avanza la comprensión científica de las capacidades de los modelos frontier.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
El Artículo 53 se aplica a los proveedores de modelos de IA de uso general que han sido clasificados como modelos que presentan riesgo sistémico — ya sea porque fueron entrenados con una cantidad acumulada de cómputo superior a 10^25 FLOP, o porque la Oficina de IA los ha designado como tales tras una evaluación conforme al Artículo 51.
El Artículo 52 establece obligaciones básicas para todos los proveedores de modelos de IA de uso general, incluidos los requisitos de documentación y transparencia. El Artículo 53 impone obligaciones adicionales y más estrictas exclusivamente a los proveedores de modelos GPAI con riesgo sistémico, incluidas las pruebas de adversario, la notificación de incidentes y las medidas de ciberseguridad.
El Artículo 53 no exige restringir el acceso, pero sí requiere que los proveedores implementen políticas y medidas técnicas proporcionales al riesgo sistémico. Esto puede incluir controles de acceso cuando estén justificados por los hallazgos de las pruebas de adversario o la evaluación de riesgos de ciberseguridad.
Un incidente grave conforme al Artículo 53 hace referencia a cualquier incidente o mal funcionamiento de un modelo GPAI con riesgo sistémico que resulte o tenga una probabilidad razonable de resultar en muerte, daño grave a la salud, perturbación grave de infraestructuras críticas, daños materiales o efectos adversos significativos sobre los derechos fundamentales. Los proveedores deben notificar dichos incidentes a la Oficina de IA sin demora injustificada.
El Artículo 53 se hizo aplicable el 2 de agosto de 2025, doce meses después de que el Reglamento entrara en vigor el 1 de agosto de 2024. Esto refleja el calendario específico de la Ley de IA de la UE para las disposiciones del Título V que regulan los modelos de IA de uso general.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.