¿Qué sistemas de IA de las fintech son de alto riesgo en virtud de la Ley de IA de la UE?
La calificación crediticia (Anexo III, 5, letra b)) es de alto riesgo; la detección de fraude, no. Asocie la IA de las fintech a los niveles de la Ley de IA de la UE, las obligaciones y el plazo del 2 de diciembre de 2027.
La Ley de IA de la UE no trata la IA de los servicios financieros como una categoría única. Designa dos casos de uso de las fintech concretos como de alto riesgo y deja el resto del sector en buena medida fuera del nivel de alto riesgo — siempre que las empresas clasifiquen correctamente y documenten el porqué.
Esa distinción importa. Un prestamista de tamaño medio que opera seis sistemas de IA puede descubrir que solo uno de ellos activa toda la pila de obligaciones de alto riesgo. Una empresa de pagos con un modelo de detección de fraude casi con seguridad no es de alto riesgo sobre la base del Anexo III en absoluto. Acertar en esto no es un atajo para evitar el trabajo de cumplimiento; es la forma de dirigir los recursos de cumplimiento allí donde la regulación realmente los exige.
Este artículo asocia los casos de uso de IA comunes en las fintech — calificación crediticia, detección de fraude, asesoramiento robotizado, supervisión contra el blanqueo de capitales, negociación algorítmica, fijación de precios de seguros, chatbots — a su nivel correcto en virtud del Reglamento (UE) 2024/1689. Si busca el programa de gobernanza completo — obligaciones, paquetes de documentación, el flujo de trabajo de la EIDF del Artículo 27 — consulte La Ley de IA de la UE para las fintech: obligaciones y programa de gobernanza.
Los dos casos de uso de las fintech que son explícitamente de alto riesgo
Calificación crediticia y evaluación de la solvencia — Anexo III, punto 5, letra b)
Nivel: Alto riesgo.
El Anexo III, punto 5, letra b), designa como de alto riesgo todo sistema de IA utilizado para evaluar la solvencia de personas físicas o para establecer su calificación crediticia. Esto abarca el crédito al consumo, la aprobación de tarjetas de crédito, los servicios de préstamos entre particulares, la concesión de hipotecas, la toma de decisiones de pago aplazado y cualquier otro modelo cuyo resultado determine si una persona obtiene acceso al crédito y en qué condiciones.
El alcance es más amplio que las decisiones totalmente automatizadas. Un modelo que genera una puntuación de probabilidad de impago que un gestor de préstamos utiliza después está dentro del ámbito de aplicación si esa puntuación da forma materialmente al resultado. El punto 5, letra b), se activa por la influencia sobre el acceso a un servicio esencial, no por la ausencia de un humano en el bucle. Todo sistema que elabore perfiles de prestatarios no puede invocar el filtro del Artículo 6, apartado 3; la elaboración de perfiles de personas físicas es siempre de alto riesgo, sin excepción.
Un prestamista regional con un modelo de crédito interno, una fintech que licencia su motor de calificación a los bancos y un banco que integra una puntuación de un tercero en su flujo de trabajo de concesión se enfrentan todos a la clasificación de alto riesgo del Artículo 6 — aunque sus roles difieran. El prestamista que desarrolló el modelo es el proveedor en virtud del Artículo 16; el banco que lo despliega es el responsable del despliegue en virtud del Artículo 26. Un banco que desarrolló y utiliza su propio modelo es ambas cosas.
El plazo para toda la pila de obligaciones de alto riesgo es el 2 de diciembre de 2027, en virtud del Ómnibus Digital (acuerdo político del 7 de mayo de 2026), que aplazó la fecha original del 2 de agosto de 2026 para los sistemas autónomos del Anexo III. Dado que la documentación técnica del Artículo 11 / Anexo IV y el sistema de gestión de riesgos del Artículo 9 llevan cada uno meses de elaboración adecuada, empezar mucho antes de esa fecha no es opcional para la mayoría de las empresas.
Los responsables del despliegue de sistemas de evaluación de la solvencia deben la evaluación de impacto relativa a los derechos fundamentales (EIDF) del Artículo 27 — un análisis estructurado previo al despliegue que abarca los derechos de los prestatarios afectados, los riesgos que crea el despliegue y las medidas de mitigación implantadas. Esta obligación se aplica específicamente a los responsables del despliegue de sistemas del Anexo III, 5, letra b); no es un deber general del responsable del despliegue.
Riesgo y fijación de precios de los seguros de vida y de salud — Anexo III, punto 5, letra c)
Nivel: Alto riesgo.
