Skip to content
Confir.
Prueba gratuita
Blog

Calificación crediticia con IA conforme a la Ley de IA de la UE: alto riesgo, obligaciones estrictas y la línea de la detección de fraude

High-Risk Use Case25 February 2026· 19 min de lectura

La calificación crediticia con IA es de alto riesgo con arreglo al punto 5, letra b), del Anexo III. Deberes de proveedor frente a responsable del despliegue, EIDF del Art. 27, salvedad por detección de fraude. Plazo: dic. 2027.

El modelo de IA de una entidad prestamista predice si un solicitante devolverá un préstamo. Ese sistema es de alto riesgo con arreglo a la Ley de IA de la UE. Un modelo distinto en la misma entidad marca patrones de transacción sospechosos para su investigación por fraude. Ese sistema no lo es. Una sola palabra los separa en el Anexo III, y equivocarse en esa distinción definirá si se enfrenta a la pila completa de obligaciones de alto riesgo o a ninguna de ellas.

Por qué la IA de evaluación de la solvencia es de alto riesgo

El punto 5, letra b), del Anexo III del Reglamento (UE) 2024/1689 enumera como de alto riesgo todo sistema de IA «destinado a ser utilizado para evaluar la solvencia de personas físicas o establecer su calificación crediticia». La razón es estructural: las decisiones de crédito son decisiones de acceso. La aprobación abre la puerta a la vivienda, la creación de empresas y la resiliencia financiera. La denegación cierra esas puertas. Cuando un algoritmo toma o condiciona en gran medida esa decisión, el potencial de exclusión discriminatoria —a gran escala, de forma opaca— es exactamente lo que el Reglamento fue diseñado para abordar.

Dos características hacen a la IA de evaluación de la solvencia especialmente peligrosa desde la perspectiva de los derechos fundamentales. En primer lugar, los modelos de aprendizaje automático entrenados con datos históricos de concesión de crédito absorben los patrones discriminatorios de las decisiones pasadas. Un modelo construido sobre treinta años de datos de concesión de un banco que históricamente aprobó menos hipotecas en determinados códigos postales aprenderá a replicar ese patrón, aunque se elimine la variable del código postal. Las variables sustitutivas —volatilidad de los ingresos, historial de pago de suministros, tipo de empleador— portan la misma señal. En segundo lugar, muchos modelos de crédito de alto rendimiento son cajas negras en el sentido técnico: conjuntos potenciados por gradiente (gradient-boosted) o redes neuronales que no pueden decir a un solicitante por qué se le denegó en términos sobre los que un humano pueda actuar. El requisito de transparencia del Artículo 13 y el derecho a la explicación del Artículo 22 del RGPD inciden directamente en esta brecha.

El filtro del Artículo 6, apartado 3, existe: un proveedor puede autoevaluar que su sistema del Anexo III no plantea un riesgo significativo de perjuicio y escapar del nivel de alto riesgo, siempre que documente la evaluación y registre el sistema con arreglo al Artículo 49. Para los modelos de evaluación de la solvencia, esa salida casi nunca está disponible. Todo sistema que elabora perfiles de personas físicas es siempre de alto riesgo con arreglo al Reglamento, y puntuar la probabilidad de impago de un individuo es precisamente elaboración de perfiles.

La salvedad por detección de fraude: una línea tajante, no una zona gris

El punto 5, letra b), del Anexo III contiene una excepción explícita: la IA utilizada para detectar fraude financiero no es de alto riesgo por este motivo. La lógica es nítida. Un modelo de detección de fraude pregunta si una transacción o solicitud es anómala respecto de patrones de fraude conocidos. Su resultado activa una revisión humana adicional, no una decisión de crédito. No determina si una persona obtiene acceso al crédito.

Un modelo de evaluación de la solvencia plantea una pregunta distinta: ¿devolverá esta persona el dinero? Su resultado influye directamente en si se concede un préstamo, a qué tipo de interés y en qué condiciones. Eso es una decisión sobre el acceso a un servicio financiero esencial.

