Plantilla de documentación técnica del Anexo IV para IA de calificación crediticia
Plantilla práctica del Anexo IV para IA de calificación crediticia con arreglo al Anexo III, punto 5, letra b), de la Ley de IA de la UE. Las 9 áreas de contenido con ejemplos de calificación crediticia. Plazo: 2 dic 2027.
La calificación crediticia se sitúa de lleno en el nivel de alto riesgo. El Anexo III, punto 5, letra b), del Reglamento (UE) 2024/1689 cubre los sistemas de IA que evalúan la solvencia de las personas físicas o establecen su calificación crediticia — con una única excepción excluida: la detección de fraude pura. Si su sistema evalúa si una persona puede devolver un préstamo, es de alto riesgo con independencia de la exactitud o la escala de despliegue.
Esa clasificación activa el conjunto completo de obligaciones de los Artículos 9 a 15 y, de forma más concreta, el requisito del Artículo 11 de elaborar la documentación técnica en la forma prescrita por el Anexo IV. En virtud del Artículo 18, debe conservar esa documentación — y todas las revisiones sustanciales — durante diez años a partir de la fecha en que el sistema se introduzca en el mercado. La vía de evaluación de la conformidad para el Anexo III 5(b) es la autoevaluación interna con arreglo al Anexo VI (Artículo 43, apartado 2); no se requiere ningún organismo notificado, a diferencia de la biometría del Anexo III, punto 1.
El plazo para los sistemas de IA de alto riesgo autónomos del Anexo III es el 2 de diciembre de 2027, aplazado respecto de la fecha original de agosto de 2026 en virtud del Ómnibus Digital acordado en mayo de 2026. Reunir un paquete del Anexo IV defendible para un sistema de calificación crediticia lleva meses; los proveedores que traten el plazo como algo lejano irán con prisas a finales de 2027.
Este artículo recorre cada una de las nueve áreas de contenido del Anexo IV, con orientaciones específicas de la calificación crediticia y plantillas para rellenar en cada una.
Sección 1: Descripción general
Qué abarca. La finalidad prevista, la identidad del proveedor, la versión y cómo se describe el sistema a los responsables del despliegue con arreglo al Artículo 11.
Campos de la plantilla.
| Campo | Ejemplo de calificación crediticia |
|---|---|
| Finalidad prevista | Evaluar la solvencia de las personas físicas que solicitan un crédito al consumo sin garantía (500-25 000 EUR, 6-84 meses) en [Estados miembros]. Salida: puntuación 0-1000 y una recomendación binaria de aprobación/derivación en un umbral configurable. |
| Proveedor | [Entidad jurídica, domicilio social, NIF/registro mercantil] |
| Representante autorizado | [Exigido con arreglo al Artículo 22 si el proveedor no es de la UE] |
| Versión | v2.4.1, publicada el [DD/MM/AAAA] |
| Entorno de hardware/software | [Proveedor de nube, región; especificaciones mínimas locales] |
Punto de precisión. «Solvencia de las personas físicas» es el ámbito del Anexo III 5(b). Si su sistema también puntúa a personas jurídicas, documente esa función por separado para que el perímetro de cumplimiento de alto riesgo sea inequívoco.
Sección 2: Descripción detallada del sistema
Qué abarca. Las decisiones de diseño, la arquitectura del modelo, la lógica de decisión, el proceso de desarrollo y la interfaz de supervisión humana (Artículo 14).
Narrativa de la arquitectura (ejemplo práctico).
ScoreCore v2.4.1 es un conjunto de potenciación del gradiente (XGBoost, 300 estimadores, profundidad máxima 5) calibrado con regresión isotónica para producir salidas de probabilidad de impago. El modelo utiliza 42 variables de entrada de tres fuentes: datos de líneas de crédito de la central de información crediticia (55 %), variables a nivel de solicitud (30 %) y datos de comportamiento de la relación existente (15 %). Las variables se seleccionaron mediante un filtrado por valor de información (IV > 0,02). No se utilizan variables que codifiquen directamente el género, la etnia, la religión o la discapacidad; el código postal a nivel NUTS-3 se identificó como un indicador indirecto débil de la etnia en la v2.2 y se eliminó en la v2.3.0.
