Skip to content
Confir.
Prueba gratuita
Blog

La Ley de IA de la UE para el sector fintech: clasificación de alto riesgo, obligaciones y el plazo que importa

Industry Guide4 May 2026· 20 min de lectura

La Ley de IA de la UE para el sector fintech: la calificación crediticia (Anexo III, 5, letra b)) es de alto riesgo; la detección de fraude no lo es. Obligaciones, EIDF y el plazo del 2 de diciembre de 2027.

Algoritmos de calificación crediticia. Motores de fijación de precios de seguros de vida. Roboasesores. Modelos de prevención del blanqueo de capitales. Toda empresa fintech que despliegue una toma de decisiones algorítmica se enfrenta a la misma primera pregunta con arreglo al Reglamento (UE) 2024/1689: ¿queda este sistema comprendido en el Anexo III — y, si es así, qué desencadena exactamente?

La respuesta no es uniforme en todos los servicios financieros. Dos casos de uso fintech se sitúan de lleno en la lista de alto riesgo. Varios otros que los profesionales suponen cubiertos no lo están — y tratarlos como equivalentes desperdicia recursos de cumplimiento y oscurece dónde muerden realmente las obligaciones. Este artículo cartografía con precisión el terreno regulatorio.

El foco de alto riesgo: la evaluación de la solvencia

La clasificación de alto riesgo más clara para el sector fintech es el Anexo III, punto 5, letra b): los sistemas de IA utilizados para evaluar la solvencia de personas físicas o establecer su calificación crediticia. Esto abarca la toma de decisiones automatizada en el crédito al consumo, la aprobación de tarjetas de crédito, las plataformas de préstamos entre particulares y cualquier modelo que determine si una persona obtiene acceso al crédito y en qué condiciones.

El punto 5, letra b), no exige que el sistema de IA adopte por sí solo la decisión final. Un modelo que produce una puntuación que un agente de préstamos utiliza después sigue estando comprendido en el ámbito si el resultado de la IA conforma materialmente el desenlace. La clave es si el sistema influye en el acceso a un servicio esencial para una persona física.

La exclusión por detección de fraude es real y significativa. El Anexo III, punto 5, letra b), excluye explícitamente los sistemas de IA utilizados para la detección de fraude. Un modelo que marca transacciones sospechosas, criba anomalías de pago o identifica patrones de apropiación de cuentas no es de alto riesgo por este motivo — con independencia de lo sofisticado que sea. El legislador de la UE hizo aquí una elección deliberada: los modelos de fraude protegen a los consumidores y al sistema financiero; no determinan el acceso al crédito o a los servicios de un modo que cree la misma exposición a los derechos fundamentales.

Esto importa en la práctica. Un prestamista que construye su propio modelo de crédito y licencia un motor de detección de fraude a un proveedor especializado tiene dos tareas de cumplimiento muy distintas. El modelo de crédito activa toda la pila de obligaciones de alto riesgo. El motor de fraude no — al menos no con arreglo al Anexo III, punto 5, letra b).

Fijación de precios de seguros de vida y de salud: Anexo III, punto 5, letra c)

El Anexo III, punto 5, letra c), abarca los sistemas de IA utilizados para evaluar riesgos y fijar precios en los seguros de salud y de vida. Esto comprende los modelos de suscripción que determinan los niveles de prima, la categorización del riesgo o la admisibilidad a la cobertura. Se aplica la misma pila de obligaciones de alto riesgo que para la calificación crediticia.

Las empresas de seguros que operan en varias jurisdicciones de la UE deben tener presente que esta clasificación del Anexo III opera junto a la regulación sectorial existente (Solvencia II, IDD). La Ley de IA de la UE no sustituye esos marcos — se superpone a ellos.

Lo que no está en el Anexo III (y por qué importa)

Varias aplicaciones habituales de IA en el sector fintech no figuran en el Anexo III como sistemas de alto riesgo:

Roboasesoramiento y negociación algorítmica. Una IA que recomienda carteras de inversión o ejecuta operaciones a velocidad algorítmica no está en el Anexo III. Se enfrenta a obligaciones con arreglo a MiFID II (gobernanza de productos, idoneidad, mejor ejecución) y al RGPD (cuando trata datos personales), pero el nivel de alto riesgo de la Ley de IA de la UE no se aplica. Si el sistema funciona como chatbot o interactúa con los usuarios, se aplican las reglas de transparencia de riesgo limitado del artículo 50 — pero eso es una obligación de información, no una evaluación de la conformidad.

