El Reglamento de IA de la UE en el Sector Financiero: Bancos, Aseguradoras e Instituciones de Crédito

Los bancos, aseguradoras, gestores de activos e instituciones de pago se enfrentan a las obligaciones del Reglamento de IA de la UE superpuestas a la regulación financiera existente (DORA, MiFID II, RGPD, CRR). Esta página explica qué casos de uso de IA son de alto riesgo, cómo interactúan los reguladores sectoriales con el Reglamento de IA y qué deben hacer las instituciones financieras para cumplir.

El Reglamento de IA Llega a las Finanzas

Las instituciones financieras — bancos, aseguradoras, gestores de activos, proveedores de pago, agencias de crédito — se encuentran entre los usuarios más intensivos de IA en Europa. La puntuación crediticia, la detección de fraudes, la negociación algorítmica, la elaboración de perfiles de riesgo del cliente, la suscripción de seguros, la automatización de informes regulatorios y el cribado AML/KYC se basan en sistemas de IA que pueden estar sujetos al Reglamento de IA de la UE.

Para las instituciones financieras, el Reglamento de IA de la UE no llega de forma aislada. Se superpone a una pila regulatoria ya densa: DORA (resiliencia digital), MiFID II (servicios de inversión), RGPD (protección de datos), CRR/CRD (requisitos de capital), Solvencia II (seguros), PSD2/PSD3 (servicios de pago) y las directrices sectoriales de la ABE, EIOPA y ESMA. Comprender cómo el Reglamento de IA se integra con — y a veces entra en conflicto con — la regulación financiera existente es esencial para un cumplimiento eficiente.

¿Qué Casos de Uso de IA Son de Alto Riesgo en las Finanzas?

El Anexo III del Reglamento de IA de la UE identifica los casos de uso que son automáticamente de alto riesgo. En el sector financiero, los más directamente relevantes son:

Categoría 5(b): Evaluación de la Solvencia Crediticia

Alto riesgo. Los sistemas de IA utilizados para evaluar la solvencia de personas físicas o para clasificarlas en términos de riesgo de crédito están expresamente enumerados. Esto cubre:

Puntuación crediticia automatizada para préstamos al consumo, descubiertos personales, tarjetas de crédito e hipotecas
Modelos que evalúan la probabilidad de reembolso, el riesgo de impago o la capacidad de deuda de los consumidores individuales
Sistemas de IA que recomiendan límites de crédito o importes de préstamos basándose en la evaluación del riesgo individual

No cubierto automáticamente: Los modelos de crédito corporativo que evalúan entidades jurídicas en lugar de personas físicas, aunque estos pueden seguir desencadenando obligaciones de transparencia del Art. 50 según el despliegue.

Categoría 5(b): Decisiones sobre Primas y Cobertura de Seguros

Alto riesgo si afecta significativamente a personas físicas. Los sistemas de IA que toman o influyen fuertemente en decisiones sobre:

Cobertura de seguros (aceptación o rechazo de solicitantes)
Niveles de primas (modelos actuariales que fijan primas individuales)
Evaluación y liquidación de reclamaciones (gestión automatizada de reclamaciones)

Los modelos de tarificación de seguros de automóvil, la suscripción de seguros de salud y los modelos de seguros de hogar para hogares están directamente en el ámbito. El factor determinante es si el sistema de IA toma o influye significativamente en una decisión que afecta materialmente al acceso de una persona física a un servicio privado esencial.

Categoría 1: Identificación Biométrica

Alto riesgo. Los sistemas de IA utilizados para:

Identificación biométrica remota de clientes (verificación de vídeo KYC, autenticación continua)
Categorización biométrica cuando influye en la clasificación del riesgo o el acceso a los servicios

La identificación biométrica en tiempo real en espacios de acceso público con fines de aplicación de la ley está prohibida en virtud del Art. 5. Los sistemas comerciales de verificación de identidad que utilizan reconocimiento facial para KYC están sujetos a requisitos de alto riesgo pero no están prohibidos.