Lógica de decisión. El umbral de aprobación por defecto es una puntuación de 620 (probabilidad de impago ≤ 7,4 %). Los responsables del despliegue pueden ajustarlo dentro de una banda de 580-680; cualquier umbral fuera de esa banda requiere una justificación documentada. Las puntuaciones entre 580 y 640 se señalan para revisión humana obligatoria — el sistema no rechaza automáticamente por debajo del umbral; emite una derivación.
Interfaz de supervisión humana. Documente la interfaz a través de la cual se ejerce la supervisión del Artículo 14: como mínimo, debe mostrar la puntuación, los tres factores que más contribuyen y una marca de revisión obligatoria para los casos cercanos al umbral.
Sección 3: Vigilancia, funcionamiento y control
Qué abarca. El registro, los umbrales de deriva del rendimiento y los mecanismos para anular o detener el sistema.
Registro. En virtud del Artículo 12, los sistemas de alto riesgo deben generar registros automáticamente. Cada evento de inferencia debe registrar: marca de tiempo, hash de las variables de entrada (o los valores cuando la minimización del RGPD lo permita), puntuación de salida, recomendación y estado de anulación humana. Los proveedores conservan los registros que controlan durante al menos seis meses; el expediente técnico completo se conserva diez años con arreglo al Artículo 18.
Umbrales de vigilancia de la deriva (ejemplo).
| Métrica | Umbral de alerta | Acción |
|---|---|---|
| Tasa de aprobación | ±5 pp en una ventana móvil de 30 días | Notificar al responsable del despliegue; revisión del proveedor en un plazo de 14 días |
| AUC-ROC | Caída por debajo de 0,70 | Evaluación obligatoria de reentrenamiento |
| Ratio de impacto dispar (género) | Por debajo de 0,80 | Escalar al comité de riesgos del proveedor |
| Índice de estabilidad de la población | PSI > 0,20 | Investigación de la estabilidad de la población |
Detención del sistema. Documente el mecanismo — interruptor de parada de la API, marca controlada por el responsable del despliegue — y el proceso de reserva cuando el sistema se suspenda.
Sección 4: Datos y gobernanza de datos
Qué abarca. El Artículo 10 rige los datos y la gobernanza de datos. Documente los conjuntos de datos de entrenamiento, validación y prueba; la representatividad en los grupos protegidos; y el análisis de sesgos y las medidas de mitigación.
Resumen de los conjuntos de datos.
| Conjunto de datos | Tamaño | Período | Ámbito |
|---|---|---|---|
| Entrenamiento | 480 000 préstamos | 2017-2023 | DE, AT, NL, PL |
| Validación | 120 000 préstamos | 2022-2023 (temporal reservado) | El mismo |
| Prueba | 60 000 préstamos | 2024 (fuera de muestra) | El mismo + mercados prospectivos |
Representatividad (Artículo 10, apartado 2). Desagregue por género, cohorte de edad y geografía. Documente todo grupo que esté infrarrepresentado en relación con la población de solicitantes del responsable del despliegue (prestatarios con escaso historial, inmigrantes recientes, solicitantes menores de 25 años sin historial crediticio) y qué hizo para abordarlo — remuestreo estratificado, obtención de fuentes complementarias, un submodelo independiente.
Análisis y mitigación de sesgos (Artículo 10, apartado 5). Calcule y documente: la ratio de impacto dispar (tasa de aprobación del grupo protegido / grupo de referencia); las probabilidades igualadas (tasas de verdaderos positivos y de falsos positivos entre grupos); la calibración por grupo. Las medidas de mitigación deben incluir métricas de antes/después, no solo una narrativa de la intervención.
Sección 5: Exactitud, robustez y ciberseguridad
Qué abarca. El Artículo 15 rige la exactitud, la robustez y la ciberseguridad. Declare los niveles de rendimiento y la metodología de pruebas que los estableció.
Métricas de exactitud declaradas (ejemplo).
| Métrica | Valor | Conjunto de prueba |
|---|---|---|
| AUC-ROC | 0,742 | Fuera de muestra 2024, n = 60 000 |
| Coeficiente de Gini | 0,484 | El mismo |
| Estadístico KS | 0,396 | El mismo |
| Tasa de aprobación en el umbral | 41,2 % | El mismo |
Desagregue por género y cohorte de edad. Si el AUC varía por geografía, divúlguelo — una diferencia de 4 puntos entre subpoblaciones nacionales es material y debe mostrarse a los responsables del despliegue.