En la práctica, algunas entidades prestamistas despliegan ambos en la misma cadena: cribado de fraude antes de la calificación de la solvencia. El componente de cribado de fraude se sitúa fuera del punto 5, letra b), del Anexo III. El componente de calificación de la solvencia, no. Si su proveedor le vende un único modelo que afirma hacer ambas cosas simultáneamente, sea cauto: la finalidad prevista del sistema rige su clasificación, y un modelo cuya finalidad de diseño principal es evaluar la probabilidad de devolución no deja de ser de alto riesgo por el hecho de que también detecte señales de fraude.

Obligaciones del proveedor: qué debe hacer el proveedor del modelo de puntuación

Con arreglo al Reglamento, un proveedor (Artículo 16) es la organización que desarrolla e introduce en el mercado o pone en servicio un sistema de IA de alto riesgo con su propio nombre. Para la calificación crediticia, el proveedor suele ser la empresa fintech o de análisis que suministra el modelo de puntuación —ya se venda como producto independiente, integrado en software de concesión de préstamos o entregado vía API—.

Las obligaciones del proveedor son profundas:

Artículo 9 — Sistema de gestión de riesgos. El proveedor debe establecer, aplicar, documentar y mantener un sistema de gestión de riesgos a lo largo de toda la vida del modelo. Para un modelo de calificación crediticia, esto significa identificar los riesgos de discriminación (impacto dispar por género, edad, etnia, discapacidad), los riesgos de calidad de los datos (datos de entrenamiento sesgados o no representativos) y los riesgos de deriva del modelo (la degradación del modelo a medida que cambian las características de la población). Todo riesgo identificado necesita una evaluación de probabilidad/gravedad y una mitigación documentada. El sistema de gestión de riesgos no es un ejercicio puntual; se ejecuta de forma continua.

Artículo 10 — Datos y gobernanza de datos. Los conjuntos de datos de entrenamiento, validación y prueba deben ser pertinentes, representativos, exentos de errores y completos. Los proveedores deben documentar las fuentes de datos, la metodología de recopilación y los procedimientos de control de calidad. Para los modelos de crédito, esto exige específicamente la estratificación demográfica: probar si los datos sobrerrepresentan o infrarrepresentan a grupos protegidos por la Carta de la UE, y corregir los desequilibrios antes del entrenamiento.

Artículo 11 — Documentación técnica (Anexo IV). Antes de que el sistema salga al mercado, los proveedores deben elaborar un paquete de documentación técnica que abarque el diseño del sistema, la arquitectura, la metodología de entrenamiento, las métricas de rendimiento entre los distintos grupos demográficos, los resultados de la evaluación de riesgos y los procedimientos de supervisión humana. Esta documentación debe ser suficiente para que una autoridad competente evalúe el cumplimiento. Es el fundamento probatorio de la evaluación de la conformidad.

Artículo 13 — Transparencia hacia los responsables del despliegue. El proveedor debe facilitar instrucciones de uso que indiquen a los responsables del despliegue qué hace el sistema, sus limitaciones conocidas, las condiciones en las que funciona de manera fiable y qué supervisión humana requiere. Los responsables del despliegue no pueden cumplir sus propias obligaciones sin información exacta del proveedor.

Artículo 15 — Exactitud, robustez y ciberseguridad. El sistema debe alcanzar niveles adecuados de exactitud y coherencia. Para la calificación crediticia, esto exige un rendimiento documentado entre cohortes —no solo la exactitud agregada, sino el rendimiento desglosado por grupo demográfico—. Un modelo que tiene una exactitud global del 92 % pero del 78 % para los solicitantes de una región concreta tiene un problema de robustez.