PBC y seguimiento de transacciones. Como se ha señalado anteriormente, los modelos de fraude y de PBC quedan explícitamente excluidos del Anexo III, punto 5, letra b). Pueden estar sujetos a las directrices de la ABE sobre el riesgo de modelo y al artículo 22 del RGPD (decisiones automatizadas), pero no son sistemas de alto riesgo de la Ley de IA de la UE en virtud del Anexo III por sí solo.

CSC (KYC) y verificación de la identidad. La verificación automatizada de documentos de identidad — leer un pasaporte, cotejar una autofoto — no está en el Anexo III, salvo que constituya identificación biométrica remota utilizada en un espacio público con fines de garantía del cumplimiento del Derecho (Anexo III, punto 1). Los flujos estándar de alta de clientes con CSC quedan fuera de la lista de alto riesgo.

Saber qué queda fuera del ámbito es tan útil como saber qué entra en él. Clasificar erróneamente un modelo de fraude como de alto riesgo no solo es derrochador — indica a los auditores que su metodología de clasificación no es fiable.

Artículo 6, apartado 3: el filtro de la exención

Un sistema que entra dentro de una categoría del Anexo III sigue sin ser automáticamente de alto riesgo. El artículo 6, apartado 3, permite a un proveedor concluir que un sistema no plantea un riesgo significativo de perjuicio para la salud, la seguridad o los derechos fundamentales — siempre que cumpla una de cuatro condiciones: desempeña una tarea procedimental limitada; mejora el resultado de una actividad humana previamente realizada; detecta patrones de toma de decisiones sin sustituir ni influir en una evaluación humana; o realiza únicamente tareas preparatorias.

La exclusión tiene límites. Todo sistema que elabore perfiles de personas físicas es siempre de alto riesgo — el filtro del artículo 6, apartado 3, no puede aplicarse. Y los proveedores que invoquen la exención deben documentar su evaluación y registrar aun así el sistema en la base de datos de la UE con arreglo al artículo 49. La exención no es una manera de evitar el escrutinio; es un juicio de riesgo documentado.

Para un modelo de calificación crediticia que elabora perfiles de prestatarios, es improbable que el artículo 6, apartado 3, ofrezca alivio. Para una herramienta de precribado estrecha que solo comprueba si un formulario de solicitud está completo antes de que un humano lo revise, el argumento es más viable — pero aun así debe formularse por escrito.

Roles: ¿proveedor, responsable del despliegue o ambos?

La mayoría de los bancos y prestamistas son responsables del despliegue con arreglo al artículo 26. Licencian un modelo de calificación crediticia a un proveedor especializado, lo integran en su flujo de trabajo de originación de préstamos y utilizan los resultados para respaldar las decisiones de crédito. No construyeron el modelo, no lo entrenaron ni lo introdujeron en el mercado — de modo que no son el proveedor.

Un banco que construye internamente su propio modelo de calificación crediticia y lo utiliza es a la vez proveedor (artículo 16) y responsable del despliegue. Una empresa fintech que desarrolla un motor de calificación crediticia y lo licencia a otros prestamistas es un proveedor. El rol determina la pila de obligaciones.

El artículo 25 implica que el rol puede cambiar. Si un responsable del despliegue pone su propio nombre en un modelo de un tercero, lo modifica sustancialmente o lo reutiliza más allá de su uso previsto, pasa a ser proveedor y asume todo el conjunto de obligaciones del proveedor. Un prestamista que toma el modelo de un proveedor y lo reentrena con sus propios datos protegidos probablemente ha cruzado ese umbral.