Pruebas de robustez. Documente: la perturbación de las entradas (±10 % de los ingresos declarados — ¿cambia la puntuación de forma abrupta o proporcional?); el desplazamiento de la distribución (rendimiento con los datos de la recesión de 2020-2021 frente al período de entrenamiento de 2017-2019); la degradación por datos faltantes (datos de la central no disponibles para el 5 %/10 %/20 % de las variables).
Ciberseguridad. Documente los controles de acceso a la API de inferencia, el cifrado en reposo de los artefactos del modelo y el proceso para detectar un ataque de extracción del modelo o de envenenamiento de variables.
Sección 6: Salidas del sistema de gestión de riesgos
Qué abarca. El Artículo 9 obliga a un sistema de gestión de riesgos continuo. La Sección 6 documenta sus salidas: los riesgos identificados, las medidas de mitigación y los riesgos residuales de los que se informa a los responsables del despliegue.
Registro de riesgos (extracto).
| Riesgo | Probabilidad | Gravedad | Mitigación | Residual |
|---|---|---|---|---|
| Una mayor tasa de falsos negativos para los mayores de 65 años deniega el crédito a solicitantes mayores solventes | Media | Alta | Marca de revisión humana obligatoria; vigilancia del rendimiento separada para la cohorte | Bajo — documentado en las instrucciones para el responsable del despliegue |
| Deriva del modelo en una recesión económica | Media | Media | Vigilancia del PSI; protocolo de reentrenamiento | Los responsables del despliegue deben implantar una vía de escalado para la anulación manual |
| Configuración errónea del umbral por el responsable del despliegue | Baja | Alta | Límites estrictos de la API en el parámetro de umbral; registro de auditoría de todos los cambios | Bajo |
| Manipulación de la puntuación mediante la tergiversación de ingresos | Baja | Media | Requisito de verificación de ingresos en las instrucciones del responsable del despliegue; detección de anomalías entre los datos de la central y los declarados | Residual — obligación de diligencia debida del responsable del despliegue |
El Artículo 9, apartado 7, le exige tener en cuenta el uso indebido razonablemente previsible — por ejemplo, un responsable del despliegue que utilice un modelo de crédito al consumo para cribar a solicitantes de hipotecas. Documente los usos fuera del ámbito y los controles contractuales y técnicos que los impiden.
Sección 7: Cambios en el ciclo de vida
Qué abarca. Los cambios en el sistema a lo largo de su vida, incluidos los eventos de reentrenamiento, las modificaciones sustanciales y su impacto en el cumplimiento.
La modificación sustancial se define en el artículo 3, punto 23: un cambio que afecta al cumplimiento por parte del sistema de los requisitos de la Ley o que cambia su finalidad prevista. Para un modelo de calificación crediticia, esto suele incluir el reentrenamiento con un conjunto de datos materialmente diferente, la adición o eliminación de variables que afectan al perfil de equidad, o el despliegue en un nuevo Estado miembro con una población de solicitantes materialmente diferente.
Registro de versiones (extracto).
| Versión | Cambio | Impacto | ¿Se necesita nueva evaluación? |
|---|---|---|---|
| v2.3.0 | Eliminado el código postal NUTS-3; añadida la ratio de utilización de la central | Riesgo de sesgo reducido; AUC sin cambios | No |
| v2.4.0 | Reentrenado con datos de 2022-2023; añadidos los mercados CZ/SK | El nuevo ámbito geográfico requiere validación independiente | Sí — Anexo IV actualizado; Anexo VI vuelto a ejecutar |
| v2.4.1 | Corrección de error: error en la marca de tiempo del registro | Sin impacto en el rendimiento del modelo | No |
Registre cada cambio, incluso los menores. Un historial de versiones limpio es en sí mismo prueba de un proceso de gestión de riesgos del Artículo 9 que funciona.
