⚖️ Análisis regulatorio

AI Act y Scoring Crediticio: Qué Cambia desde Agosto 2026

Análisis del Reglamento (UE) 2024/1689 (AI Act) aplicado al scoring crediticio: por qué es sistema de "alto riesgo" (Anexo III, 5b), obligaciones para las financieras y derechos del consumidor frente a decisiones automatizadas.

Por Fernando Hierro · Actualizado: 14 de mayo de 2026 · 13 min

𝕏 in

El Reglamento (UE) 2024/1689 —conocido como AI Act— es la primera regulación integral de inteligencia artificial en el mundo. Está en vigor desde el 1 de agosto de 2024 y se aplica de forma escalonada hasta 2030. Para el sector financiero el hito más relevante es el 2 de agosto de 2026: desde esa fecha, los sistemas de IA usados para scoring crediticio quedan clasificados como "alto riesgo" (Anexo III, punto 5b) y deben cumplir nuevas obligaciones técnicas, de transparencia y de supervisión humana. Esta página explica qué cambia para las financieras online y qué derechos tienes como consumidor cuando un algoritmo decide tu préstamo.

⚡

En 30 segundos

● Desde el 2 de agosto de 2026, el scoring crediticio algorítmico está clasificado como sistema de "alto riesgo" (Anexo III, punto 5b del AI Act). Aplica a TODAS las financieras que usan IA para evaluar solicitudes.
● Las financieras deberán: documentar la lógica del sistema, garantizar supervisión humana, controlar sesgos en los datasets, registrar el sistema en la base de datos UE de IA de alto riesgo y aplicar marcado CE.
● Como consumidor tienes derecho a una explicación clara y significativa de cómo la IA influyó en la decisión sobre tu préstamo (Art. 86 AI Act) y a solicitar revisión humana de la denegación.
● El AI Act NO sustituye al artículo 22 del GDPR: se suma. Tienes derecho a no ser objeto de una decisión exclusivamente automatizada con efectos significativos, salvo excepciones tasadas.
● En España, el supervisor designado es la AESIA (Agencia Española de Supervisión de la IA), con sede en A Coruña, operativa desde 2024. Sanciones: hasta 15 millones € o 3 % del volumen anual mundial.

📑 Contenido

📜 ¿Qué es el AI Act y por qué importa al sector financiero?

El Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial es el primer marco legal integral del mundo sobre IA. Se publicó en el DOUE el 12 de julio de 2024 y entró en vigor el 1 de agosto de 2024.

A diferencia de la mayoría de regulaciones financieras (que son directivas), el AI Act es un Reglamento: aplica directamente en todos los Estados miembros sin necesidad de transposición nacional. Esto significa que el texto europeo es la norma jurídica directamente exigible en España.

El AI Act clasifica los sistemas de IA en cuatro categorías según el riesgo: riesgo inaceptable (prohibidos: manipulación cognitiva, scoring social estatal, identificación biométrica masiva), alto riesgo (educación, empleo, justicia, servicios públicos esenciales y scoring crediticio), riesgo limitado (transparencia: chatbots, deepfakes) y riesgo mínimo (sin obligaciones específicas).

Para el sector financiero, la consecuencia es directa: el scoring crediticio algorítmico es sistema de "alto riesgo" (Anexo III, punto 5b). Todas las financieras que utilizan modelos de machine learning, redes neuronales o cualquier sistema automatizado para decidir si conceden o no un préstamo deberán cumplir las obligaciones del AI Act desde el 2 de agosto de 2026.

🎯 Anexo III, punto 5b: por qué el scoring crediticio es "alto riesgo"

El Anexo III del AI Act lista los sistemas de IA considerados de alto riesgo. El punto 5b establece textualmente que son de alto riesgo "los sistemas de IA destinados a ser utilizados para evaluar la solvencia de personas físicas o establecer su calificación crediticia, con la excepción de los sistemas de IA utilizados con el fin de detectar fraude financiero".

La clasificación se debe a tres razones documentadas en los considerandos del Reglamento: (1) las decisiones de scoring afectan al acceso a servicios esenciales (crédito al consumo, hipotecas, productos financieros básicos), (2) los modelos algorítmicos pueden amplificar sesgos sociales (raza, género, código postal) si los datos de entrenamiento están desbalanceados, (3) la opacidad típica del machine learning impide al consumidor entender por qué se le ha denegado.