Qué deben hacer los proveedores

Los proveedores de sistemas de IA de alto riesgo del Anexo III soportan las obligaciones más pesadas con arreglo a los artículos 9 a 17 y 43:

  • Artículo 9 — un sistema continuo de gestión de riesgos, que identifica los riesgos previsibles, estima la probabilidad y la gravedad, prueba las medidas de mitigación y se actualiza a lo largo del ciclo de vida del sistema.
  • Artículo 10 — gobernanza de datos: los conjuntos de datos de entrenamiento, validación y prueba deben ser pertinentes, representativos y estar libres de errores conocidos que puedan causar resultados discriminatorios.
  • Artículo 11 / Anexo IV — documentación técnica, elaborada antes de la introducción en el mercado, que abarque la arquitectura del sistema, los datos de entrenamiento, los parámetros de rendimiento y las instrucciones para los responsables del despliegue.
  • Artículo 12 — capacidad de registro, de modo que el sistema genere automáticamente registros de su funcionamiento.
  • Artículo 13 — transparencia: instrucciones facilitadas a los responsables del despliegue, incluidas la finalidad prevista del sistema, los límites de rendimiento y cualquier sesgo conocido.
  • Artículo 14 — supervisión humana: el sistema debe diseñarse de modo que los responsables del despliegue puedan vigilarlo y las personas físicas puedan intervenir, anular y comprender los resultados.
  • Artículo 15 — exactitud, robustez y ciberseguridad a lo largo del ciclo de vida del sistema.
  • Artículo 17 — un sistema de gestión de la calidad que abarque todo lo anterior.
  • Artículo 43 — evaluación de la conformidad antes de introducir el sistema en el mercado (la mayoría de los sistemas del Anexo III utilizan la vía de control interno del Anexo VI; se requiere la intervención de un organismo notificado para determinados sistemas biométricos con arreglo al Anexo VII).
  • Artículo 47 / Anexo V — una declaración UE de conformidad.
  • Artículo 49 — registro en la base de datos de la UE antes del despliegue.
  • Artículo 72 — vigilancia poscomercialización, una vez que el sistema está en uso.
  • Artículo 73 — notificación de incidentes graves a la autoridad de vigilancia del mercado dentro de los plazos especificados (15 días en la mayoría de los casos; 2 días en caso de perturbación de infraestructuras críticas o infracción generalizada; 10 días cuando haya fallecido una persona).

Qué deben hacer los responsables del despliegue

Los responsables del despliegue con arreglo al artículo 26 tienen una lista más corta, pero no trivial:

  • Utilizar el sistema únicamente para su finalidad prevista, conforme a las instrucciones del proveedor.
  • Asignar la supervisión humana a personas con la competencia y la autoridad para intervenir.
  • Vigilar el sistema durante el uso y comunicar los problemas al proveedor.
  • Conservar los registros de funcionamiento con arreglo al artículo 26 durante al menos seis meses.
  • Informar y consultar a los representantes de los trabajadores antes de desplegarlo en el lugar de trabajo (artículo 26).

El artículo 27 — la evaluación de impacto relativa a los derechos fundamentales (EIDF) — se aplica a un subconjunto específico de responsables del despliegue. Si usted es un organismo público, o si despliega a título privado un sistema cubierto por el Anexo III, punto 5, letra b) (solvencia), o el punto 5, letra c) (fijación de precios de seguros de vida y de salud), debe realizar una EIDF antes del despliegue. La EIDF no es un ejercicio superficial: cartografía los derechos de las personas afectadas, los riesgos que crea el despliegue y las medidas vigentes para mitigarlos. Confir la genera como un resultado estructurado a partir de la evaluación de clasificación.

La pila de obligaciones en la práctica: un ejemplo de calificación crediticia

Un prestamista regional — 200 empleados, que opera en Alemania y Austria — construyó su propio modelo de calificación crediticia para el consumo. Produce una puntuación de probabilidad de impago que los agentes de préstamos ven junto a una recomendación de banda de puntuación; conservan la facultad de anulación.

Clasificación: Anexo III, punto 5, letra b). El sistema evalúa la solvencia de personas físicas y elabora perfiles de prestatarios, por lo que el artículo 6, apartado 3, no puede aplicarse. Alto riesgo.