Categoría 6: AML/KYC y Adyacente a la Aplicación de la Ley

Los sistemas de IA utilizados por las instituciones financieras para apoyar el cribado AML/KYC, el filtrado de sanciones o la supervisión de transacciones cuando el resultado se notifica a o es utilizado por la aplicación de la ley pueden encuadrarse en la categoría 6 del Anexo III (aplicación de la ley). Esto incluye:

Informes de Actividad Sospechosa (IAS) generados por IA transmitidos a las UIF
Sistemas automatizados de cribado de Personas Políticamente Expuestas (PEP)

Los sistemas utilizados exclusivamente para la gestión interna del riesgo sin resultado en la aplicación de la ley son menos propensos a ser clasificados como de alto riesgo en la categoría 6, aunque otras categorías pueden aplicarse.

Qué Significan las Obligaciones de IA de Alto Riesgo para las Instituciones Financieras

Si un sistema de IA utilizado por una institución financiera es de alto riesgo en virtud del Anexo III, las obligaciones difieren dependiendo de si la institución es un proveedor (construyó el sistema) o un operador (lo adquirió o licenció).

Si Es el Proveedor (Construyó el Sistema)

Sistema de gestión de riesgos (Art. 9): Establezca y mantenga un proceso de gestión de riesgos documentado que itere durante todo el ciclo de vida del sistema
Gobernanza de datos (Art. 10): Los datos de entrenamiento, validación y prueba deben estar sujetos a prácticas de gobernanza que cubran la relevancia, la representatividad y la evaluación del sesgo
Documentación técnica (Anexo IV): Expediente técnico completo que incluye la descripción del sistema, la arquitectura, el enfoque de entrenamiento, las métricas de rendimiento y el plan de vigilancia poscomercialización
Transparencia (Art. 13): Instrucciones de uso que permiten a los operadores comprender las capacidades, limitaciones y requisitos de supervisión
Supervisión humana (Art. 14): Medidas de diseño que permiten la supervisión e intervención humana
Exactitud, robustez, ciberseguridad (Art. 15): Niveles de rendimiento demostrados y resiliencia
Evaluación de la conformidad: Autoevaluación (Anexo VI) para la mayoría de los sistemas del Anexo III, o evaluación por organismo notificado para los sistemas biométricos
Marcado CE y declaración UE de conformidad
Registro en la base de datos de IA de la UE
Vigilancia poscomercialización (Art. 72): Sistema activo para recopilar datos de rendimiento en el mundo real y notificación de incidentes

Si Es el Operador (Adquirió/Licenció el Sistema)

Cumplimiento de instrucciones: Use el sistema estrictamente de acuerdo con las instrucciones del proveedor
Supervisión humana: Asigne personal cualificado para realizar la supervisión con la autoridad y los recursos adecuados
Calidad de los datos de entrada: Garantice que los datos de entrada sean relevantes y representativos para el contexto específico de despliegue
Retención de registros: Active y retenga los registros automáticos durante el período requerido
Notificación de incidentes: Notifique los incidentes graves al proveedor y, en algunos casos, directamente a las autoridades
Evaluación de impacto sobre los derechos fundamentales (Art. 27): Requerida para los organismos públicos; recomendada para los operadores del sector privado en contextos sensibles

Interacción con DORA

El Reglamento de Resiliencia Operativa Digital (DORA) entró en aplicación en enero de 2025 e impone requisitos integrales de gestión de riesgos TIC a las instituciones financieras — incluidos los sistemas de IA como componentes TIC.

Puntos de interacción clave:

Marco de Gestión de Riesgos TIC

DORA exige a las instituciones financieras mantener un marco de gestión de riesgos TIC que cubra la identificación, protección, detección, respuesta y recuperación. Los sistemas de IA son herramientas TIC sujetas a este marco. El Reglamento de IA añade requisitos específicos de IA encima: pruebas de sesgo, documentación de transparencia, diseño de supervisión humana y gestión del ciclo de vida.