Artículo 43 — Evaluación de la conformidad. Antes de introducir el sistema en el mercado, el proveedor debe completar una evaluación de la conformidad. Para la mayoría de los sistemas de alto riesgo ajenos a sectores de productos regulados, se trata de un procedimiento de control interno con arreglo al Anexo VI, pero «interno» no significa ligero. El proveedor debe verificar metódicamente que se ha cumplido cada requisito de los Artículos 9 a 15 y documentar los resultados. El resultado alimenta el registro del Artículo 49 y la declaración UE de conformidad del Artículo 47.

Artículo 49 — Registro en la base de datos de la UE. Los sistemas de IA de alto riesgo deben registrarse en la base de datos pública de la Ley de IA de la UE antes del despliegue. Para los proveedores que reclaman la exención del Artículo 6, apartado 3, se exige una entrada de registro independiente incluso para los sistemas no clasificados como de alto riesgo.

Obligaciones del responsable del despliegue: qué debe hacer la entidad prestamista o el banco

Un responsable del despliegue (Artículo 26) es la organización que utiliza el modelo de puntuación en sus operaciones: el banco, la cooperativa de crédito, la empresa de financiación al consumo o el proveedor de pago aplazado (BNPL). Las obligaciones del responsable del despliegue son más ligeras que las del proveedor, pero no son ligeras.

Artículo 26 — Deberes del responsable del despliegue. Los responsables del despliegue deben utilizar el sistema de conformidad con las instrucciones de uso del proveedor; encomendar la supervisión humana a personal cualificado; vigilar el funcionamiento del sistema; y —cuando el proveedor no lo haya hecho ya— informar a la autoridad competente de los incidentes graves con arreglo al Artículo 73. Los responsables del despliegue también deben informar a los trabajadores afectados cuando el sistema se utilice en contextos laborales (menos pertinente aquí, pero aplicable si la entidad prestamista utiliza IA para decisiones relacionadas con el personal junto a las decisiones de crédito).

Artículo 14 — Supervisión humana. Esta es la obligación que muerde en la práctica. El responsable del despliegue debe garantizar que personas físicas con la competencia, la autoridad y los recursos adecuados puedan intervenir y anular el resultado del sistema. Para una decisión de crédito, esto significa que los analistas de préstamos deben tener una autoridad genuina —documentada, no solo nominal— para aprobar a los solicitantes que el modelo rechaza. Deben recibir formación sobre las capacidades del sistema, sus limitaciones conocidas y cómo reconocer signos de sesgo o mal funcionamiento. Las tasas de anulación por grupo demográfico son una señal de seguimiento clave: la sobrerrepresentación sistemática de un grupo en las aprobaciones por anulación sugiere que el modelo está produciendo resultados sesgados que los revisores humanos corrigen a posteriori.

Artículo 27 — Evaluación de impacto relativa a los derechos fundamentales (EIDF). Esta obligación se aplica específicamente a los responsables del despliegue de sistemas de IA de alto riesgo en ámbitos enumerados en el Anexo III que impliquen el acceso a servicios esenciales privados o públicos. La evaluación de la solvencia entra de lleno en esa categoría. El responsable del despliegue —la entidad prestamista, no el proveedor del modelo— debe realizar una EIDF por escrito antes de poner el sistema en uso, evaluando los riesgos para los derechos fundamentales, documentando las medidas de mitigación y notificándolo a la autoridad de vigilancia del mercado pertinente. Esto no es la evaluación de la conformidad (esa es el Artículo 43, la obligación del proveedor). La EIDF es un ejercicio independiente y específico del responsable del despliegue. Muchas entidades prestamistas lo pasan por alto porque suponen que el trabajo de conformidad del proveedor lo cubre. No es así.

Artículo 12 / Artículo 73 — Conservación de registros y notificación de incidentes. Los responsables del despliegue deben conservar los registros del funcionamiento del sistema cuando esté bajo su control, y notificar los incidentes graves —incluidos los resultados discriminatorios sistemáticos— a la autoridad nacional pertinente.

