El Reglamento europeo de IA (AI Act) clasifica numerosos sistemas de IA en despachos de abogados y empresas financieras como de alto riesgo. ¿Qué implica esto para el cumplimiento normativo, la gestión de riesgos y las obligaciones de transparencia? Una visión general de los requisitos y el calendario hasta agosto de 2026.
La inteligencia artificial bajo el foco regulatorio
La inteligencia artificial impregna desde hace tiempo el trabajo diario de despachos de abogados y empresas financieras: revisión de contratos, análisis de solvencia, investigación jurídica automatizada, evaluaciones de riesgo en el sector asegurador. Sin embargo, lo que muchos responsables subestiman es el marco regulatorio que la Unión Europea ha establecido con el Reglamento (UE) 2024/1689 – denominado AI Act (Reglamento de Inteligencia Artificial). Este reglamento entró en vigor el 1 de agosto de 2024 y despliega sus plenos efectos de manera escalonada hasta agosto de 2026.
Para despachos de abogados y proveedores de servicios financieros se plantea una cuestión central: ¿cuáles de los sistemas de IA utilizados entran en la categoría de alto riesgo – y qué obligaciones se derivan de ello? Este artículo ofrece una visión general orientada a la práctica.
El sistema de clasificación del AI Act
El AI Act sigue un enfoque basado en riesgos. Los sistemas de IA se clasifican en cuatro niveles de riesgo:
- Riesgo inaceptable (art. 5): Prácticas completamente prohibidas, como la puntuación social o la manipulación subliminal
- Alto riesgo (art. 6 en relación con el Anexo III): Sistemas con un potencial significativo de poner en peligro derechos fundamentales, la salud o la seguridad
- Riesgo limitado: Sistemas con obligaciones de transparencia (por ej., chatbots que deben identificarse como IA)
- Riesgo mínimo: Sistemas de libre uso sin requisitos especiales
Para la práctica en despachos de abogados y empresas financieras, es principalmente la segunda categoría la que resulta relevante: los sistemas de IA de alto riesgo.
¿Qué sistemas de IA se clasifican como de alto riesgo?
El Anexo III del Reglamento de IA enumera ocho áreas en las que los sistemas de IA se clasifican como de alto riesgo. Las siguientes categorías son especialmente relevantes para el sector financiero y las profesiones de asesoramiento jurídico:
Evaluación de solvencia y seguros (Anexo III n.° 5b)
Los sistemas de IA utilizados para la evaluación de la solvencia de personas físicas o para la evaluación de riesgos y fijación de precios en seguros de vida y salud se clasifican como de alto riesgo. Esto afecta por igual a bancos, aseguradoras y empresas FinTech.
Empleo y gestión de recursos humanos (Anexo III n.° 4)
El reclutamiento asistido por IA, la evaluación automatizada del rendimiento y las decisiones algorítmicas de promoción también entran en la categoría de alto riesgo. Esto concierne a todo despacho de abogados y empresa financiera que utilice dichas herramientas en recursos humanos.
Acceso a servicios públicos y privados esenciales (Anexo III n.° 5a)
Esto incluye sistemas de IA que deciden sobre el acceso a servicios básicos – incluidos determinados servicios financieros.
Aplicación de la ley y administración de justicia (Anexo III n.° 6 y 8)
Especialmente relevante para los despachos de abogados: los sistemas de IA utilizados en la administración de justicia y los procesos democráticos. Cuando se utilizan herramientas de IA para apoyar la toma de decisiones judiciales o para la investigación jurídica con función de apoyo a la decisión, pueden entrar en la categoría de alto riesgo.
Obligaciones para proveedores y operadores de IA de alto riesgo
El Reglamento de IA distingue entre proveedores (providers) y operadores (deployers) de sistemas de IA. Los despachos de abogados y las empresas financieras son normalmente operadores – pero también a ellos les aplican obligaciones considerables:
Gestión de riesgos (art. 9)
Los operadores deben establecer un sistema de gestión de riesgos que abarque todo el ciclo de vida del sistema de IA. Los riesgos deben identificarse, evaluarse y mitigarse mediante medidas adecuadas.
Transparencia e información (art. 13, 50)
Las personas afectadas por decisiones de IA de alto riesgo deben ser informadas. Para los despachos de abogados esto significa: si se utiliza un sistema de IA en la tramitación de asuntos de clientes, estos deben ser notificados. En el sector financiero, esto se aplica, por ejemplo, a las decisiones crediticias automatizadas.
Supervisión humana (art. 14)
Los sistemas de IA de alto riesgo deben diseñarse de manera que se garantice una supervisión humana efectiva. El ser humano debe poder comprender, revisar y, en su caso, corregir la decisión de la IA. El Colegio Federal de Abogados alemán (Bundesrechtsanwaltskammer, BRAK) ha subrayado en su guía sobre el uso de IA en despachos que la responsabilidad profesional propia del abogado no debe verse socavada por el uso de IA.
Calidad de los datos (art. 10)
Los datos de entrenamiento, validación y prueba deben cumplir determinados requisitos de calidad. En particular, los sesgos (Bias) deben identificarse y abordarse – un aspecto especialmente crítico en las evaluaciones de solvencia.