El Anexo III, punto 5, letra c), designa como de alto riesgo los sistemas de IA utilizados para evaluar riesgos y fijar precios de los seguros de vida y de salud. Los modelos de suscripción que determinan los niveles de prima, la categorización por bandas de riesgo o la admisibilidad a la cobertura entran dentro de este punto. Se aplica la misma pila completa de obligaciones que para la calificación crediticia: gestión de riesgos del Artículo 9, gobernanza de datos del Artículo 10, documentación del Artículo 11 / Anexo IV, supervisión humana del Artículo 14, evaluación de la conformidad del Artículo 43 y la EIDF del Artículo 27 para los responsables del despliegue.
Observe el límite en el lado de los seguros: el punto 5, letra c), cubre únicamente los seguros de vida y de salud. La IA de fijación de precios de los seguros de automóvil, de bienes y de viaje no está en el Anexo III sobre esta base. Las empresas aseguradoras que operan en varios ramos no deben dar por supuesta una clasificación de alto riesgo para todo el sector — deben clasificar sistema por sistema.
Las aseguradoras también se enfrentan a una intersección sectorial específica con Solvencia II y la Directiva sobre la distribución de seguros (IDD). La Ley de IA de la UE se superpone a esos marcos sin sustituirlos.
Detección de fraude: explícitamente excluida del alto riesgo
Nivel: Por lo general, no es de alto riesgo en virtud del Anexo III.
El Anexo III, punto 5, letra b), contiene una exclusión explícita: los sistemas de IA utilizados para la detección de fraude financiero quedan excluidos de la clasificación de alto riesgo de solvencia/calificación crediticia. Esta fue una decisión legislativa deliberada. Los modelos de detección de fraude protegen a los consumidores y al sistema financiero en lugar de tomar determinaciones de consecuencias importantes sobre el acceso a servicios esenciales, por lo que no crean la misma exposición a los derechos fundamentales que la IA de crédito o de fijación de precios de seguros.
En la práctica: un modelo de supervisión de transacciones que marca pagos sospechosos para que los revise un analista humano no es de alto riesgo en virtud del Anexo III. Un motor de detección de anomalías de pago no es de alto riesgo. Un modelo de identificación de apropiación de cuentas no es de alto riesgo sobre esta base.
Lo que sigue siendo pertinente para la IA de detección de fraude:
- Artículo 22 del RGPD — si el sistema de detección de fraude produce una decisión con efectos jurídicos significativos sobre una persona física (por ejemplo, un bloqueo automático de cuenta aplicado sin revisión humana alguna), esa decisión automatizada puede activar el derecho del artículo 22 del RGPD. El nivel de alto riesgo de la Ley de IA de la UE y el artículo 22 del RGPD operan de forma independiente.
- Documentación del Artículo 6, apartado 3 — incluso cuando un sistema queda fuera del ámbito del alto riesgo, los proveedores se benefician de documentar la justificación de la clasificación. Si un regulador cuestiona después la clasificación de un modelo de fraude, la documentación demuestra que el análisis se realizó.
- Regulación específica contra el blanqueo de capitales — el marco contra el blanqueo de capitales (ahora el Reglamento (UE) 2024/1624 y la AMLD6) impone sus propios requisitos a la supervisión de transacciones. Ese marco es independiente de la Ley de IA de la UE.
Asesoramiento robotizado y recomendaciones algorítmicas de inversión
Nivel: No es de alto riesgo en virtud del Anexo III. Riesgo limitado (Artículo 50) si está orientado al cliente.
Los sistemas de IA que generan recomendaciones de inversión o asignaciones de cartera no están en el Anexo III. Los requisitos de idoneidad y conveniencia de la MiFID II se aplican de forma independiente. Cuando un producto de asesoramiento robotizado interactúa con los clientes en un formato conversacional, las obligaciones de transparencia de riesgo limitado del Artículo 50 se aplican a partir del 2 de agosto de 2026 — solo divulgación, sin evaluación de la conformidad.
Un matiz de clasificación: un «asesor robotizado» que determina si una persona física reúne los requisitos para un producto financiero — por ejemplo, la admisibilidad para abrir una línea de crédito — empieza a funcionar como una herramienta de evaluación de la solvencia en virtud del punto 5, letra b). Lo que importa es la función, no la etiqueta del producto. Los proveedores de sistemas híbridos de asesoramiento y admisibilidad deben documentar un análisis completo del Artículo 6.
Blanqueo de capitales, supervisión de transacciones y negociación algorítmica
Nivel: No es de alto riesgo en virtud del Anexo III.