La dimensión del RGPD: el Artículo 22 y el derecho a la explicación

La Ley de IA de la UE convive con el RGPD, no se sitúa por encima de él. El Artículo 22 del RGPD otorga a los interesados el derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado que produzca efectos jurídicos o similarmente significativos. Una decisión de crédito plenamente automatizada —aquella en la que ningún humano revisa el resultado antes de que salga la carta de aprobación o rechazo— es potencialmente ilícita con arreglo al Artículo 22 con independencia de la Ley de IA.

El Artículo 22 también crea la obligación de facilitar al interesado información significativa sobre la lógica aplicada. Esto es distinto de los requisitos de transparencia de la Ley de IA, pero apunta en la misma dirección: el solicitante tiene derecho a entender, en términos accesibles, qué motivó la decisión. Decir a un solicitante rechazado que su «puntuación estaba por debajo del umbral» no satisface ni el Artículo 22 del RGPD ni los requisitos de transparencia de la Ley de IA de la UE. Una explicación conforme identifica los principales factores que influyeron negativamente en la puntuación y, cuando sea factible, qué cambios conducirían a un resultado distinto.

Las entidades prestamistas que operan en jurisdicciones de la UE con autoridades de control de protección de datos activas —Alemania, Francia, los Países Bajos— deben esperar que las reclamaciones sobre calificación crediticia se encaminen simultáneamente por los cauces del RGPD y de la Ley de IA.

Ejemplo práctico: una entidad prestamista regional despliega un modelo de puntuación de un tercero

Un banco regional con 12 sucursales adquiere una IA de evaluación de la solvencia de un proveedor fintech especializado. El proveedor entrenó el modelo con datos de concesión de crédito paneuropeos y lo entrega como una API en la nube. Así es como queda el reparto de obligaciones:

El proveedor (proveedor con arreglo al Artículo 16) debe:

  • Mantener el sistema de gestión de riesgos del Artículo 9 que abarque los riesgos de discriminación y de deriva
  • Documentar la demografía de los datos de entrenamiento y los procedimientos de control de calidad (Artículo 10)
  • Conservar la documentación técnica del Anexo IV (Artículo 11) y ponerla a disposición del banco y de las autoridades competentes cuando lo soliciten
  • Completar una evaluación de la conformidad del Artículo 43 antes de la venta
  • Registrar el sistema en la base de datos de la UE (Artículo 49)
  • Facilitar instrucciones de uso exactas que indiquen al banco cómo desplegar el sistema de forma segura (Artículo 13)

El banco (responsable del despliegue con arreglo al Artículo 26) debe:

  • Seguir las instrucciones de uso del proveedor (Artículo 26)
  • Designar analistas de préstamos con autoridad de anulación genuina y formarlos (Artículo 14)
  • Realizar una EIDF por escrito antes de desplegar el sistema (Artículo 27); esta es obligación del banco y no puede externalizarse al proveedor
  • Vigilar el funcionamiento del sistema y hacer un seguimiento de las tasas de aprobación por grupo demográfico (Artículo 26, Artículo 72 a través de las obligaciones de vigilancia poscomercialización del proveedor)
  • Notificar los incidentes graves: si el sistema produce resultados sistemáticamente discriminatorios a nivel de la población de clientes del banco, eso es un incidente grave con arreglo al Artículo 73

Si el banco modifica la finalidad prevista del modelo —por ejemplo, ajusta el umbral de puntuación, lo reentrena con sus propios datos o añade características sin la intervención del proveedor—, puede convertirse en proveedor con arreglo al Artículo 25. Ese cambio de rol activa la pila completa de obligaciones del proveedor. Los bancos deben documentar cuidadosamente cada personalización.

Plazo: 2 de diciembre de 2027

La obligación de cumplir los requisitos de alto riesgo no vence el 2 de agosto de 2026. En virtud del Ómnibus Digital acordado por el Parlamento y el Consejo en mayo de 2026, esa fecha se ha aplazado. Los sistemas de IA de alto riesgo autónomos —que es precisamente lo que es un modelo de calificación crediticia— deben cumplir a partir del 2 de diciembre de 2027. La IA de alto riesgo integrada en productos cubiertos por la legislación de seguridad de los productos de la UE (Anexo I del Reglamento) debe cumplir a partir del 2 de agosto de 2028.