La excepción de detección de fraude es importante: los sistemas que solo identifican operaciones sospechosas (fraud detection) NO son alto riesgo. Pero si un sistema combina detección de fraude con evaluación de solvencia (uso típico en microcréditos online), sí entra plenamente en el régimen de alto riesgo.

Otros sistemas de alto riesgo según el mismo Anexo III incluyen: educación (sistemas de admisión y evaluación de estudiantes), empleo (selección de personal, monitorización de trabajadores), aplicación de la ley, gestión migratoria, justicia y procesos democráticos. El scoring crediticio comparte régimen con estos.

📅 Calendario de aplicación escalonada

El AI Act se aplica en fases progresivas. Para el sector financiero, la fecha crítica es el 2 de agosto de 2026, pero hay hitos previos que conviene conocer.

Consulta el timeline visual más abajo. Las dos fechas que importan a las financieras españolas son: 2 de agosto de 2025 (normas de gobernanza y sanciones aplicables) y 2 de agosto de 2026 (sistemas de alto riesgo, incluido scoring crediticio).

Las primeras prohibiciones (sistemas inaceptables) entraron en vigor el 2 de febrero de 2025. Aunque esas prácticas no son típicas en el sector financiero español, conviene revisar que ningún sistema cae en el ámbito de "social scoring" prohibido (clasificación masiva de personas por comportamiento general sin relación con un fin específico).

13 jun 2024 Ya en vigor

Adopción del AI Act

El Parlamento Europeo y el Consejo adoptan el Reglamento (UE) 2024/1689 sobre Inteligencia Artificial.
12 jul 2024 Ya en vigor

Publicación en el DOUE

Publicación oficial del AI Act en el Diario Oficial de la Unión Europea.
1 ago 2024 Ya en vigor

Entrada en vigor general

El Reglamento entra en vigor a nivel UE. Comienzan los plazos escalonados.
2 feb 2025 Ya en vigor

Prohibiciones aplicables + alfabetización IA

Aplicación de prácticas prohibidas (riesgo inaceptable) y obligación de "AI literacy" para personal afectado.
2 ago 2025 Ya en vigor

Gobernanza, sanciones y GPAI

Aplicación de normas de gobernanza, régimen sancionador y obligaciones para modelos de IA de propósito general (GPAI).
2 ago 2026 Pendiente

Sistemas de alto riesgo (incl. scoring crediticio)

Aplicación plena de las obligaciones para sistemas de alto riesgo del Anexo III, incluido el scoring crediticio (punto 5b).
2 ago 2027 Pendiente

Sistemas embebidos en productos regulados

Aplicación a sistemas de IA integrados en productos sujetos a regulación sectorial (Anexo II del Reglamento).

⚙️ Obligaciones que asumen las financieras desde agosto 2026

Las financieras que operen sistemas de IA de alto riesgo (scoring crediticio) deben cumplir diez obligaciones principales antes de poder seguir comercializando el sistema:

1. Sistema de gestión de riesgos. Identificar y mitigar de forma continua los riesgos que el sistema puede generar para los derechos fundamentales del consumidor. No basta con un análisis inicial; debe ser un proceso vivo a lo largo del ciclo de vida del sistema.

2. Calidad y gobernanza de datos. Los datasets usados para entrenar, validar y probar el modelo deben ser relevantes, representativos, libres de errores y completos. Hay que prestar especial atención a la mitigación de sesgos (por sexo, edad, origen, código postal). Documentación obligatoria.

3. Documentación técnica. Antes de poner el sistema en el mercado debe existir un dossier técnico exhaustivo: descripción del sistema, propósito, lógica general, decisiones de diseño, métricas de rendimiento, conjuntos de datos, planes de mantenimiento. Disponible para los supervisores cuando lo soliciten.

4. Trazabilidad y registros automáticos (logs). El sistema debe registrar automáticamente los eventos clave: inputs, outputs, decisiones, intervenciones humanas. Los logs deben conservarse al menos seis meses (o más si la regulación sectorial lo exige) y ser auditables.

5. Transparencia hacia el usuario. Información clara sobre el funcionamiento del sistema, sus limitaciones, los datos que utiliza y las consecuencias de sus decisiones. Esta obligación se solapa con el deber de información del CCD2 (SECCI).