Los sistemas de supervisión de transacciones contra el blanqueo de capitales y de notificación de actividades sospechosas se rigen por la misma lógica que la detección de fraude: ningún punto del Anexo III los recoge. El marco de cumplimiento aplicable es el Reglamento de la UE contra el blanqueo de capitales ((UE) 2024/1624) y las directrices de la ABE sobre el riesgo de los modelos de aprendizaje automático — no la pila de alto riesgo de la Ley de IA de la UE. Los sistemas de negociación algorítmica operan sobre instrumentos financieros y no sobre personas físicas, y quedan igualmente fuera del Anexo III. La MiFID II (artículos 17 y 19 sobre negociación algorítmica y de alta frecuencia) sigue siendo el marco principal. Un sistema de negociación que también genere recomendaciones personalizadas para los clientes a través de una interfaz conversacional puede atraer los deberes de transparencia de riesgo limitado del Artículo 50 a partir del 2 de agosto de 2026; la propia capa de ejecución, no.
Chatbots de decisión crediticia e IA orientada al cliente
Nivel: Riesgo limitado en virtud del Artículo 50. Alto riesgo si lleva integrada una función de evaluación de la solvencia.
Los chatbots orientados al cliente — asistentes de consulta de préstamos, guías de admisibilidad hipotecaria, asistentes virtuales de uso general para la banca — entran en el nivel de riesgo limitado del Artículo 50 cuando interactúan con personas físicas en un formato de texto o de voz. El requisito de divulgación es claro: debe informarse a los usuarios de que están interactuando con un sistema de IA. Esta obligación se aplica a partir del 2 de agosto de 2026.
La clasificación cambia si un chatbot hace algo más que responder preguntas. Un chatbot que recoge datos del solicitante y los pasa por un modelo de calificación para producir una recomendación de crédito o un resultado de admisibilidad es, en esencia, un sistema de evaluación de la solvencia. El mecanismo de entrega — interfaz conversacional — no cambia la función subyacente. Los proveedores deben clasificar por lo que el sistema hace, no por su apariencia.
El mapa de niveles de un vistazo
| Caso de uso de IA en las fintech | Nivel de la Ley de IA de la UE | Referencia del Anexo III |
|---|---|---|
| Calificación crediticia / evaluación de la solvencia | Alto riesgo | Anexo III, punto 5, letra b) |
| Toma de decisiones de concesión de hipotecas | Alto riesgo | Anexo III, punto 5, letra b) |
| Riesgo y fijación de precios de seguros de vida | Alto riesgo | Anexo III, punto 5, letra c) |
| Suscripción de seguros de salud | Alto riesgo | Anexo III, punto 5, letra c) |
| Detección de fraude / supervisión de transacciones | No es de alto riesgo — exclusión explícita | Exclusión del punto 5, letra b) |
| Blanqueo de capitales / detección de actividades sospechosas | No es de alto riesgo | Ningún punto del Anexo III |
| Asesoramiento robotizado / recomendación de inversión | No es de alto riesgo | Ningún punto del Anexo III |
| Negociación algorítmica | No es de alto riesgo | Ningún punto del Anexo III |
| KYC / verificación de documentos de identidad (estándar) | No es de alto riesgo | No se aplica ningún punto del Anexo III |
| Chatbots de clientes (solo conversacionales) | Riesgo limitado | Artículo 50 |
| Chatbot con función integrada de admisibilidad crediticia | Alto riesgo | Anexo III, punto 5, letra b) |
| Fijación de precios de seguros de automóvil / bienes / viaje | No es de alto riesgo | El punto 5, letra c), no se extiende |
El filtro del Artículo 6, apartado 3: cuándo puede rebatirse la clasificación de alto riesgo
Entrar dentro de un punto del Anexo III no confirma automáticamente la condición de alto riesgo. El Artículo 6, apartado 3, permite a un proveedor concluir que un sistema no plantea un riesgo significativo de perjuicio — siempre que cumpla al menos una de cuatro condiciones: tarea procedimental limitada; mejora del resultado de una actividad humana previamente realizada; detección de patrones de toma de decisiones sin sustituir ni influir en la evaluación humana; o únicamente tareas preparatorias.
Para la mayoría de la IA de calificación crediticia y de fijación de precios de seguros, el filtro no está disponible: estos sistemas elaboran perfiles de personas físicas, y todo sistema que elabore perfiles de personas físicas es siempre de alto riesgo, sin excepción. Una herramienta limitada de cribado previo que solo comprueba si una solicitud está formalmente completa — antes de cualquier revisión humana — podría reunir los requisitos. La reclamación de la exención debe documentarse por escrito, y el proveedor debe, aun así, registrar el sistema en virtud del Artículo 49.
