Skip to content
Confir.
Prueba gratuita
Blog

IA de hipotecas y préstamos en virtud de la Ley de IA de la UE: de alto riesgo por diseño

High-Risk Use Case23 March 2026· 21 min de lectura

La IA de hipotecas y préstamos es de alto riesgo en virtud del Anexo III, punto 5, letra b). Obligaciones del proveedor y del responsable del despliegue, EIDF, artículo 22 del RGPD y el plazo del 2 dic 2027.

La suscripción automatizada de hipotecas y préstamos al consumo se sitúa de lleno en el nivel de alto riesgo de la Ley de IA de la UE (Reglamento (UE) 2024/1689). La clasificación no es un juicio de zona gris. El Anexo III, punto 5, letra b), enumera los «sistemas de IA destinados a utilizarse para evaluar la solvencia de personas físicas o establecer su calificación crediticia» como de alto riesgo — y ese texto cubre todo sistema que alimenta una decisión hipotecaria, desde los filtros iniciales de admisibilidad hasta los motores finales de fijación de tipos. Si usted construye o despliega uno de estos sistemas, se aplica toda la pila de obligaciones de alto riesgo. El plazo es el 2 de diciembre de 2027 para los sistemas autónomos en virtud del Ómnibus Digital acordado en mayo de 2026.

Este artículo expone qué significa la clasificación en la práctica: quién soporta qué obligaciones, dónde se cruza el Derecho antidiscriminatorio con la regulación de la IA, cómo se sitúa el artículo 22 del RGPD junto al Reglamento y qué debe cubrir realmente el programa de cumplimiento de una entidad hipotecaria.

Por qué la IA hipotecaria es inequívocamente de alto riesgo

El Anexo III organiza los casos de uso de alto riesgo bajo ocho epígrafes. Las decisiones de hipotecas y préstamos al consumo entran en el epígrafe 5: «Acceso a servicios y prestaciones esenciales, tanto privados como públicos». El punto 5, letra b), cubre la evaluación de la solvencia y la calificación crediticia de personas físicas. La exclusión explícita de la misma disposición — «los sistemas de IA utilizados con fines de detección de fraude no se considerarán de alto riesgo» — se aplica únicamente a los modelos de detección de fraude. Un modelo que evalúa el riesgo de reembolso o fija los tipos de interés no es un sistema de detección de fraude. La exclusión no se aplica.

El filtro del Artículo 6, apartado 3, permite a un proveedor concluir que su sistema del Anexo III no es de alto riesgo si puede documentar que el sistema no plantea un riesgo significativo de perjuicio para la salud, la seguridad o los derechos fundamentales. Se dan cuatro ejemplos: tareas procedimentales limitadas, mejorar una actividad humana previamente realizada, detectar patrones de decisión sin sustituir ni influir en la evaluación humana, y trabajo preparatorio. Un modelo de suscripción hipotecaria no hace ninguna de estas cosas. Produce un resultado que influye directamente en si alguien obtiene financiación para vivienda — y todo sistema que elabore perfiles de personas físicas es siempre de alto riesgo, con independencia del filtro del Artículo 6, apartado 3. En la práctica, ninguna entidad hipotecaria debería intentar reclamar esa exención sin un dictamen jurídico hermético y una evaluación de riesgos documentada.

Ejemplo resuelto. Una entidad de crédito regional de Fráncfort ejecuta un sistema de suscripción automatizado: el solicitante presenta datos de ingresos, historial de empleo y detalles de la propiedad; el sistema puntúa la solvencia, recomienda aprobar o denegar y fija un tipo indicativo. Este es un sistema autónomo del Anexo III, punto 5, letra b). La entidad es responsable del despliegue (Art. 26) de software de terceros — o, si construyó el modelo internamente, proveedor (Art. 16) que actúa simultáneamente como responsable del despliegue. En cualquier caso, se aplica el régimen de alto riesgo. Las obligaciones se aplican desde el 2 de diciembre de 2027.

