Obligaciones del Reglamento de IA de la UE para bancos, entidades de crédito y empresas fintech. Puntuación crediticia con IA, sistemas AML, negociación algorítmica, intersección con DORA y directrices de la EBA.
Por qué el Sector Bancario Concentra una Mayor Exposición al Reglamento de IA de la UE
El sector bancario y de servicios financieros se sitúa en la intersección de las obligaciones más estrictas del Reglamento de IA de la UE y el entorno regulatorio más complejo de la UE. Las entidades financieras se encuentran entre los mayores implantadores de IA en Europa — en la suscripción de crédito, la detección de fraude, el cribado AML/CFT, la diligencia debida con clientes, la negociación algorítmica y la gestión de patrimonios. El Reglamento de IA de la UE se dirige directamente a los casos de uso más relevantes a través del Anexo III, clasificando varias aplicaciones de IA financiera como de alto riesgo por definición.
La banca también opera bajo una densa capa regulatoria preexistente: DORA, MiFID II, CRD IV/CRR, Directivas AML, GDPR y BCBS 239. El Reglamento de IA de la UE no sustituye a estos marcos regulatorios — se añade a ellos. Para una entidad de crédito, la implantación de un modelo de puntuación crediticia basado en IA activa obligaciones simultáneas en virtud del Reglamento de IA (Anexo III, Art. 9–16), DORA (gestión del riesgo TIC) y las directrices de la EBA sobre gestión del riesgo de modelos.
Casos de Uso de IA de Alto Riesgo en Banca en Virtud del Anexo III
La categoría 5(b) del Anexo III menciona explícitamente la IA utilizada para la evaluación de solvencia crediticia o la puntuación de crédito de personas físicas, y la IA utilizada para evaluar el riesgo de crédito de personas jurídicas cuando la IA determina o influye de manera sustancial en el resultado. Esto abarca una amplia gama de implantaciones de IA financiera.
Los modelos de puntuación crediticia y suscripción — sistemas automatizados que determinan la elegibilidad de préstamos, los límites de crédito o los tipos de interés para clientes minoristas y PYME — son IA de alto riesgo en virtud del Art. 6(2) interpretado conjuntamente con el Anexo III. Los bancos que actúen como proveedores de estos sistemas deben completar las evaluaciones de conformidad, mantener documentación técnica en virtud del Art. 11, implantar sistemas de gestión del riesgo en virtud del Art. 9, garantizar mecanismos de supervisión humana en virtud del Art. 14 e inscribir el sistema en la base de datos del Reglamento de IA de la UE (Art. 71) antes de la implantación.
Los sistemas AML y de detección de fraude presentan una panorámica más matizada. Los sistemas que aplican el cribado de sanciones, la supervisión de transacciones o el análisis de comportamiento para detectar actividad sospechosa afectan generalmente a las entidades financieras en lugar de determinar directamente resultados para personas físicas. Cuando la salida de la IA constituye la base principal de una acción adversa contra un cliente (congelación de cuenta, denegación de servicio), puede activarse la clasificación de alto riesgo en virtud de la categoría 5(b) o la categoría 6 del Anexo III (aplicación de la ley) en función del papel de la autoridad nacional. Los bancos deben realizar un análisis de clasificación minucioso.
Las herramientas basadas en modelos de IA de uso general (GPAI) — grandes modelos de lenguaje utilizados para la atención al cliente, el procesamiento de documentos o el análisis de inversiones — están sujetas a los requisitos de transparencia del Art. 50 (divulgación de que los usuarios interactúan con IA) y, cuando el proveedor del modelo presenta riesgo sistémico, a las obligaciones del Art. 55.
Obligaciones del Proveedor frente al Implantador para los Bancos
Los bancos pueden actuar como proveedores (desarrollando sus propios modelos de IA), implantadores (utilizando sistemas de IA de terceros) o en ambas condiciones. La distinción determina el perfil de obligaciones:
| Función | Fuente de obligaciones | Requisitos clave |
|---|---|---|
| Proveedor | Art. 9–17 | Evaluación de conformidad, documentación técnica, SGC, inscripción |
| Implantador | Art. 26 | Supervisar el sistema, garantizar la supervisión humana, mantener registros, informar a los usuarios |
| Ambas | Art. 9–17 + Art. 26 | Obligaciones completas del proveedor + deberes de supervisión del implantador |
Los bancos que adquieren IA de puntuación crediticia de un proveedor fintech actúan como implantadores en virtud del Art. 26. Deben verificar que el proveedor haya completado la evaluación de conformidad, integrar la revisión humana en los procesos de decisión adversa, mantener registros de uso durante 10 años (Art. 26(6)) y garantizar que las decisiones de la IA se expliquen a las personas afectadas en virtud del Art. 22 del GDPR y del Art. 13 del Reglamento de IA de la UE.