Solapamientos sectoriales: dónde se cruzan otros marcos
La Ley de IA de la UE no sustituye la regulación específica del sector de los servicios financieros. Tres marcos se cruzan directamente con la gobernanza de la IA en las fintech:
DORA (Reglamento (UE) 2022/2554, aplicable desde el 17 de enero de 2025) — las entidades financieras deben gestionar el riesgo de las TIC, incluido el riesgo de los sistemas de IA, como parte de su marco de resiliencia operativa. Un prestamista que despliega un modelo de calificación crediticia de un proveedor se enfrenta simultáneamente a los deberes del responsable del despliegue de la Ley de IA de la UE y a los requisitos de supervisión de terceros de DORA; la documentación es distinta, pero el proceso de diligencia debida puede ejecutarse en paralelo.
Artículo 22 del RGPD — el derecho a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado con efectos jurídicos o significativos similares. Las decisiones de admisibilidad de crédito y de seguros activan habitualmente este derecho. El Artículo 14 de la Ley de IA de la UE (supervisión humana) es complementario: los gestores de préstamos con autoridad de anulación abordan a la vez el requisito del Artículo 14 y la defensa del artículo 22 del RGPD. Tenga en cuenta que el artículo 22 del RGPD es una disposición del RGPD; no confunda los números de los artículos con los de la Ley de IA de la UE.
Directiva sobre crédito al consumo II (Directiva 2023/2225, en vigor desde noviembre de 2025) — los prestamistas deben explicar al consumidor el fundamento de una decisión crediticia adversa. Un sistema de IA de calificación crediticia debe poder producir esa explicación, lo que está alineado con — pero es independiente de — los requisitos de interpretabilidad y supervisión humana del Artículo 14.
Obligaciones específicas del responsable del despliegue para la IA de crédito y de seguros
Los responsables del despliegue — bancos, prestamistas y aseguradoras que utilizan un sistema de un tercero en lugar de desarrollar el suyo propio — tienen una lista de obligaciones más corta que los proveedores, pero dos deberes son específicos de su posición en las fintech.
EIDF del Artículo 27. Los responsables del despliegue de sistemas de evaluación de la solvencia (Anexo III, 5, letra b)) o de fijación de precios de seguros de vida o de salud (5, letra c)) deben completar una evaluación de impacto relativa a los derechos fundamentales antes de la puesta en marcha. La EIDF cartografía los derechos de las personas afectadas, los riesgos y las medidas de mitigación, y se actualiza a lo largo de todo el funcionamiento. El Artículo 27, apartado 4, permite que se base en una EIPD del RGPD ya existente — una eficiencia práctica para las empresas con programas de protección de datos maduros.
Diligencia debida sobre el proveedor. Solicite las instrucciones de uso del Artículo 13 y la declaración UE de conformidad del Artículo 47 como requisitos estándar de contratación. Un responsable del despliegue que utilice un sistema no conforme no se libra de responsabilidad señalando al proveedor; el Artículo 26 impone un deber independiente de verificar la conformidad.
Sanciones
El incumplimiento de las obligaciones de alto riesgo (Artículos 9, 10, 11, 13, 14, 15, 43, 49) conlleva multas en virtud del Artículo 99, apartado 4, de hasta 15 000 000 EUR o el 3 % del volumen de negocios anual mundial total, si esta última cifra es mayor. La infracción de una prohibición del Artículo 5 conlleva el nivel más alto: 35 000 000 EUR o el 7 % en virtud del Artículo 99, apartado 3. El Artículo 99, apartado 6, limita las multas para las pymes y las empresas emergentes al menor de los dos importes, el porcentaje o la cantidad fija — un factor de calibración significativo para las empresas fintech más pequeñas cuya exposición del 3 % está muy por debajo de los 15 millones EUR.
Cómo ayuda Confir
Determinar el nivel de cada sistema de IA de las fintech requiere recorrer el Anexo III punto por punto y, después, aplicar el filtro del Artículo 6, apartado 3, para los casos límite. El módulo de clasificación de Confir hace esto con escenarios en lenguaje sencillo extraídos del texto de la regulación — para un modelo de calificación crediticia confirma la clasificación del Anexo III, 5, letra b), deriva su rol (proveedor o responsable del despliegue) y asocia toda la pila de obligaciones a partir de una única admisión. La lógica es determinista y basada en reglas; las mismas entradas, el mismo resultado, con la regla que se activó registrada a efectos de auditoría.