La fecha original del 2 de agosto de 2026 puede aparecer en los contratos con proveedores, en los documentos de planificación interna y en los programas de cumplimiento heredados. Ya no es el plazo operativo para los sistemas del Anexo III.

El aplazamiento es un margen de respiro significativo para las entidades prestamistas que aún no han iniciado su trabajo de cumplimiento. No es una invitación a esperar. La documentación técnica de un modelo de calificación crediticia en producción tarda meses en ensamblarse adecuadamente. Un sistema de gestión de riesgos del Artículo 9 requiere múltiples rondas de pruebas de sesgo, documentación y subsanación. Una EIDF del Artículo 27 requiere una participación estructurada de las partes interesadas. Empezar en 2027 es empezar demasiado tarde.

Las sanciones por incumplimiento de las obligaciones de alto riesgo entran en el Artículo 99, apartado 4: hasta 15 millones de euros o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor. Para las pymes y las empresas emergentes, el Artículo 99, apartado 6, limita la multa al menor de los dos importes, el porcentaje o la cantidad fija. Ese límite es una protección genuina para las entidades prestamistas más pequeñas; el techo completo de 15 millones de euros se aplica a las instituciones más grandes.

Cómo ayuda Confir

El motor de clasificación basado en reglas de Confir recorre los criterios del punto 5, letra b), del Anexo III y el filtro del Artículo 6, apartado 3, para determinar si su sistema de calificación crediticia es de alto riesgo, y señala automáticamente la frontera de la detección de fraude, de modo que no clasifique erróneamente sistemas exentos ni exima a sistemas no exentos.

Para los responsables del despliegue, Confir ejecuta el flujo de trabajo estructurado de la EIDF del Artículo 27: la evaluación abarca los riesgos de discriminación, los riesgos de exclusión financiera, las medidas de mitigación y los requisitos de notificación, produciendo un resultado documentado que puede presentar a una autoridad de control.

Para los proveedores, Confir genera el paquete de documentación técnica del Artículo 11 / Anexo IV y la declaración de conformidad del Artículo 47 a partir de sus datos de admisión, utilizando reglas deterministas: los mismos datos de entrada producen el mismo resultado documentado, con la regla que se activó visible y auditable. Sin alucinación, sin incoherencias entre revisiones.

Preguntas frecuentes

¿Es de alto riesgo la IA de detección de fraude con arreglo al punto 5, letra b), del Anexo III?

No. El punto 5, letra b), del Anexo III excluye explícitamente la IA destinada a detectar fraude financiero. Un modelo que identifica transacciones sospechosas o marca solicitudes para su investigación por fraude no determina la solvencia y no es de alto riesgo por este motivo. Puede seguir estando sujeto a otros requisitos de la Ley de IA de la UE en función de su diseño y perfil de riesgo, pero no hereda la pila completa de obligaciones de alto riesgo que se aplica a los sistemas de evaluación de la solvencia.

¿Cuál es el plazo de cumplimiento para la IA de calificación crediticia?

En virtud del Ómnibus Digital acordado en mayo de 2026, los sistemas de IA de alto riesgo autónomos —incluidos los sistemas de evaluación de la solvencia y de calificación crediticia enumerados en el punto 5, letra b), del Anexo III— deben cumplir a partir del 2 de diciembre de 2027. La fecha original del 2 de agosto de 2026 se ha aplazado. La adopción formal del Ómnibus se espera antes del 2 de agosto de 2026. Planifique con vistas a la fecha de diciembre de 2027.

¿Quién es el proveedor y quién el responsable del despliegue para un modelo de calificación crediticia de un tercero?