6. Supervisión humana ("human oversight"). Capacidad real (no nominal) de intervención humana en las decisiones del sistema. El operador humano debe poder entender el funcionamiento, detectar fallos, ignorar el output cuando sea necesario y revertir decisiones. No basta con un humano de "rubber stamp".

7. Robustez técnica, precisión y ciberseguridad. El sistema debe tener un nivel adecuado de exactitud, robustez frente a errores e incidentes, y protección frente a manipulaciones adversarias (ataques de envenenamiento del modelo, etc.).

8. Evaluación de conformidad (conformity assessment). Antes de poner el sistema en el mercado, la financiera debe realizar (o encargar) una evaluación que demuestre que cumple todos los requisitos. Para scoring crediticio, normalmente se trata de evaluación interna documentada. Para los sistemas integrados con biometría, evaluación por tercero notificado.

9. Registro en la base de datos UE. Los sistemas de alto riesgo deben inscribirse en una base de datos pública de la UE antes de su uso. Esto da visibilidad y permite a los supervisores realizar inspecciones.

10. Marcado CE y declaración de conformidad UE. El sistema debe llevar marcado CE y la financiera debe firmar declaración de conformidad formal.

🛡️ Tus derechos como consumidor frente a un scoring automatizado

Derecho a explicación (Art. 86 AI Act). Si una financiera te deniega un préstamo basándose en un sistema de IA de alto riesgo, tienes derecho a obtener una explicación clara y significativa del papel del sistema en esa decisión y de los principales elementos que llevaron a la denegación. No basta con un "lo decidió nuestro algoritmo": deben darte información concreta.

Derecho a revisión humana. Combinando AI Act + GDPR + CCD2, tienes derecho a solicitar que un humano revise la decisión. La financiera no puede mantenerse en el output automatizado si tú lo cuestionas razonadamente. La revisión humana debe ser real: una persona con autoridad real para cambiar la decisión.

Derecho a presentar reclamación. Si crees que el sistema te ha discriminado o ha incumplido sus obligaciones, puedes reclamar ante la AESIA (Agencia Española de Supervisión de la IA). También ante la AEPD si la queja se refiere al uso de tus datos personales en el modelo.

Derecho del artículo 22 del GDPR. Tu derecho preexistente desde 2018 sigue vigente: como regla general, no puedes ser objeto de una decisión basada exclusivamente en tratamiento automatizado que produzca efectos jurídicos significativos. Excepciones: contrato (la decisión es necesaria para celebrarlo), consentimiento explícito, autorización por norma de Estado miembro con garantías.

Derecho a saber qué datos se usaron. Por el GDPR puedes solicitar acceso a los datos personales usados para tomar la decisión, y rectificar los que sean inexactos.

Derecho a no discriminación. Si el sistema te ha denegado el crédito por motivos protegidos (sexo, raza, edad, código postal usado como proxy social), puedes reclamar por discriminación además de por incumplimiento del AI Act.

🏛️ AESIA: el supervisor del AI Act en España

España fue el primer Estado miembro de la UE en crear una agencia específica para supervisar la inteligencia artificial, anticipándose a la entrada en vigor del AI Act. La Agencia Española de Supervisión de la Inteligencia Artificial (AESIA) se creó por el Real Decreto 729/2023, de 22 de agosto, tiene sede en A Coruña y está operativa desde 2024.

Las funciones principales de AESIA incluyen: supervisión del cumplimiento del AI Act en España, inspección de sistemas de alto riesgo, tramitación de reclamaciones de consumidores y empresas, y coordinación con otras autoridades (AEPD, Banco de España, supervisores sectoriales) y con la Oficina Europea de IA.

Reparto de competencias. Cuando un sistema de IA usa datos personales (caso de todo scoring crediticio), la AEPD conserva sus competencias sobre el tratamiento de datos. AESIA se ocupa específicamente del cumplimiento del AI Act como tal. Es probable que reciba tu reclamación quien tenga competencia y, en su caso, la traslade. En la práctica, los consumidores pueden dirigirse a cualquiera de las dos agencias.

El Banco de España seguirá supervisando a las entidades financieras desde la perspectiva sectorial (concesión adecuada, capital, etc.). Las reclamaciones por incumplimiento de CCD2 siguen el procedimiento bancario habitual (SAC → Banco de España → vía judicial).