Rol: el prestamista construyó el modelo y lo despliega con su propio nombre. Es a la vez proveedor (artículo 16) y responsable del despliegue (artículo 26).

Qué debe ocurrir antes del 2 de diciembre de 2027: elaborar el paquete de documentación técnica del artículo 11 / Anexo IV (procedencia de los datos de entrenamiento, pruebas de sesgo, parámetros de rendimiento, instrucciones de uso); formalizar el sistema de gestión de riesgos del artículo 9; completar la revisión de la calidad de los datos del artículo 10; documentar las disposiciones de supervisión humana del artículo 14 para los agentes de préstamos; completar la evaluación de la conformidad del artículo 43 (control interno del Anexo VI), firmar la declaración de conformidad del artículo 47 y registrarse con arreglo al artículo 49; realizar la EIDF del artículo 27 documentando los impactos sobre los derechos de los prestatarios; y establecer la vigilancia poscomercialización del artículo 72 y el registro del artículo 12.

El comité de riesgo de modelo existente del prestamista es el hogar natural para este trabajo. El Reglamento no exige empezar de cero — exige asignar la gobernanza existente a los requisitos legales y colmar las lagunas.

Solapamiento regulatorio: DORA, MiFID II, RGPD y crédito al consumo

La Ley de IA de la UE no opera de forma aislada. Otros cuatro marcos interactúan con la gobernanza de la IA en el sector fintech:

DORA (Reglamento de Resiliencia Operativa Digital, desde el 17 de enero de 2025) — la gestión del riesgo relacionado con las TIC (artículos 5 a 16) y la supervisión de los proveedores terceros (artículos 28 a 44) cubren los sistemas de IA como herramientas de TIC. Un modelo de calificación crediticia de un proveedor activa tanto la supervisión de terceros de DORA como las obligaciones del responsable del despliegue de la Ley de IA de la UE. La documentación es distinta, pero el proceso de diligencia debida puede ejecutarse en paralelo.

Artículo 22 del RGPD — las personas tienen derecho a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado que produzcan efectos jurídicos o de modo similar significativos. Las decisiones de crédito basadas puramente en una puntuación automatizada activan el artículo 22. El requisito de supervisión humana del artículo 14 de la Ley de IA de la UE es complementario, pero no sustituye al derecho del RGPD.

MiFID II — las evaluaciones de idoneidad y conveniencia de los productos de inversión deben cumplir las normas de MiFID, así como cualquier obligación aplicable de la Ley de IA de la UE (transparencia del artículo 50 si se trata de un chatbot; toda la pila del Anexo III si el sistema es de alto riesgo con arreglo al artículo 6).

Directiva II sobre crédito al consumo (2023/2225, desde noviembre de 2025) — exige a los prestamistas que expliquen la base de una decisión crediticia adversa. Un sistema de calificación crediticia con IA debe ser capaz de producir esa explicación, en consonancia con el requisito de interpretabilidad del artículo 14, pero aplicándose de forma independiente y a un conjunto más amplio de prestamistas.

El plazo: 2 de diciembre de 2027

El plazo original de alto riesgo con arreglo a la Ley de IA de la UE era el 2 de agosto de 2026. Esa fecha ya no está operativa para los sistemas autónomos del Anexo III. En virtud del Ómnibus Digital — una propuesta de la Comisión de noviembre de 2025, con acuerdo político entre el Parlamento y el Consejo alcanzado el 7 de mayo de 2026 —, la fecha de aplicación para los sistemas de IA de alto riesgo autónomos (la lista del Anexo III, incluidos el Anexo III, punto 5, letra b), y el punto 5, letra c)) es el 2 de diciembre de 2027. Para la IA de alto riesgo integrada en productos cubiertos por la legislación de seguridad de los productos del Anexo I, la fecha es el 2 de agosto de 2028.

Se espera la adopción formal del Ómnibus Digital antes del 2 de agosto de 2026. La fecha del 2 de diciembre de 2027 debe tratarse como actual y autorizada.