En la práctica: El modelo de puntuación crediticia de IA de un banco debe cumplir con la gestión de riesgos TIC de DORA (detección de incidentes, planificación de continuidad, gestión de cambios) y los requisitos de alto riesgo del Reglamento de IA (sistema de gestión de riesgos, documentación técnica, vigilancia poscomercialización).

Riesgo de Terceros (Proveedores TIC de Terceros)

DORA impone requisitos detallados para la gestión de proveedores TIC de terceros — incluidos los requisitos contractuales, los derechos de auditoría y la supervisión de los proveedores críticos. Cuando una institución financiera usa un sistema de IA de un tercero (p. ej., un modelo de puntuación crediticia proporcionado por un proveedor), los requisitos de gestión del riesgo de terceros de DORA se aplican a ese proveedor.

Las obligaciones del operador del Reglamento de IA también se aplican — exigiendo que el proveedor suministre instrucciones, documentación de conformidad y capacidad de registro. Las instituciones financieras deben garantizar que sus contratos de proveedores de IA de terceros satisfagan tanto los requisitos del proveedor TIC de DORA como los derechos de información del operador del Reglamento de IA.

Notificación de Incidentes

DORA tiene su propio marco de notificación de incidentes para incidentes importantes relacionados con TIC, notificados a los supervisores sectoriales (ABE, EIOPA, ESMA). El Reglamento de IA exige que los incidentes graves que afectan a sistemas de IA de alto riesgo se notifiquen a las autoridades nacionales de vigilancia del mercado.

Estas son obligaciones de notificación separadas a autoridades diferentes. Un incidente grave que afecte a un sistema de IA de puntuación crediticia podría desencadenar tanto un informe de incidente de DORA (a la ABE/supervisor financiero nacional) como un informe de incidente del Reglamento de IA (a la autoridad de vigilancia del mercado).

Supervisores Sectoriales y Aplicación del Reglamento de IA

Para las instituciones financieras, los supervisores financieros sectoriales — ABE (banca), EIOPA (seguros), ESMA (valores y mercados) — tienen un papel específico en la implementación del Reglamento de IA, aunque no son la autoridad principal de aplicación del Reglamento de IA.

En virtud del Reglamento de IA, las instituciones financieras que son proveedores de sistemas de IA de alto riesgo deben registrarse en la base de datos de IA de la UE. En el sector financiero, la autoridad supervisora financiera pertinente puede ser designada como o colaborar con la autoridad nacional de vigilancia del mercado responsable de la supervisión del Reglamento de IA de ese sector.

Las Autoridades Europeas de Supervisión (AES) han sido activas en:

Publicar orientación sobre gobernanza de IA en los servicios financieros (directrices de la ABE sobre gobernanza interna, ML/IA en riesgo de crédito)
Contribuir a la orientación de implementación del Reglamento de IA para el sector financiero
Coordinarse con la Oficina de IA de la UE en la supervisión de modelos GPAI en la medida en que afectan a los servicios financieros