Obligaciones del proveedor: lo que debe hacer el constructor del sistema

Si su organización desarrolla e introduce en el mercado un sistema de IA hipotecaria — o lo pone a disposición como SaaS para las entidades de crédito — usted es un proveedor en virtud del Artículo 3, apartado 3, y debe satisfacer las obligaciones del Artículo 16 cumpliendo los requisitos de los Artículos 9 a 15, completando la evaluación de la conformidad en virtud del Artículo 43 y registrándose en la base de datos de la UE en virtud del Artículo 49.

Artículo 9 — Sistema de gestión de riesgos

Los proveedores deben establecer, implantar, documentar y mantener un sistema de gestión de riesgos a lo largo del ciclo de vida del sistema de IA. Para un modelo de calificación hipotecaria, esto significa identificar los riesgos razonablemente previsibles que el sistema plantea a las personas físicas que evalúa: resultados discriminatorios, errores sistemáticos para poblaciones infrarrepresentadas, deriva del modelo a medida que cambian las condiciones macroeconómicas y manipulación de adversariedad de los datos de entrada.

El sistema de gestión de riesgos debe ser iterativo. Los riesgos identificados en las pruebas deben abordarse antes de la introducción en el mercado; los riesgos que surjan tras el despliegue deben retroalimentar el sistema a través de la vigilancia poscomercialización en virtud del Artículo 72. El Artículo 9, apartado 4, exige específicamente probar el sistema frente a la población de personas a las que se destina — no solo una muestra conveniente. Un modelo entrenado predominantemente con solicitantes de zonas urbanas y de ingresos altos no se habrá probado frente a la diversidad de los solicitantes hipotecarios reales de toda la UE.

Artículo 10 — Datos y gobernanza de datos

El Artículo 10 regula los datos utilizados para entrenar, validar y probar el sistema. No es un requisito de formación del personal — eso se sitúa por separado en el Artículo 4. El Artículo 10 exige a los proveedores garantizar que los datos de entrenamiento sean pertinentes, suficientemente representativos y libres de errores que pudieran causar discriminación u otros riesgos. Para la IA hipotecaria, esa obligación muerde con más fuerza en los datos históricos de entrenamiento: décadas de registros de préstamos contienen el sedimento de prácticas discriminatorias pasadas — redlining por geografía, suscripción basada en el sexo, trato diferenciado del empleo no tradicional. Un proveedor que entrena con esos datos sin escrutarlos en busca de sesgos incorporados incumple el Artículo 10.

Los proveedores deben documentar las fuentes de datos, los criterios de selección, las limitaciones conocidas y las medidas adoptadas para mitigar las lagunas o sesgos de datos identificados.

Artículo 11 — Documentación técnica

Antes de que un sistema salga al mercado, los proveedores deben compilar el paquete de documentación técnica del Anexo IV. Para la IA hipotecaria, esto incluye la finalidad prevista y el alcance del sistema; una descripción de la arquitectura del modelo; los datos de entrenamiento, validación y prueba con sus fuentes y composición demográfica; las métricas de rendimiento desglosadas por población de solicitantes; los mecanismos de supervisión humana; y los riesgos residuales que no pudieron eliminarse.

Esta documentación debe conservarse durante diez años desde la introducción en el mercado y debe estar a disposición de las autoridades nacionales competentes que la soliciten.

Artículo 13 — Transparencia e información a los responsables del despliegue

Los proveedores deben dar a los responsables del despliegue — las entidades de crédito — la información que necesitan para utilizar el sistema correctamente y cumplir sus propias obligaciones. Las instrucciones de uso deben explicar la finalidad prevista, la exactitud y las características de rendimiento del sistema, incluso para subgrupos concretos cuando el rendimiento difiera materialmente. También deben especificar qué supervisión humana requiere el sistema y cuáles son las limitaciones conocidas. Una entidad de crédito no puede realizar una EIDF significativa del Artículo 27 (véase más adelante) si la documentación del proveedor no le dice qué hace realmente el sistema.

Artículo 14 — Supervisión humana

El sistema debe diseñarse de modo que los supervisores humanos puedan comprender sus resultados, vigilarlo en funcionamiento y anularlo. Para la IA hipotecaria, esto significa que el sistema debe producir un resultado que un agente de préstamos pueda interpretar realmente — no solo una puntuación sin explicación. Cuando un sistema incluye un componente de «caja negra», el proveedor debe implementar mecanismos de explicabilidad (por ejemplo, atribución de características que muestre qué entradas impulsaron la recomendación) de modo que la persona que revisa la decisión pueda emitir un juicio genuino, no limitarse a ratificar lo que dijera el algoritmo.