La empresa que construyó y comercializa el modelo de puntuación es el proveedor (Artículo 16). La entidad prestamista o el banco que utiliza el modelo para tomar decisiones de crédito es el responsable del despliegue (Artículo 26). Si la entidad prestamista modifica el modelo —ajusta su finalidad prevista, lo reentrena o le pone su propio nombre—, se convierte en proveedor con arreglo al Artículo 25 y asume la pila completa de obligaciones del proveedor.

¿Debe el responsable del despliegue (la entidad prestamista) realizar una EIDF, o la cubre la evaluación de la conformidad del proveedor?

El responsable del despliegue debe realizar una evaluación de impacto relativa a los derechos fundamentales independiente, con arreglo al Artículo 27. La evaluación de la conformidad del Artículo 43 del proveedor cubre las obligaciones del proveedor; no descarga el requisito de EIDF del responsable del despliegue. Ambas son obligatorias y distintas. Para los sistemas de evaluación de la solvencia, que dan acceso a servicios financieros esenciales, la obligación de EIDF es inequívoca.

¿Qué exige realmente la supervisión humana del Artículo 14 para las decisiones de crédito?

El personal designado debe tener la competencia, la autoridad y los recursos para comprender los resultados del sistema, reconocer cuándo el sistema funciona mal o produce resultados sesgados y anular o suspender el sistema. La supervisión debe ser genuina, no nominal: un analista de préstamos del que se espera que apruebe el resultado del algoritmo el 99 % de las veces sin información adicional no satisface el Artículo 14. Las tasas de anulación, los registros de formación y los registros de decisiones son las pruebas que examinará una autoridad de control.

¿Qué multa se aplica si una entidad prestamista incumple las obligaciones de alto riesgo?

El Artículo 99, apartado 4, fija el techo en 15 millones de euros o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor. Para las pymes y las empresas emergentes, el Artículo 99, apartado 6, limita la multa al menor de los dos importes. El nivel de 7,5 millones de euros / 1 % (Artículo 99, apartado 5) se aplica únicamente a facilitar información incorrecta o engañosa a las autoridades, no al incumplimiento sustantivo de los requisitos de alto riesgo.

¿Cuál es la relación entre la Ley de IA de la UE y el Artículo 22 del RGPD para las decisiones de crédito?

Son obligaciones complementarias. El Artículo 22 del RGPD restringe las decisiones plenamente automatizadas que producen efectos jurídicos o similarmente significativos sobre las personas —una decisión de crédito es el caso paradigmático—. La Ley de IA añade requisitos de transparencia, documentación y supervisión humana sobre el marco del RGPD. Ambos se aplican; satisfacer uno no satisface el otro. Una entidad prestamista que cumple el requisito de supervisión humana genuina del Artículo 14 normalmente también satisfará el Artículo 22 del RGPD, ya que la revisión humana genuina rompe el desencadenante de la decisión «basada únicamente» en el tratamiento automatizado, pero el derecho del RGPD a una explicación de la lógica aplicada sigue siendo independiente.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Guide

Evaluación de riesgos de la IA conforme a la Ley de IA de la UE: dos capas, un marco

La evaluación de riesgos de la IA conforme a la Ley de IA de la UE se desarrolla en dos capas: primero la clasificación del Artículo 6, después el sistema de gestión de riesgos del Artículo 9. Guía paso a paso.

Complete Guide

Clasificación de riesgo de la Ley de IA de la UE: los 4 niveles explicados (2026)

Niveles de riesgo de la Ley de IA de la UE: prohibiciones del Artículo 5, alto riesgo del Anexo III (plazo 2 dic 2027), transparencia del Artículo 50, riesgo mínimo. Filtro de exención del Artículo 6, apartado 3.

Guide

Clasificación de riesgo de chatbots de IA conforme a la Ley de IA de la UE

Clasifique su chatbot conforme a la Ley de IA de la UE: riesgo limitado (Artículo 50, ago 2026), alto riesgo (Anexo III) o prohibido (Artículo 5). Sanciones incluidas.