Question 1

¿Qué sistemas de IA bancarios caen como alto riesgo bajo AI Act?

Accepted Answer

El Anexo III del Reglamento UE 2024/1689 clasifica como alto riesgo, entre otros: (1) los sistemas de evaluación de solvencia y scoring crediticio para personas físicas, salvo cuando se usan exclusivamente para detección de fraude financiero (Anexo III, punto 5.b); (2) los sistemas usados en el pricing y la suscripción de seguros de vida y salud (Anexo III, punto 5.c). Los sistemas de detección de fraude transaccional y de KYC/AML no entran como alto riesgo si son auxiliares al cumplimiento regulatorio.

Question 2

¿Cuáles son las obligaciones para una entidad bancaria con un sistema de alto riesgo?

Accepted Answer

Para sistemas de alto riesgo, AI Act exige: sistema de gestión de calidad (Art. 17), documentación técnica completa (Art. 11 + Anexo IV), gestión de datos y gobernanza de datasets (Art. 10), transparencia y suministro de información a los usuarios (Art. 13), supervisión humana significativa (Art. 14), exactitud y robustez (Art. 15), registro automático de eventos (logs, Art. 12), declaración de conformidad UE (Art. 47), marcado CE (Art. 48) y registro en la base de datos UE (Art. 49). Las entidades deben además mantener una evaluación de impacto sobre derechos fundamentales (Art. 27) y notificar incidentes graves (Art. 73).

Question 3

¿Cuándo entra en vigor cada obligación?

Accepted Answer

AI Act tiene enforcement escalonado: febrero 2025 (prohibiciones del Cap. II y obligaciones de alfabetización en IA), agosto 2025 (obligaciones para modelos de IA de propósito general/GPAI y organización del sistema institucional), agosto 2026 (aplicabilidad plena para sistemas de alto riesgo del Anexo III — incluye scoring crediticio y pricing actuarial), y agosto 2027 (aplicabilidad para sistemas de alto riesgo embebidos en productos del Anexo I bajo legislación armonizada).

Question 4

¿Qué relación hay entre AI Act, ISO 42001 y DORA?

Accepted Answer

ISO/IEC 42001 es la norma operativa que aterriza muchas obligaciones del AI Act sobre sistema de gestión de calidad (Art. 17). DORA aporta el marco de resiliencia operacional digital y exige que la tecnología crítica —incluida la IA— esté bajo gobernanza documentada. Una entidad bancaria que tenga ISO 27001 + ISO 42001 + un programa DORA maduro cubre la mayoría de obligaciones de AI Act con poca evidencia adicional. Vermont Solutions diseña esta triple alineación en proyectos reales.

Question 5

¿Cuáles son las sanciones?

Accepted Answer

AI Act establece tres niveles de sanción: hasta 35 M EUR o 7 % de la facturación anual global (la mayor) para prohibiciones del Art. 5; hasta 15 M EUR o 3 % para incumplimiento de obligaciones de alto riesgo y de modelos GPAI; hasta 7,5 M EUR o 1 % por suministrar información incorrecta a las autoridades. Las sanciones son adicionales a las que pueda imponer el supervisor financiero por incumplimiento DORA o de la normativa sectorial.

Caso de uso	Clasificación	Referencia
Scoring crediticio a personas físicas	Alto riesgo	Anexo III, 5.b
Pricing actuarial vida/salud	Alto riesgo	Anexo III, 5.c
Detección de fraude transaccional	No alto riesgo si auxiliar	Cdo. 58 + Anexo III 5.b excepción
KYC / AML automatizado	No alto riesgo si auxiliar	Cumplimiento normativo
Asistentes generativos internos	Transparencia (Art. 50) si usuario interactúa con IA	Cap. IV
Modelos riesgo de mercado (FRTB IMA)	No alto riesgo bajo AI Act, sí bajo BCBS d457	Riesgo prudencial

AI Act en banca — qué cubre y enforcement 2025-2027

Calendario de aplicación

Casos de uso bancarios y su clasificación

Obligaciones para sistemas de alto riesgo

Fuentes oficiales