Artículo 15 — Exactitud, robustez y ciberseguridad

El sistema debe alcanzar niveles adecuados de exactitud para su finalidad prevista y mantenerse exacto en toda la población de usuarios, no solo en la demografía mayoritaria. El Artículo 15 también exige que el sistema se comporte de forma coherente y sea resiliente frente a entradas de adversariedad. Un modelo de calificación hipotecaria que produce resultados inestables cuando los datos de entrada contienen incoherencias menores — algo habitual con los solicitantes autónomos — incumple el requisito de robustez.

Artículo 43 — Evaluación de la conformidad

Antes de la introducción en el mercado, los proveedores deben completar una evaluación de la conformidad que demuestre que el sistema cumple los Artículos 9 a 15. Para los sistemas del Anexo III, la vía por defecto es el control interno con arreglo al Anexo VI (autoevaluación, documentada en el expediente técnico). Cuando el proveedor no haya aplicado normas armonizadas que cubran todos los requisitos, puede optar por la vía de evaluación por terceros del Anexo VII. El registro de la evaluación de la conformidad debe conservarse durante diez años.

Artículo 49 — Registro

Tras la evaluación de la conformidad, los proveedores deben registrar el sistema en la base de datos de la UE antes de que salga al mercado. El registro es el Artículo 49, no la declaración de conformidad (Artículo 47) ni ninguna otra disposición. Son dos pasos separados: la declaración confirma que el sistema es conforme; el registro hace que ese hecho sea públicamente consultable.

Obligaciones del responsable del despliegue: lo que debe hacer la entidad de crédito

La mayoría de las entidades hipotecarias — bancos, sociedades de crédito hipotecario, prestamistas especializados — despliegan un sistema de suscripción de un tercero o un modelo construido por su propio equipo de ciencia de datos. En cualquier caso, como entidad que pone a funcionar el sistema en su propio proceso de suscripción, la entidad de crédito es un responsable del despliegue en virtud del Artículo 26.

Artículo 26 — Obligaciones del responsable del despliegue

El Artículo 26 establece lo que deben hacer los responsables del despliegue. Las obligaciones incluyen:

  • Utilizar el sistema únicamente para su finalidad prevista y de conformidad con las instrucciones del proveedor.
  • Encomendar la supervisión humana a personas que tengan la competencia, la formación y la autoridad para comprender los resultados del sistema e intervenir en ellos.
  • Garantizar que los datos de entrada sean pertinentes y representativos de la población real de solicitantes.
  • Vigilar el funcionamiento del sistema en uso real y notificar los incidentes y fallos graves al proveedor y, cuando proceda, a la autoridad competente en virtud del Artículo 73.
  • Conservar los registros durante al menos seis meses (el mínimo legal de conservación de registros del responsable del despliegue en virtud del Artículo 26).

El mínimo de conservación de registros es de seis meses, no de tres años. La cifra de tres años del antiguo artículo no tiene fundamento en el Reglamento.

Artículo 27 — Evaluación de impacto relativa a los derechos fundamentales (EIDF)

El Artículo 27 exige a determinados responsables del despliegue realizar una evaluación de impacto relativa a los derechos fundamentales antes de poner en uso un sistema de alto riesgo. La obligación de la EIDF se aplica a los responsables del despliegue que son: organismos públicos, o entidades privadas que despliegan IA de alto riesgo en el contexto de la evaluación de la solvencia o la calificación crediticia de personas físicas. Un banco que despliega IA hipotecaria está de lleno dentro del ámbito. La EIDF no es opcional.

La evaluación debe cubrir: una descripción de los procesos en los que se utilizará el sistema y de las decisiones en las que influirá; las categorías de personas físicas afectadas; los riesgos concretos para los derechos fundamentales y la probabilidad y gravedad del perjuicio; las medidas de supervisión humana implantadas; y las acciones adoptadas para abordar los riesgos identificados.