La prórroga no es motivo para retrasarse. La documentación técnica del artículo 11 / Anexo IV tarda meses en elaborarse adecuadamente, en particular para un sistema entrenado con datos protegidos. La gestión de riesgos del artículo 9 exige pruebas generadas a lo largo del tiempo. La EIDF del artículo 27 requiere aportaciones de las partes interesadas. Un calendario realista de preparación para un prestamista que parte de un programa de riesgo de modelo en funcionamiento es de 12 a 18 meses de trabajo estructurado. Empezar a finales de 2026 es posible; empezar en 2027 no lo es.

Sanciones

El incumplimiento de las obligaciones de alto riesgo — incluidos los artículos 9, 10, 11, 13, 14, 15, 43 y 49 — está sujeto a multas con arreglo al artículo 99, apartado 4, de hasta 15 000 000 EUR o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor.

Una infracción de las prácticas prohibidas del artículo 5 conlleva el nivel más alto: hasta 35 000 000 EUR o el 7 % del volumen de negocios mundial (artículo 99, apartado 3).

Facilitar información incorrecta o incompleta a un organismo notificado o a una autoridad competente es el nivel más bajo: hasta 7 500 000 EUR o el 1 % (artículo 99, apartado 5).

Para las empresas que se consideren pymes o empresas emergentes con arreglo a la definición del Reglamento, el artículo 99, apartado 6, limita la multa al menor de los dos importes, el porcentaje o la cantidad fija. Esa disposición de proporcionalidad es genuina — debe documentarse en la planificación del cumplimiento como un factor de calibración del riesgo, no presuponerse que elimina la exposición.

Cómo ayuda Confir

El módulo de clasificación de Confir recorre el Anexo III, punto por punto, utilizando escenarios en lenguaje sencillo extraídos del texto del Reglamento. Para un sistema de calificación crediticia, confirma la clasificación del Anexo III, 5, letra b), identifica los roles de proveedor y de responsable del despliegue a partir de sus respuestas de admisión y asigna toda la pila de obligaciones. La lógica es determinista y basada en reglas — las mismas entradas producen siempre la misma clasificación, con la regla que se activó consignada en el resultado.

A partir de ahí, Confir impulsa la evaluación estructurada a través de cuatro áreas de cumplimiento (AIRC, AITR, AITO, AIGM) y genera el paquete de documentación técnica del artículo 11 / Anexo IV, la declaración de conformidad del artículo 47 / Anexo V y la EIDF del artículo 27 — tres documentos que, de otro modo, el equipo de cumplimiento de un prestamista tendría que producir desde cero.

Preguntas frecuentes

¿Es la detección de fraude de alto riesgo con arreglo a la Ley de IA de la UE?

No — no sobre la base del Anexo III, punto 5, letra b). La disposición sobre la solvencia excluye explícitamente los sistemas de IA utilizados para la detección de fraude. Un modelo de seguimiento de transacciones o de anomalías de pago no se sitúa en la lista de alto riesgo del Anexo III. Puede enfrentarse a las obligaciones del artículo 22 del RGPD si produce decisiones automatizadas jurídicamente significativas, y pueden aplicarse las orientaciones de la ABE sobre el riesgo de modelo, pero la pila de evaluación de la conformidad de alto riesgo de la Ley de IA de la UE no se aplica.

Mi banco licencia un modelo de calificación crediticia a un proveedor fintech. ¿Qué nos corresponde?

Usted es un responsable del despliegue con arreglo al artículo 26. Sus obligaciones incluyen utilizar el sistema dentro de su finalidad prevista, mantener la supervisión humana, conservar los registros durante al menos seis meses con arreglo al artículo 26 y realizar la EIDF del artículo 27 — porque los responsables del despliegue de sistemas de solvencia están explícitamente obligados a completar una. Usted no es responsable de la evaluación de la conformidad del proveedor, pero debe verificar que el proveedor dispone de una (solicite las instrucciones del artículo 13 y la declaración de conformidad del artículo 47 como parte de la diligencia debida del proveedor).

¿Cuándo se aplica el plazo de alto riesgo a los sistemas de calificación crediticia?