Solapamiento con la Regulación Sectorial: DORA, MiFID II y Solvencia II
DORA (Reglamento 2022/2554) se aplica a bancos, empresas de inversión, compañías de seguros y proveedores de TIC terceros. En lo que respecta específicamente a la IA, DORA exige:
- Los sistemas de IA tratados como sistemas TIC sujetos a marcos de gestión del riesgo (Art. 6 DORA)
- Clasificación y notificación de incidentes relacionados con las TIC — los fallos de IA pueden constituir incidentes TIC importantes
- Pruebas de resiliencia de los sistemas TIC críticos — modelos de IA incluidos cuando sean materiales para las operaciones
- Gestión del riesgo de terceros que cubra los contratos con proveedores de IA, las estrategias de salida y los derechos de auditoría
MiFID II (Directiva de Mercados de Instrumentos Financieros) se aplica a la negociación algorítmica y el asesoramiento de inversiones. Las recomendaciones de inversión generadas por IA activan los requisitos de evaluación de idoneidad; los sistemas de negociación algorítmica requieren controles previos a la negociación, interruptores de emergencia y notificación al regulador.
Las Directrices de la EBA sobre Gestión del Riesgo TIC y de Seguridad (EBA/GL/2019/04, actualizadas en 2022) exigen una gobernanza del riesgo tecnológico que abarque los modelos de IA, los requisitos de continuidad operativa y la independencia en la validación de modelos. Estos requisitos se alinean sustancialmente con los requisitos de gestión del riesgo del Art. 9 del Reglamento de IA de la UE.
Autoridades de Supervisión
La aplicación del Reglamento de IA de la UE para la IA bancaria opera a través de una estructura de autoridades de doble nivel:
Las Autoridades Nacionales Competentes (ANC) designadas por cada Estado miembro en virtud del Art. 70 son los organismos principales de aplicación del Reglamento de IA. Pueden realizar vigilancia del mercado, solicitar documentación técnica e imponer multas (hasta 30 millones de euros o el 6 % de la facturación anual mundial en virtud del Art. 99).
La Autoridad Bancaria Europea (EBA) coordina la supervisión de la IA específica del sector bancario en toda la unión bancaria, proporciona normas técnicas sobre riesgo TIC y emite directrices que determinan las expectativas supervisoras nacionales. La EBA también participa en el Consejo Europeo de IA creado en virtud del Art. 65.
El BCE y los supervisores prudenciales nacionales pueden solicitar documentación sobre modelos de IA como parte de las evaluaciones SREP (Proceso de Revisión y Evaluación Supervisora) en virtud de CRD IV cuando la IA impulse decisiones materiales de crédito o riesgo operacional.
Hoja de Ruta de Cumplimiento para los Bancos
Inmediato (ahora → agosto de 2026): Completar la verificación del cumplimiento de las prohibiciones — revisar todos los sistemas de IA para detectar prácticas prohibidas en virtud del Art. 5, incluida la puntuación social y la identificación biométrica en tiempo real en espacios públicos. Estas prohibiciones se aplican de inmediato a los nuevos contratos.
T3 2026 — Auditoría de clasificación de alto riesgo: Mapear todos los sistemas de IA implantados y en desarrollo respecto al Anexo III, específicamente las categorías 5(b) y 5(c). Documentar la justificación de la clasificación. Consultar con los equipos jurídico y de cumplimiento para evaluar el solapamiento con DORA.
T4 2026 — Obligaciones del proveedor para la IA desarrollada internamente: Para los modelos de puntuación crediticia y suscripción desarrollados internamente, iniciar los procedimientos de evaluación de conformidad, elaborar documentación técnica conforme al Anexo IV e implantar el SGC en virtud del Art. 17.
2027 — Obligaciones del implantador para la IA de terceros: Auditar todos los contratos con proveedores de IA en materia de cumplimiento del Reglamento de IA de la UE. Exigir a los proveedores que faciliten declaraciones de conformidad y números de inscripción. Actualizar los acuerdos de tratamiento de datos para reflejar las obligaciones de registro del Art. 26.
Agosto de 2027 — Obligaciones GPAI en vigor: Garantizar que todos los LLM y modelos de base de terceros utilizados en aplicaciones bancarias cumplan los Art. 51–55. Verificar que los proveedores hayan publicado documentación de transparencia en virtud del Art. 53.