La EIDF debe documentarse, registrarse en la base de datos de la UE en virtud del Artículo 49, apartado 1, letra d), y notificarse a la autoridad de vigilancia del mercado pertinente. Es un documento vivo — si el sistema o su uso cambian materialmente, la EIDF debe actualizarse.

En la práctica, la EIDF de una entidad hipotecaria debe abordar la no discriminación en detalle, porque las decisiones de préstamo comprometen directamente el derecho a la igualdad de trato en virtud de la Carta de los Derechos Fundamentales de la UE y de las directivas de la UE en materia de igualdad (2000/43/CE y 2004/113/CE).

Discriminación y variables indirectas

La Ley de IA de la UE no crea un nuevo Derecho antidiscriminatorio — las directivas de igualdad ya prohíben la discriminación directa e indirecta por motivos protegidos, incluidos el origen racial y étnico, el sexo, la edad, la discapacidad, la religión y la orientación sexual, en el acceso a los servicios financieros. Lo que el Reglamento añade es un requisito formal de probar y documentar el comportamiento del modelo en esas dimensiones.

La IA hipotecaria plantea un problema concreto y recurrente: las variables indirectas. Un modelo puede no utilizar la etnia ni el sexo como entradas directas y, sin embargo, producir resultados discriminatorios porque se basa en características que se correlacionan con características protegidas. Ejemplos habituales:

  • El código postal se correlaciona con la composición étnica de los barrios. Un modelo que penaliza a los solicitantes de determinados códigos postales puede reproducir el efecto de la discriminación por etnia sin tratar nunca datos de etnia.
  • El tipo de empleo (contratos de cero horas, trabajo autónomo) se correlaciona con el sexo y la etnia en muchos mercados laborales de la UE.
  • Las lagunas en el historial de empleo se correlacionan con los patrones de permiso parental, que en la práctica se correlacionan con el sexo.
  • La proporción de ingresos procedentes de prestaciones se correlaciona con la situación de discapacidad.

El Artículo 10, apartado 5, exige explícitamente a los proveedores tener en cuenta el «uso indebido razonablemente previsible» del sistema, y el Artículo 9, apartado 2, letra a), exige la identificación de los «riesgos que el sistema plantea para las personas o los grupos de personas» — lo que cubre la discriminación por variables indirectas. Los proveedores deben probar si el modelo produce resultados materialmente distintos para solicitantes con capacidad de reembolso equivalente, pero perfiles demográficos diferentes. Cuando existan disparidades, el sistema de gestión de riesgos debe documentarlas y, o bien remediar el modelo, o bien restringir su uso.

Para los responsables del despliegue, la EIDF del Artículo 27 es el mecanismo para llevar a cabo este análisis en el contexto de préstamo concreto. Una entidad de crédito no puede limitarse a aceptar la palabra del proveedor de que el modelo es justo — el Artículo 27 exige a la entidad evaluar ella misma el impacto sobre los derechos fundamentales, con referencia a la población concreta de solicitantes a la que atiende y a las decisiones concretas en las que el modelo informa.

El artículo 22 del RGPD y la explicación de la acción desfavorable

Las decisiones hipotecarias no son solo territorio de la Ley de IA. El artículo 22 del RGPD se aplica cuando una decisión se basa «únicamente en el tratamiento automatizado, incluida la elaboración de perfiles» y produce efectos jurídicos o efectos significativos de modo similar sobre una persona física. La denegación de una hipoteca es el caso de manual de un efecto significativo.

Cuando se aplica el artículo 22, el interesado tiene tres derechos: a no ser objeto de la decisión; a obtener intervención humana y a expresar su punto de vista; y a obtener una explicación de la decisión. El tercer derecho — la explicación — es donde convergen directamente las obligaciones de la Ley de IA y del RGPD.

En virtud de la Ley de IA, el proveedor debe diseñar el sistema de modo que un agente de préstamos pueda comprender y explicar el resultado (Artículos 13 y 14). En virtud del artículo 22, apartado 3, del RGPD, el responsable del tratamiento debe facilitar información significativa sobre la lógica aplicada. Estos requisitos son complementarios, pero su alcance no es idéntico. Satisfacer los requisitos de diseño de explicabilidad de la Ley de IA no cumple automáticamente la obligación de explicación por solicitante del RGPD — la entidad de crédito también debe disponer de un proceso para generar y entregar explicaciones a nivel de solicitante cuando se soliciten.