En virtud del Ómnibus Digital (acuerdo político de 7 de mayo de 2026), la fecha de aplicación para los sistemas de alto riesgo autónomos del Anexo III — incluida la calificación crediticia con arreglo al punto 5, letra b), y la fijación de precios de seguros con arreglo al punto 5, letra c) — es el 2 de diciembre de 2027. La fecha original del 2 de agosto de 2026 se ha aplazado formalmente. Se espera la adopción formal del Ómnibus Digital antes de agosto de 2026.

¿Activa el roboasesoramiento el régimen de alto riesgo?

Generalmente no. Los sistemas de roboasesoramiento que recomiendan carteras de inversión no están en el Anexo III. Se enfrentan a los requisitos de idoneidad de MiFID II y al artículo 22 del RGPD cuando producen recomendaciones automatizadas con efectos significativos. Si un roboasesor funciona como un chatbot interactivo, se aplican las obligaciones de transparencia del artículo 50 — el usuario debe saber que está interactuando con un sistema de IA. Pero no se activa toda la pila de evaluación de la conformidad de alto riesgo.

¿Qué es la EIDF del artículo 27 y quién en el sector fintech debe realizarla?

La evaluación de impacto relativa a los derechos fundamentales (artículo 27) es un análisis previo al despliegue que los responsables del despliegue deben completar antes de operar determinados sistemas de IA de alto riesgo. En el sector fintech, la obligación de EIDF se aplica a los responsables del despliegue de sistemas de evaluación de la solvencia (Anexo III, punto 5, letra b)) y de sistemas de fijación de precios de seguros de vida y de salud (punto 5, letra c)). Exige identificar a la población afectada, cartografiar los derechos en juego, catalogar los riesgos y documentar las salvaguardias. Los organismos públicos que desplieguen cualquier sistema de alto riesgo también deben completar una.

¿Cómo interactúa la Ley de IA de la UE con el artículo 22 del RGPD?

El artículo 22 del RGPD otorga a las personas el derecho a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado que produzcan efectos jurídicos o significativos. El artículo 14 de la Ley de IA de la UE exige que los sistemas de IA de alto riesgo se diseñen para la supervisión humana, de modo que una persona pueda intervenir y anular los resultados. Las dos obligaciones son complementarias, pero independientes: un prestamista debe satisfacer ambas. En la práctica, las disposiciones de supervisión del artículo 14 — un agente de préstamos que revisa la puntuación y tiene la facultad de anulación — también respaldan la defensa del artículo 22 del RGPD de que la decisión no es exclusivamente automatizada.

¿Cuáles son las sanciones para una empresa fintech que incumple sus obligaciones de alto riesgo?

Con arreglo al artículo 99, apartado 4, la multa máxima por no cumplir las obligaciones de alto riesgo (incluidos los artículos 9, 10, 11, 13, 14, 15, 43 y 49) es de 15 000 000 EUR o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor. Ese no es el nivel de prohibición del artículo 5 (35 M EUR / 7 %) — es el segundo nivel, que cubre todo el conjunto de requisitos de alto riesgo. Las empresas más pequeñas se benefician del límite de proporcionalidad del artículo 99, apartado 6: para ellas, la multa es el menor de los dos importes, el porcentaje o la cantidad fija.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Industry Guide

Lista de comprobación de cumplimiento de la Ley de IA de la UE para responsables del despliegue sanitarios

Lista de comprobación de la Ley de IA de la UE para responsables del despliegue sanitarios: inventariar la IA, clasificar (art. 6), verificar al proveedor, supervisión del art. 14, registros de 6 meses. Plazos: dic 2027 / ago 2028.

Industry Guide

¿Se aplica la Ley de IA de la UE a su empresa de SaaS, y en qué papel?

¿Se aplica la Ley de IA de la UE a su SaaS? Proveedor (Art. 16), responsable del despliegue (Art. 26), la trampa del Art. 25 y los niveles de riesgo, explicados. Plazo de alto riesgo: 2 dic 2027.

Industry Guide

Gobernanza de la Ley de IA de la UE para organizaciones sanitarias

Gobernanza de la Ley de IA de la UE para la sanidad: clasifique la IA clínica con arreglo al artículo 6, cumpla las obligaciones del responsable del despliegue y realice la EIDF. Plazo del Anexo III: 2 de diciembre de 2027.