Diciembre de 2027 — Plazo para la IA de alto riesgo: Cumplimiento total requerido para todos los sistemas de IA de alto riesgo del Anexo III. Garantizar la inscripción en la base de datos del Reglamento de IA de la UE, los mecanismos operativos de supervisión humana y los planes de seguimiento poscomercialización en virtud del Art. 72.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Los bancos están sujetos al Reglamento de IA de la UE principalmente a través de las categorías 5(b) y 5(c) del Anexo III: IA utilizada en la evaluación de solvencia crediticia y puntuación de crédito, e IA utilizada en la suscripción de seguros de vida y de salud. Estos sistemas se clasifican como sistemas de IA de alto riesgo y requieren evaluaciones de conformidad, documentación técnica, mecanismos de supervisión humana e inscripción en la base de datos del Reglamento de IA de la UE. Además, los bancos que utilicen IA para el cribado de prevención del blanqueo de capitales (AML), la detección de fraude o la diligencia debida con clientes pueden quedar incluidos en el Anexo III en función de la finalidad del sistema y de las decisiones que influya.
DORA (Reglamento de Resiliencia Operativa Digital, Reglamento 2022/2554) y el Reglamento de IA de la UE generan obligaciones que se solapan pero son distintas. DORA exige a las entidades financieras gestionar el riesgo TIC, realizar pruebas de resiliencia y mantener capacidades de notificación de incidentes — esto se aplica a los sistemas de IA en tanto que herramientas TIC. El Reglamento de IA de la UE añade requisitos de clasificación del riesgo, evaluación de conformidad, transparencia y supervisión humana específicos para los sistemas de IA. Una entidad de crédito que opere un sistema de puntuación crediticia basado en IA debe cumplir tanto el marco de gestión del riesgo TIC de DORA como los requisitos del Reglamento de IA de la UE para sistemas de IA de alto riesgo. Las directrices de la EBA sobre gestión del riesgo TIC y de seguridad se aplican en paralelo.
Los sistemas de negociación algorítmica no figuran directamente en el Anexo III, por lo que no constituyen automáticamente IA de alto riesgo en virtud del Reglamento de IA de la UE. Sin embargo, si un algoritmo de negociación se utiliza como componente de una evaluación de solvencia crediticia o influye en el acceso a servicios financieros de forma que afecte a personas físicas, puede quedar dentro del ámbito del Anexo III. Los requisitos de MiFID II para la negociación algorítmica — incluidos los interruptores de emergencia, las pruebas de sistemas y los registros de auditoría — siguen siendo plenamente aplicables. Los requisitos de transparencia del Art. 50 del Reglamento de IA de la UE se aplican a la IA que interactúa con personas físicas, y las obligaciones relativas a modelos de IA de uso general del Art. 51 se aplican a los grandes modelos de lenguaje utilizados en plataformas de negociación o análisis.
La Autoridad Bancaria Europea (EBA) ha publicado directrices sobre gobernanza interna (EBA/GL/2021/05) y gestión del riesgo TIC que inciden directamente en las expectativas de gobernanza de la IA para los bancos. Los requisitos clave incluyen la responsabilidad del consejo de administración respecto a la estrategia de IA, la validación independiente de los modelos de IA utilizados en el riesgo de crédito, los marcos de riesgo operacional que cubran los fallos de IA y los requisitos de explicabilidad para los sistemas de IA que afecten a las decisiones crediticias. Las consultas de la EBA sobre aprendizaje automático para modelos IRB establecen estándares cuantitativos para la validación de modelos, la calidad de los datos y el seguimiento del rendimiento, que se alinean estrechamente con los requisitos de gestión del riesgo del Art. 9 del Reglamento de IA de la UE.
Sí, en principio — el Reglamento de IA de la UE se aplica independientemente del tamaño de la empresa. Sin embargo, el Art. 9(5) exige que los sistemas de gestión del riesgo sean proporcionales al tamaño y la naturaleza del proveedor o el implantador. Las disposiciones para PYME y startups recogidas en el Art. 55 y los Art. 57 a Art. 63 proporcionan acceso a espacios regulatorios controlados operados por las autoridades nacionales competentes, reduciendo los obstáculos para las pruebas de cumplimiento. El Hub de Innovación de la EBA y el Foro Europeo de Facilitadores de la Innovación (EFIF) ofrecen apoyo adicional a las empresas fintech que navegan por la regulación de la IA.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.