En términos prácticos: el agente de préstamos que revisa una decisión asistida por IA debe poder articular, ante el solicitante rechazado, qué factores impulsaron el resultado y por qué se alcanzó la decisión. Un sistema que produce únicamente una puntuación sin atribución a nivel de características incumple ambos regímenes.

Sanciones: Artículo 99

El incumplimiento de los requisitos de alto riesgo — los Artículos 9 a 15 para los proveedores, los Artículos 26 y 27 para los responsables del despliegue — se sitúa en el nivel intermedio de la estructura sancionadora del Artículo 99: hasta 15 000 000 EUR o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor. Para un gran banco, el 3 % del volumen de negocios mundial puede superar con creces los 15 millones de euros.

Para las pymes y las empresas emergentes, el Artículo 99, apartado 6, ofrece una protección de proporcionalidad: la multa se limita a la cifra que sea menor entre el porcentaje y la cantidad fija. Una cooperativa de crédito o un prestamista hipotecario especializado con un volumen de negocios anual de 40 millones de euros se enfrentaría a un máximo de 1,2 millones de euros (el 3 %) en lugar de 15 millones — material, pero calibrado a la escala.

El plazo para los sistemas autónomos del Anexo III es el 2 de diciembre de 2027, tras el acuerdo político del Ómnibus Digital de mayo de 2026. La fecha original del 2 de agosto de 2026 se ha aplazado formalmente. Los dieciséis meses adicionales son tiempo de preparación, no una señal de que las obligaciones sean blandas. La evaluación de la conformidad, la documentación técnica y una EIDF completada llevan cada una meses de elaboración adecuada. Una entidad de crédito que empiece a mediados de 2027 probablemente incumplirá el plazo.

Cómo ayuda Confir

Tres puntos en los que el motor de cumplimiento basado en reglas de Confir aporta valor directo a una entidad hipotecaria o a un proveedor de sistemas de suscripción:

Delimitación del rol y las obligaciones. El flujo de trabajo de clasificación de Confir determina, a partir de sus respuestas a preguntas de admisión en lenguaje sencillo, si usted es proveedor, responsable del despliegue o ambos — y genera el conjunto de obligaciones que se aplica. Una entidad de crédito que licencia un modelo de suscripción de un tercero tiene un alcance distinto del de una entidad que construyó el suyo. Las reglas deterministas de Confir derivan la respuesta correcta y muestran únicamente los controles pertinentes para su rol.

Flujo de trabajo de la EIDF. El Artículo 27 exige una evaluación estructurada que cubre siete ámbitos definidos. Confir ejecuta la EIDF como un flujo de trabajo guiado, asigna cada sección al requisito reglamentario pertinente y genera un PDF listo para auditoría que puede presentarse a la autoridad de vigilancia del mercado y registrarse en la base de datos de la UE.

Documentación técnica y declaración de conformidad. Para los proveedores, Confir genera el paquete de documentación técnica del Artículo 11 / Anexo IV y la declaración UE de conformidad del Artículo 47 / Anexo V como resultados estructurados y listos para imprimir. Ambos documentos se rellenan a partir de los datos de admisión y reflejan la misma lógica de clasificación, de modo que son internamente coherentes desde el primer borrador.

Preguntas frecuentes

¿Es una calculadora de capacidad de pago de hipotecas de alto riesgo en virtud de la Ley de IA de la UE?

Una calculadora de capacidad de pago estática que aplica fórmulas fijas sin aprender de los datos del solicitante es improbable que se considere un sistema de IA en virtud del Artículo 3, apartado 1, que requiere inferencia, aprendizaje automático o enfoques estadísticos. Si la calculadora es puramente basada en reglas y aplica el mismo cálculo fijo a cada entrada, queda fuera del Reglamento. En el momento en que el sistema utiliza datos históricos para ponderar factores, ajustar umbrales o personalizar los resultados al perfil del solicitante individual, es probablemente un sistema de IA y la cuestión de la clasificación del Anexo III, punto 5, letra b), entra en juego.

¿Se aplica la exclusión de la detección de fraude del Anexo III a los modelos de calificación crediticia?