Sección 8: Normas aplicadas
Qué abarca. Las normas armonizadas, las especificaciones comunes u otras normas técnicas aplicadas en el desarrollo y la validación.
| Norma | Pertinencia |
|---|---|
| ISO/IEC 42001:2023 | Sistema de gestión de la IA; 38 controles del Anexo A se corresponden con el Artículo 17 (SGC) y la evidencia del Artículo 9. La certificación es voluntaria y no sustituye a la evaluación de la conformidad del Artículo 43. |
| ISO/IEC 23894:2023 | Orientación sobre la gestión de riesgos de la IA; apoya la documentación del Artículo 9 |
| ISO/IEC 24029 | Robustez de las redes neuronales; aplicable a los modelos de conjunto con arreglo al Artículo 15 |
| NIST AI RMF 1.0 | No es una norma de la UE; remítase explícitamente a los artículos de la Ley de IA de la UE si la cita |
| EBA GL/2021/05 (gobernanza interna) | Cuando el responsable del despliegue es una entidad regulada por la ABE; anticipe la intersección en su expediente técnico |
A mediados de 2026, el CEN/CENELEC no ha publicado normas armonizadas con arreglo a la Ley de IA de la UE. Aplicarlas cuando se publiquen crea una presunción de conformidad. Vigile la lista publicada por la Comisión.
Sección 9: Declaración UE de conformidad
Qué abarca. El Artículo 47 exige una declaración de conformidad por escrito antes de la introducción en el mercado. El Anexo V establece su contenido. La declaración es un documento independiente referenciado en el expediente técnico.
Texto de la plantilla (estructura del Anexo V).
DECLARACIÓN UE DE CONFORMIDAD
Proveedor: [Nombre de la entidad jurídica, domicilio social]
Sistema de IA: [Nombre del sistema], versión [X.X.X]
Finalidad prevista: Evaluación de la solvencia de las personas físicas en relación con productos de crédito al consumo según se describe en la documentación técnica referenciada más abajo.
Clasificación de alto riesgo: Anexo III, punto 5, letra b), del Reglamento (UE) 2024/1689 — sistemas de IA utilizados para evaluar la solvencia de las personas físicas o establecer su calificación crediticia, excluida la detección de fraude.
La presente declaración se expide bajo la responsabilidad exclusiva del proveedor arriba indicado.
El sistema de IA descrito anteriormente ha sido evaluado y se ha constatado que es conforme con el Reglamento (UE) 2024/1689, en particular con los Artículos 9, 10, 11, 12, 13, 14, 15, 16 y 17.
Procedimiento de evaluación de la conformidad aplicado: Anexo VI (autoevaluación interna), de conformidad con el Artículo 43, apartado 2.
Referencia de la documentación técnica: [Referencia del documento / versión / fecha]
Normas aplicadas: [Lista de la Sección 8]
Fecha de expedición: [DD/MM/AAAA]
Firmado en nombre y representación de [Nombre del proveedor]:
Nombre: ________ Cargo: ________ Firma: ________
Conserve la declaración durante diez años desde la introducción en el mercado (Artículo 18). Registre el sistema en la base de datos de la UE con arreglo al Artículo 49 antes de introducirlo en el mercado.
Nota para el responsable del despliegue: EIDF y Artículo 26
El expediente del Anexo IV es obligación del proveedor. Los responsables del despliegue de sistemas del Anexo III 5(b) tienen dos deberes específicos que conviene señalar:
Evaluación de impacto relativa a los derechos fundamentales (EIDF) del Artículo 27. Los responsables del despliegue de la calificación de la solvencia figuran entre quienes están explícitamente obligados a realizar una EIDF. Este es uno de los pocos casos en que un responsable del despliegue del sector privado — no solo un organismo público — debe realizar la evaluación. En virtud del Artículo 27, apartado 4, la EIDF puede basarse en una EIPD del RGPD ya existente (artículo 35 del RGPD), pero las dos son distintas: la EIPD aborda el riesgo para la protección de datos; la EIDF aborda el impacto en los derechos fundamentales.
Obligaciones del Artículo 26. Los responsables del despliegue deben utilizar el sistema según las instrucciones del proveedor, implantar las medidas de supervisión humana de la Sección 3, conservar los registros durante al menos seis meses y notificar los incidentes graves al proveedor.