Competencia en IA (art. 4)
Desde el 2 de febrero de 2025, todos los proveedores y operadores de sistemas de IA deben garantizar que su personal posea una competencia suficiente en materia de IA. Haufe señala que esto requiere conceptos de formación adaptados a los diferentes grupos destinatarios.
La BaFin como autoridad supervisora del sector financiero
La Autoridad Federal de Supervisión Financiera (Bundesanstalt für Finanzdienstleistungsaufsicht, BaFin) publicó en diciembre de 2025 una orientación sobre riesgos TIC en el uso de IA. Esta aborda los riesgos asociados al uso de IA en empresas financieras reguladas y aclara las expectativas de la autoridad supervisora.
Puntos clave de la orientación de la BaFin:
- Explicabilidad: los modelos de IA deben ser lo más comprensibles posible
- Control de sesgos: las distorsiones sistemáticas deben identificarse y abordarse
- Gobernanza: deben definirse responsabilidades claras para el uso de IA
- Riesgos de externalización: al utilizar servicios externos de IA, se aplican los requisitos prudenciales habituales de externalización
La BaFin actuará muy probablemente como autoridad de vigilancia del mercado para los sistemas de IA de alto riesgo en el sector financiero.
La ley alemana de implementación: KI-MIG
Alemania aprobó el 11 de febrero de 2026 el proyecto de la Ley de Vigilancia del Mercado de IA y Fomento de la Innovación (KI-MIG). Esta ley transpone los requisitos del Reglamento europeo de IA al derecho alemán y establece las estructuras de supervisión nacionales. La Agencia Federal de Redes (Bundesnetzagentur) está prevista como centro central de coordinación y competencia.
Calendario: ¿cuándo se pone serio?
La implementación del AI Act se realiza por etapas:
| Fecha | Hito |
|---|---|
| 1 de agosto de 2024 | Entrada en vigor del Reglamento |
| 2 de febrero de 2025 | Prácticas de IA prohibidas (art. 5) y obligación de competencia en IA (art. 4) |
| 2 de agosto de 2025 | Obligaciones para modelos de IA de propósito general (GPAI) |
| 2 de febrero de 2026 | La Comisión Europea publica directrices sobre la clasificación de alto riesgo |
| 2 de agosto de 2026 | Aplicación completa de los requisitos de alto riesgo (Anexo III) |
Esto significa: a partir de agosto de 2026, todas las empresas que desplieguen o proporcionen sistemas de IA de alto riesgo deberán cumplir con la totalidad de los requisitos de conformidad. El tiempo de preparación ya es ajustado.
Sanciones: ¿qué consecuencias tiene el incumplimiento?
El AI Act prevé multas significativas:
- Hasta 35 millones de euros o el 7 % de la facturación anual mundial por prácticas de IA prohibidas
- Hasta 15 millones de euros o el 3 % de la facturación anual por infracciones de las obligaciones de alto riesgo
- Hasta 7,5 millones de euros o el 1 % de la facturación anual por proporcionar información incorrecta a las autoridades
Para despachos de abogados y proveedores financieros de tamaño mediano, estas cantidades pueden ser existencialmente amenazantes.
Pasos prácticos para despachos de abogados y empresas financieras
Ante la fecha límite que se aproxima en agosto de 2026, se recomiendan las siguientes medidas:
1. Realizar un inventario: Identifique todos los sistemas de IA en su organización – desde software de revisión de contratos y chatbots hasta modelos de scoring. Compruebe en base al art. 6 y el Anexo III si están clasificados como de alto riesgo.
2. Establecer la gestión de riesgos: Implemente un sistema documentado de gestión de riesgos para todas las aplicaciones de IA de alto riesgo. Esto incluye la evaluación de riesgos, medidas de mitigación y revisiones periódicas.
3. Implementar procesos de transparencia: Asegúrese de que las personas afectadas – clientes, empleados – estén informadas sobre el uso de IA.
4. Formar en competencia de IA: Desarrolle conceptos de formación para todos los empleados que trabajan con sistemas de IA. Esta obligación está vigente desde febrero de 2025.
5. Auditar proveedores: Si utiliza sistemas de IA de proveedores terceros, asegúrese de que cumplen los requisitos del AI Act. Solicite las correspondientes declaraciones de conformidad y documentación técnica.
6. Crear estructuras de gobernanza: Designe responsables del uso de IA en su organización y establezca procesos claros de supervisión y documentación.
Conclusión: ver la regulación como una oportunidad
El AI Act de la UE plantea a despachos de abogados y empresas financieras considerables desafíos de cumplimiento. Pero quien tome en serio la regulación de forma temprana puede convertirla en una ventaja competitiva: los clientes confían en empresas que pueden demostrar un uso responsable de la IA. El examen estructurado de los riesgos de IA también fortalece la gobernanza interna y la calidad de los propios servicios.
En compleneo le apoyamos en la implementación del Reglamento de IA en su despacho o empresa financiera – desde el inventario, pasando por la evaluación de riesgos, hasta la implementación de las estructuras de cumplimiento requeridas. Contáctenos.