⚖️ Sanciones por incumplir el AI Act

El AI Act establece tres niveles de sanciones, similares (aunque inferiores) a las del GDPR:

Nivel máximo: hasta 35 millones de euros o el 7 % del volumen anual mundial (el que sea mayor) por incumplir las prohibiciones de prácticas inaceptables (manipulación cognitiva, social scoring estatal, identificación biométrica masiva). No aplica típicamente a financieras.

Nivel intermedio: hasta 15 millones de euros o el 3 % del volumen anual mundial. Por incumplir las obligaciones de sistemas de alto riesgo. Este es el nivel que aplica a financieras con scoring crediticio que no cumplan las obligaciones (documentación, supervisión humana, registros, etc.).

Nivel mínimo: hasta 7,5 millones de euros o el 1 % del volumen anual mundial. Por proporcionar información incorrecta, incompleta o engañosa a las autoridades supervisoras.

Las pymes y startups pueden beneficiarse de cuantías proporcionalmente reducidas. Pero el marco general es severo: para una financiera de tamaño medio con ingresos de 10 M€/año, una sanción del 3 % serían 300.000 € por incumplimiento serio.

Además de las sanciones administrativas, los consumidores afectados pueden reclamar daños y perjuicios ante los tribunales civiles. La carga de la prueba sobre el correcto funcionamiento del sistema recae sobre la financiera.

💸 Impacto práctico en las financieras de microcréditos online

Prácticamente todas las financieras del catálogo del portal utilizan algún tipo de scoring algorítmico para decidir solicitudes en segundos. Desde el 2 de agosto de 2026 todas deberán adaptarse al régimen de alto riesgo del AI Act.

Documentación técnica obligatoria. Las financieras deberán elaborar un dossier técnico exhaustivo de cada sistema de scoring usado. Incluye: descripción del modelo, variables empleadas, fuentes de datos, métricas de rendimiento, sesgos identificados y mitigados, planes de mantenimiento. Este dossier debe estar a disposición de AESIA cuando lo solicite.

Supervisión humana real, no nominal. Las decisiones de denegación automática deberán poder revisarse por un humano con autoridad para revertir. Esto puede afectar a la operativa de "decisión en 60 segundos" típica de microcréditos express: la decisión inmediata sigue siendo posible, pero debe existir un mecanismo accesible para que el cliente solicite revisión humana.

Mitigación de sesgos. Variables como código postal, edad o estado civil pueden actuar como proxies de variables protegidas (raza, nivel socioeconómico, género). Las financieras deberán auditar sus modelos para identificar y mitigar estos sesgos. Documentación obligatoria.

Registro en base de datos UE. Cada sistema de scoring debe inscribirse en el registro europeo de IA de alto riesgo. Es información pública: cualquier consumidor podrá consultar qué sistemas usa una financiera.

Información al solicitante. En el momento de la solicitud, la financiera deberá informar de forma clara que la decisión usará un sistema de IA y de cuál es la lógica básica. No tiene que revelar el modelo en detalle (propiedad intelectual), pero sí los factores principales.

Costes de cumplimiento. Para las financieras más pequeñas, el coste de cumplimiento puede ser significativo. Es previsible que algunas entidades opten por externalizar el scoring a proveedores que asuman las obligaciones del AI Act, o por simplificar sus modelos hasta dejarlos fuera del régimen de "alto riesgo".

En el catálogo del portal, las entidades con mayor sofisticación algorítmica serán las más afectadas. Las que usen modelos más sencillos (reglas básicas + ASNEF + ingresos) podrían argumentar que no se trata de un sistema de IA en sentido estricto del AI Act, pero la mayoría de scoring moderno usa machine learning y entra plenamente.

💡 Ejemplos prácticos con cifras reales

Caso 1

Solicitas un microcrédito y recibes denegación instantánea con el mensaje "Su perfil no encaja con nuestros criterios"

Tu derecho: Bajo AI Act (Art. 86) tienes derecho a una explicación clara y significativa de cómo participó el sistema en la decisión y de los principales factores que llevaron a la denegación.

Cálculo estimado: Solicita por escrito la explicación. Si la financiera no responde o lo hace de forma genérica, puedes reclamar a AESIA y exigir revisión humana.