Cómo ayuda Confir
El motor basado en reglas de Confir genera el paquete de documentación técnica del Anexo IV en menos de dos horas. Usted responde a una admisión estructurada — finalidad prevista, arquitectura del modelo, fuentes de datos, métricas de rendimiento, controles de riesgo — y la lógica determinista de Confir corresponde sus respuestas a las nueve áreas de contenido del Anexo IV, señala las lagunas de documentación y produce un expediente técnico listo para imprimir. El mismo flujo de trabajo genera la declaración de conformidad del Artículo 47 / Anexo VI y, para las entidades que despliegan, la EIDF del Artículo 27. Las mismas entradas, las mismas salidas, cada regla trazable — la reproducibilidad que espera una autoridad reguladora.
Preguntas frecuentes
¿Qué punto del Anexo III cubre la calificación crediticia, e incluye la detección de fraude?
La calificación crediticia entra en el Anexo III, punto 5, letra b): sistemas de IA que evalúan la solvencia de las personas físicas o establecen su calificación crediticia. La detección de fraude está excluida — un sistema cuya única función sea detectar el fraude no es de alto riesgo con arreglo a este punto. Si la lógica de detección de fraude está integrada en su salida de solvencia, el sistema en su conjunto entra en el 5(b). Separe las funciones arquitectónicamente si desea excluir los componentes de fraude del ámbito del Anexo IV.
¿Requiere la calificación crediticia un organismo notificado para la evaluación de la conformidad?
No. El punto 5(b) utiliza la vía de autoevaluación interna con arreglo al Anexo VI, de conformidad con el Artículo 43, apartado 2. Usted realiza la evaluación y expide la declaración por sí mismo. Se requiere un organismo notificado para los sistemas biométricos del Anexo III, punto 1 (cuando no se aplican normas armonizadas), pero no para la calificación crediticia. Pueden contratarse auditores externos de forma voluntaria.
¿Cuál es el plazo de cumplimiento para un sistema de calificación crediticia?
Los sistemas de IA de alto riesgo autónomos del Anexo III deben cumplir antes del 2 de diciembre de 2027, en virtud del Ómnibus Digital acordado en mayo de 2026. Reunir un expediente del Anexo IV completo, realizar el análisis de sesgos en los grupos protegidos y completar la autoevaluación del Anexo VI lleva varios meses. Empezar en 2026 es el ritmo adecuado.
¿Qué le ocurre al expediente técnico cuando se reentrena el modelo?
Si el reentrenamiento es una modificación sustancial con arreglo al artículo 3, punto 23 — nueva finalidad prevista, conjunto de datos materialmente diferente, nuevo ámbito geográfico —, el expediente del Anexo IV debe actualizarse y debe completarse una nueva evaluación de la conformidad del Anexo VI antes del despliegue. Las actualizaciones menores que no afectan al cumplimiento no requieren una nueva evaluación, pero deben registrarse en la Sección 7. El reloj de conservación de diez años corre a partir de la fecha en que cada versión se introduce en el mercado.
¿Recae la obligación de la EIDF en el proveedor o en el responsable del despliegue?
La EIDF del Artículo 27 recae en el responsable del despliegue. Se aplica a los responsables del despliegue de sistemas de solvencia (Anexo III 5(b)) — uno de los pocos casos en que un responsable del despliegue del sector privado, y no solo un organismo público, debe realizar la evaluación. Los proveedores deben documentar las implicaciones del sistema para los derechos fundamentales en el documento de información del Artículo 13 para ayudar a los responsables del despliegue a completar su EIDF.
¿Cuáles son las sanciones por documentación técnica ausente o deficiente?
No cumplir el Artículo 11 y el Anexo IV infringe las obligaciones del Capítulo III. En virtud del Artículo 99, apartado 4, la multa máxima es de 15 000 000 EUR o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor. Para las pymes y las empresas emergentes, el Artículo 99, apartado 6, limita la multa al menor de los dos importes, el porcentaje o la cantidad fija. Facilitar información incorrecta o incompleta a una autoridad competente activa el tramo inferior del Artículo 99, apartado 5: hasta 7 500 000 EUR o el 1 %.
Guías relacionadas
- requisitos de cumplimiento de la IA en fintech
- obligaciones del proveedor con arreglo al Artículo 16
- marco de gestión de riesgos del Artículo 9
- estrategias de mitigación de sesgos
- caso de uso de calificación crediticia del Anexo III
- documentación técnica del Artículo 11
- estructura de la documentación técnica del Anexo IV
- clasificación de alto riesgo del Artículo 6
Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar
Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.
Empieza la prueba gratuita →