No. La exclusión se aplica a los sistemas de IA «utilizados con el fin de detectar fraude en la prestación de servicios financieros». Un modelo de solvencia evalúa el riesgo de reembolso — si es probable que el solicitante incumpla — que es una valoración fundamentalmente distinta de detectar si una transacción o solicitud concreta implica fraude. Las entidades de crédito a veces confunden ambas, pero los antecedentes legislativos y el texto literal del Anexo III, punto 5, letra b), dejan claro que la evaluación del riesgo de reembolso es de alto riesgo, con independencia de que la entidad opere también una capa de detección de fraude separada.

¿Cuál es el período de conservación de registros para los responsables del despliegue en virtud del Artículo 26?

El Artículo 26 fija un período mínimo de conservación de registros de seis meses para los registros generados automáticamente por el sistema que el responsable del despliegue controla. Este es el mínimo de la Ley de IA de la UE. La regulación sectorial — por ejemplo, las normas de supervisión bancaria o los requisitos nacionales de prevención del blanqueo de capitales — puede exigir una conservación más larga, y la EIDF puede identificar motivos para conservar los registros durante más tiempo. Pero seis meses es el suelo del Reglamento, no un objetivo al que aspirar.

¿Cuándo se aplica el artículo 22 del RGPD a una decisión hipotecaria?

El artículo 22 se aplica cuando la decisión se basa «únicamente» en el tratamiento automatizado. En la práctica, si un agente de préstamos revisa la recomendación de la IA y aprueba la decisión, la entidad de crédito argumentará que la decisión no fue únicamente automatizada. Las autoridades de control — incluido el CEPD — han adoptado una postura más estricta: si el resultado de la IA es determinante en la práctica y la revisión humana es superficial, se cumple el umbral de «únicamente». Las entidades de crédito deben dar por hecho que el artículo 22 se aplica salvo que puedan demostrar una revisión humana genuina, lo que a su vez requiere los mecanismos de supervisión significativa que la Ley de IA ya impone en virtud de los Artículos 14 y 26.

¿Se aplica el requisito de la EIDF del Artículo 27 a todos los prestamistas privados?

El Artículo 27, apartado 2, enumera las categorías de responsables del despliegue que deben realizar una EIDF. Las entidades privadas que despliegan IA de alto riesgo en el contexto de la «evaluación de la solvencia o la calificación crediticia de personas físicas» están incluidas explícitamente. Todo prestamista que despliega IA del Anexo III, punto 5, letra b) — entidades hipotecarias, proveedores de crédito al consumo, originadores de préstamos personales — debe realizar y documentar una EIDF antes de entrar en funcionamiento. No hay umbral de volumen de negocios ni de tamaño en el Artículo 27.

¿Qué sanción se aplica a un responsable del despliegue que no realiza una EIDF?

No cumplir el Artículo 27 es un incumplimiento de las obligaciones del responsable del despliegue en virtud del Artículo 26 en relación con el Artículo 27. El nivel sancionador aplicable es el del Artículo 99, apartado 4: hasta 15 000 000 EUR o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor. Para las pymes y las empresas emergentes, el Artículo 99, apartado 6, limita la multa a la cifra que sea menor.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Guide

Evaluación de riesgos de la IA conforme a la Ley de IA de la UE: dos capas, un marco

La evaluación de riesgos de la IA conforme a la Ley de IA de la UE se desarrolla en dos capas: primero la clasificación del Artículo 6, después el sistema de gestión de riesgos del Artículo 9. Guía paso a paso.

Complete Guide

Clasificación de riesgo de la Ley de IA de la UE: los 4 niveles explicados (2026)

Niveles de riesgo de la Ley de IA de la UE: prohibiciones del Artículo 5, alto riesgo del Anexo III (plazo 2 dic 2027), transparencia del Artículo 50, riesgo mínimo. Filtro de exención del Artículo 6, apartado 3.

Guide

Clasificación de riesgo de chatbots de IA conforme a la Ley de IA de la UE

Clasifique su chatbot conforme a la Ley de IA de la UE: riesgo limitado (Artículo 50, ago 2026), alto riesgo (Anexo III) o prohibido (Artículo 5). Sanciones incluidas.