Para los responsables del despliegue que necesitan la EIDF del Artículo 27, Confir genera la evaluación estructurada a partir del resultado de la clasificación. Para los proveedores, el Paquete de Conformidad genera el paquete de documentación del Artículo 11 / Anexo IV y la declaración de conformidad del Artículo 47 / Anexo V.
Preguntas frecuentes
¿Es un modelo de calificación crediticia siempre de alto riesgo en virtud de la Ley de IA de la UE?
Sí, si evalúa la solvencia de personas físicas o produce puntuaciones utilizadas en decisiones de concesión de crédito. El Anexo III, punto 5, letra b), nombra este caso de uso explícitamente. La clasificación se aplica con independencia de que la decisión sea totalmente automatizada — un modelo que produce una puntuación que un gestor de préstamos utiliza después sigue estando dentro del ámbito de aplicación si la puntuación da forma materialmente al resultado. La única salida posible es el Artículo 6, apartado 3, pero todo sistema que elabore perfiles de prestatarios no puede utilizar ese filtro.
¿Por qué la detección de fraude no es de alto riesgo?
El Anexo III, punto 5, letra b), contiene una exclusión explícita para la IA utilizada para detectar fraude financiero. El razonamiento del legislador es claro: los modelos de detección de fraude protegen a los consumidores en lugar de determinar su acceso a servicios esenciales. Un sistema de supervisión de transacciones, un motor de anomalías de pago y un modelo de detección de apropiación de cuentas quedan todos fuera del nivel de alto riesgo sobre esta base. Pueden enfrentarse a las obligaciones del artículo 22 del RGPD si producen decisiones automatizadas jurídicamente significativas, pero la pila de alto riesgo de la Ley de IA de la UE no se aplica.
¿Tiene la IA de fijación de precios de seguros de vida las mismas obligaciones que la calificación crediticia?
Sí. El Anexo III, punto 5, letra c), sitúa la evaluación de riesgos de los seguros de vida y de salud en el nivel de alto riesgo, y la pila de obligaciones es idéntica: gestión de riesgos del Artículo 9, gobernanza de datos del Artículo 10, documentación del Artículo 11 / Anexo IV, supervisión humana del Artículo 14, evaluación de la conformidad del Artículo 43 y la EIDF del Artículo 27 para los responsables del despliegue. La IA de fijación de precios de los seguros de automóvil y de bienes no está en el Anexo III sobre esta base — la delimitación del punto 5, letra c), es específica de la vida y la salud.
¿Necesita una evaluación de la conformidad un chatbot orientado al cliente en la banca?
No — no sobre la base de la función de chatbot por sí sola. Los chatbots entran en la transparencia de riesgo limitado del Artículo 50: debe informarse a los usuarios de que están interactuando con un sistema de IA. Eso es una obligación de divulgación, no una evaluación de la conformidad. La respuesta cambia si el chatbot integra una función de evaluación de la solvencia o de determinación de la admisibilidad — en ese caso, el sistema es, en efecto, una herramienta de evaluación de crédito entregada a través de una interfaz conversacional, y se aplica el Anexo III, punto 5, letra b).
¿Quién debe la EIDF — el banco o el proveedor del modelo?
El responsable del despliegue. El Artículo 27 sitúa la obligación de la evaluación de impacto relativa a los derechos fundamentales en el responsable del despliegue de un sistema de evaluación de la solvencia (Anexo III, 5, letra b)) o de fijación de precios de seguros de vida o de salud (5, letra c)) — es decir, el banco o el prestamista que utiliza la IA, no el proveedor que la desarrolló. La obligación del proveedor es completar la evaluación de la conformidad (Artículo 43) y facilitar instrucciones de uso claras (Artículo 13). Ambas partes tienen obligaciones, pero la EIDF corresponde al responsable del despliegue.
¿Cuándo se aplican las obligaciones de alto riesgo para la IA de las fintech?
En virtud del Ómnibus Digital (acuerdo político del 7 de mayo de 2026), la fecha de aplicación de los sistemas de alto riesgo autónomos del Anexo III — incluidas la calificación crediticia en virtud del punto 5, letra b), y la fijación de precios de seguros en virtud del punto 5, letra c) — es el 2 de diciembre de 2027. La fecha original del 2 de agosto de 2026 se aplazó. La transparencia de riesgo limitado del Artículo 50 se aplica a partir del 2 de agosto de 2026. Las prácticas prohibidas del Artículo 5 están en vigor desde el 2 de febrero de 2025.
Guías relacionadas
- Obligaciones de la Ley de IA de la UE explicadas
- requisitos clave de cumplimiento
- alineación entre el RGPD y la Ley de IA
- normas de gestión del riesgo de sesgo
Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar
Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.
Empieza la prueba gratuita →