Caso 2

Sospechas que el algoritmo te ha denegado por tu código postal (zona considerada de "alto riesgo")

Tu derecho: El AI Act prohíbe discriminación directa o indirecta. Variables como código postal usadas como proxy de variables protegidas pueden constituir incumplimiento del régimen de alto riesgo.

Cálculo estimado: Reclamación a AESIA y, en paralelo, a la AEPD si se han usado tus datos personales. Daños y perjuicios potencialmente reclamables ante jurisdicción civil.

Caso 3

Una financiera comercializa scoring crediticio sin haber registrado el sistema en la base de datos UE de IA de alto riesgo

Tu derecho: Es incumplimiento del AI Act. AESIA puede sancionar y obligar a la suspensión del sistema hasta cumplimiento.

Cálculo estimado: Sanción de hasta 15 M€ o 3 % del volumen mundial. La financiera no podrá usar el sistema hasta regularizar.

Caso 4

Pides revisión humana de la denegación y la financiera te responde que "el sistema es definitivo"

Tu derecho: AI Act + GDPR art. 22: derecho a intervención humana real, no nominal. La respuesta es incumplimiento doble (AI Act y GDPR).

Cálculo estimado: Reclamación inmediata a AESIA + AEPD. Carga de la prueba sobre la financiera (debe demostrar que existe mecanismo real de supervisión humana).

📝 Plantilla de reclamación a AESIA por incumplimiento del AI Act en scoring crediticio

Modelo para reclamar cuando una financiera te deniega un préstamo basándose en IA sin cumplir las obligaciones del Reglamento (UE) 2024/1689. Envíalo a AESIA ([email protected] / sede electrónica) con copia al SAC de la financiera.

A la Agencia Española de Supervisión de la Inteligencia Artificial (AESIA)

[CIUDAD], [FECHA]

Asunto: Reclamación por incumplimiento del Reglamento (UE) 2024/1689 (AI Act) en el sistema de scoring crediticio de [NOMBRE DE LA FINANCIERA]

Yo, [NOMBRE Y APELLIDOS], con DNI [NÚMERO] y dirección [DIRECCIÓN/EMAIL], presento formal reclamación contra la entidad [NOMBRE DE LA FINANCIERA] por los siguientes hechos en relación con la solicitud de crédito al consumo número [REFERENCIA] presentada el [FECHA]:

Descripción de los hechos:
[ELIGE LOS QUE PROCEDAN Y AÑADE DETALLES]
— "Se me denegó la solicitud de crédito el [FECHA] con un mensaje genérico ('Su perfil no cumple nuestros criterios') sin que la entidad haya facilitado la explicación clara y significativa exigida por el artículo 86 del Reglamento (UE) 2024/1689."
— "Solicité formalmente, por escrito y con fecha [FECHA], la revisión humana de la decisión automatizada. La entidad ha rechazado la solicitud o no ha respondido en plazo razonable. Conservo prueba del envío."
— "Existen indicios de que el sistema de scoring usado por la entidad emplea variables que constituyen proxy de características protegidas (origen, edad, situación socioeconómica) y que pueden vulnerar el principio de no discriminación."
— "No he encontrado el sistema en el registro público de IA de alto riesgo de la Unión Europea, pese a que su funcionalidad (evaluación de solvencia crediticia) entra plenamente en el ámbito del Anexo III, punto 5b del Reglamento."

Norma vulnerada:
— Artículo 6 y Anexo III, punto 5b del Reglamento (UE) 2024/1689 (clasificación como sistema de alto riesgo).
— Artículos 9 a 15 (obligaciones aplicables a sistemas de alto riesgo).
— Artículo 86 (derecho del consumidor a explicación clara y significativa).
— Concurrencia con el Reglamento (UE) 2016/679 (GDPR), artículo 22, sobre decisiones automatizadas.

Solicito:
1. La apertura de actuaciones de comprobación contra la entidad reclamada.
2. La verificación del cumplimiento del AI Act respecto del sistema de scoring usado.
3. Respuesta por escrito sobre las actuaciones realizadas y el resultado.
4. En su caso, derivación a la Agencia Española de Protección de Datos (AEPD) si los hechos afectan al tratamiento de datos personales.

Aporto la siguiente documentación:
— Comunicación recibida con la denegación de la solicitud.
— Solicitud escrita de revisión humana y, en su caso, la respuesta de la entidad.
— Otros documentos relevantes: [LISTAR].