Prioridades Prácticas de Cumplimiento para las Instituciones Financieras

Inventariar todos los sistemas de IA en uso — clasificar cada uno frente a los criterios del Anexo III. Priorizar los sistemas de solvencia crediticia, tarificación de seguros y biometría/KYC.
Determinar el estado de proveedor vs. operador para cada sistema — ¿usa modelos proporcionados por proveedores o construye modelos internamente?
Alinear la gobernanza de IA con el marco de riesgos TIC de DORA — integrar las obligaciones del Reglamento de IA en la estructura de gobernanza de DORA existente para evitar procesos duplicados.
Revisar los contratos de proveedores de IA de terceros — garantizar que los contratos proporcionen: documentación de conformidad, instrucciones de uso, acceso a registros, compromisos de notificación de incidentes, obligaciones de actualización y derechos de auditoría.
Establecer mecanismos de supervisión humana — para los casos de uso de IA de alto riesgo, garantizar que el personal cualificado tenga la autoridad, las herramientas y el tiempo para revisar significativamente los resultados de la IA antes de que se tomen decisiones importantes.
Conectar con la vigilancia poscomercialización — ampliar los procesos existentes de gestión del riesgo de modelos (validación de modelos de Basilea, gestión de cambios de DORA) para cubrir los requisitos de vigilancia poscomercialización del Art. 72.
Prepararse para la base de datos de IA de la UE — si es proveedor de sistemas de IA de alto riesgo, el registro es obligatorio. Si es un organismo público operador, el registro también puede ser necesario.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-19 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

¿Están los modelos de puntuación crediticia sujetos a los requisitos de alto riesgo del Reglamento de IA de la UE?

Sí. Los sistemas de IA de evaluación de la solvencia crediticia — utilizados para evaluar la solvencia de personas físicas o para evaluar el riesgo de crédito — están expresamente enumerados en el Anexo III, categoría 5(b) como de alto riesgo. Esto cubre la puntuación crediticia automatizada para préstamos al consumo, hipotecas, tarjetas de crédito y descubiertos. Los sistemas utilizados exclusivamente para la evaluación crediticia corporativa pueden no estar en el ámbito, pero los sistemas que implican la evaluación de personas físicas individuales están claramente cubiertos.

¿Cómo interactúa DORA con el Reglamento de IA de la UE para las instituciones financieras?

DORA (Reglamento de Resiliencia Operativa Digital) y el Reglamento de IA de la UE tienen ámbitos superpuestos pero distintos. DORA cubre ampliamente la gestión de riesgos TIC — incluidos los sistemas de IA como herramientas TIC — con requisitos para la notificación de incidentes, las pruebas de resiliencia y la gestión del riesgo de terceros. El Reglamento de IA añade obligaciones específicas de IA (pruebas de sesgo, transparencia, supervisión humana, vigilancia poscomercialización) para los casos de uso de IA de alto riesgo. Para las instituciones financieras, el cumplimiento requiere abordar ambos marcos: DORA no exime a las instituciones de las obligaciones del Reglamento de IA, y el Reglamento de IA no sustituye los requisitos de riesgo TIC de DORA.

¿Los sistemas de IA utilizados para la detección de fraudes están clasificados como de alto riesgo del Reglamento de IA?

Depende del caso de uso. Los sistemas de IA utilizados para la detección de fraudes en transacciones en tiempo real — donde la IA señala transacciones sospechosas para revisión humana o las bloquea automáticamente — no son automáticamente de alto riesgo según el Anexo III. Sin embargo, si el sistema toma o influye fuertemente en decisiones que afectan significativamente a los individuos (p. ej., bloqueo de cuenta, reducción del límite de crédito, denegación de reclamación de seguro), el caso de uso puede encuadrarse en la categoría 5 del Anexo III (acceso a servicios esenciales). La certeza jurídica dependerá de la orientación regulatoria y el despliegue específico.

¿Los sistemas de IA utilizados para la tarificación y suscripción de seguros son de alto riesgo?

Los sistemas de IA de tarificación y suscripción de seguros que toman o influyen fuertemente en decisiones sobre la cobertura, los niveles de primas o la liquidación de reclamaciones para personas físicas probablemente se encuadren en la categoría 5 del Anexo III (acceso a servicios privados esenciales). Esto incluye los modelos de tarificación de seguros de automóvil, salud y hogar. Los modelos de suscripción de seguros de vida que evalúan el riesgo de longevidad para los individuos también pueden estar cubiertos. Cada caso de uso debe evaluarse individualmente frente a los criterios del Anexo III.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.