Atentamente,
[FIRMA]
[NOMBRE Y APELLIDOS]
[DNI]
[DIRECCIÓN DE CONTACTO]

Adapta los campos entre [corchetes] a tus datos y al caso concreto. Conserva el justificante de envío (email certificado, formulario web con número de referencia o correo postal con acuse de recibo).

📞 Dónde acudir

🤖

AESIA — Agencia Española de Supervisión de la IA ↗

Supervisor designado en España para el AI Act. Sede en A Coruña. Recibe reclamaciones de consumidores y empresas afectadas por sistemas de IA de alto riesgo.

🛡️

AEPD — Agencia Española de Protección de Datos ↗

Competente cuando el sistema de IA trata datos personales (caso de todo scoring crediticio). Coordinación con AESIA.

🏛️

Servicio de Reclamaciones del Banco de España ↗

Para reclamaciones sobre la decisión bancaria material (concesión inadecuada de crédito, incumplimiento de CCD2).

🇪🇺

Oficina Europea de IA (European AI Office) ↗

Coordina la aplicación del AI Act a nivel UE. Útil para cuestiones generales y para casos transfronterizos.

📚

EUR-Lex — Texto del AI Act ↗

Texto íntegro del Reglamento (UE) 2024/1689 en español y demás lenguas oficiales.

❓ Preguntas frecuentes

Las obligaciones específicas para sistemas de alto riesgo, incluido el scoring crediticio (Anexo III, punto 5b), son aplicables desde el 2 de agosto de 2026. Sin embargo, el Reglamento está en vigor desde el 1 de agosto de 2024 y otras disposiciones (prohibiciones, gobernanza, sanciones) son aplicables desde 2025.

Bajo el artículo 86 del AI Act tienes derecho a una explicación clara y significativa del papel del sistema de IA en la decisión y de los principales factores que llevaron a ella. Una respuesta genérica como "no encaja" no cumple esta obligación. Puedes solicitar explicación detallada y, si no la obtienes, reclamar a AESIA.

Sí. La combinación de AI Act y GDPR art. 22 garantiza derecho a intervención humana real, no nominal. El humano que revise debe tener autoridad efectiva para cambiar la decisión, comprensión del funcionamiento del sistema y posibilidad de ignorar el output cuando proceda. Una "revisión" que se limita a confirmar el algoritmo no cumple la norma.

El GDPR (vigente desde 2018) regula las decisiones automatizadas en general: tienes derecho a no ser objeto de ellas (con excepciones), derecho a intervención humana, etc. El AI Act (aplicación plena 2026) añade obligaciones específicas a quien opera sistemas de alto riesgo: documentación técnica, mitigación de sesgos, registro en base de datos UE, etc., y un derecho específico a explicación clara y significativa. Se aplican simultáneamente.

Puede usarse, pero con cuidado. Si el código postal funciona como proxy de variables protegidas (origen étnico, situación socioeconómica) y produce discriminación indirecta, el sistema incumple el AI Act. Las financieras deberán documentar la auditoría de sesgos de sus modelos. Si sospechas discriminación por código postal, puedes reclamar a AESIA y AEPD.

Sí. El AI Act no exime a pymes ni a startups. Sí prevé sanciones proporcionalmente reducidas y procedimientos simplificados (sandboxes regulatorios) para promover la innovación. Pero las obligaciones de fondo (documentación, supervisión humana, mitigación de sesgos) son las mismas.

El AI Act atribuye obligaciones tanto al proveedor del sistema (quien lo desarrolla) como al implementador (quien lo usa). En el caso típico, el proveedor de scoring (Experian, FICO, etc.) sería responsable de las obligaciones técnicas del sistema, y la financiera (implementador) sería responsable de su uso adecuado (supervisión humana, información al cliente, registro). Ambos son responsables conjuntos.

No de forma exclusiva si hay efectos jurídicos significativos. El GDPR art. 22 lo prohíbe como regla general (con excepciones para celebración de contrato, consentimiento explícito, norma de Estado miembro). El AI Act exige supervisión humana real. Si te deniegan solo por "el algoritmo lo dijo" puedes reclamar.

La Agencia Española de Supervisión de la Inteligencia Artificial. Se creó por Real Decreto 729/2023 con sede en A Coruña. Es la autoridad designada en España para supervisar el cumplimiento del AI Act. Operativa desde 2024. Recibe reclamaciones de ciudadanos y empresas.

Hasta 15 millones de euros o el 3 % del volumen anual mundial (el que sea mayor) por incumplir obligaciones de sistemas de alto riesgo. Cuantías reducidas para pymes y startups. Suma a las sanciones del GDPR si también se vulnera la protección de datos. Las personas afectadas pueden reclamar daños y perjuicios ante jurisdicción civil.

Sí, pero con régimen transitorio. Los sistemas que ya estaban en uso antes del AI Act deben adaptarse antes del 2 de agosto de 2026 para los sistemas de alto riesgo. Si se modifica sustancialmente el sistema después de esa fecha, se considera un sistema nuevo y debe cumplir desde el primer día.

Sí. El AI Act aplica por destino del servicio: si el sistema se comercializa o usa en la UE, debe cumplir el Reglamento, independientemente de dónde esté la sede de la empresa. Una financiera extranjera que opera con clientes españoles está sujeta al AI Act y a AESIA como supervisor.

🕒 Actualizaciones y mantenimiento

13 may 2026 Publicación inicial de la guía técnica sobre AI Act y scoring crediticio.
2 ago 2025 Hito externo: aplicación de normas de gobernanza, régimen sancionador y obligaciones GPAI.
2 feb 2025 Hito externo: aplicación de prácticas prohibidas y obligación de alfabetización en IA.
1 ago 2024 Hito externo: entrada en vigor del Reglamento (UE) 2024/1689 a nivel UE.
12 jul 2024 Hito externo: publicación del AI Act en el DOUE.

📚 Marco normativo de referencia

UE · Reglamento Reglamento (UE) 2024/1689 (AI Act) ↗
UE · Reglamento Reglamento (UE) 2016/679 (GDPR) — Art. 22 ↗
España · Ley Real Decreto 729/2023 — Creación de AESIA ↗
UE · Directiva Directiva (UE) 2023/2225 (CCD2) ↗
España · Ley Ley Orgánica 3/2018 de Protección de Datos (LOPDGDD) ↗

Los enlaces externos conducen a fuentes oficiales (EUR-Lex, BOE, Banco de España). Esta página es informativa y no constituye asesoramiento jurídico. Revisión legal: 13 de mayo de 2026.

Etiquetas: #AI Act#Reglamento UE 2024/1689#scoring crediticio#alto riesgo#AESIA#inteligencia artificial#decisiones automatizadas#Artículo 86#Anexo III#GDPR Art. 22

Más sobre regulación

PSD3 y SEPA Instant España: Guía Técnica 2026

Análisis del Reglamento SEPA Instant (UE 2024/886) y PSD3 en España: calendario, VoP, derechos del consumidor y plantilla para reclamar al Banco de España.

CCD2 — Directiva Crédito al Consumo: Guía España 2026

Análisis de la Directiva (UE) 2023/2225 (CCD2) que sustituye a la Directiva 2008/48/CE: ámbito ampliado a microcréditos y BNPL, evaluación de solvencia obligatoria, límites a la publicidad y plazo de transposición en España hasta 20-nov-2025.

DORA: Resiliencia Operativa Digital del Sector Financiero

Análisis del Reglamento (UE) 2022/2554 (DORA) aplicable desde el 17-ene-2025: los 5 pilares (riesgos TIC, incidentes, tests, terceros, intercambio), supervisión en España y obligaciones de las entidades financieras.

EUDI Wallet: la Cartera Europea de Identidad Digital en España

Análisis del Reglamento (UE) 2024/1183 (eIDAS 2) que crea la EUDI Wallet: deadline de los Estados miembros 24-nov-2026 para ofrecerla, qué bancos y plataformas deben aceptarla desde 2027, y cómo afecta al KYC en préstamos online.

¿Quieres el marco regulatorio completo?

Banco de España, Ley de Usura, ASNEF, derechos del consumidor y directivas europeas en una sola guía.

Ver guía completa

Supervisado editorialmente por

Fernando Hierro

Editor Principal · Dineritoahora.es

Esta guía ha sido verificada y supervisada por nuestro equipo editorial para garantizar la exactitud de la información y la objetividad de los consejos.

📋 Política editorial 🔍 Metodología 👤 Sobre el autor