AI Act: Clasificación de riesgo de la IA

El AI Act (Reglamento Europeo de Inteligencia Artificial) es la primera legislación integral del mundo sobre IA. Entró en vigor en agosto de 2024, con una implementación progresiva hasta 2027. Su pilar central es un sistema de clasificación por niveles de riesgo que determina las obligaciones de cada sistema de IA.

Para las empresas españolas, entender esta clasificación es fundamental: las sanciones pueden alcanzar los 35 millones de euros o el 7% de la facturación global.

Los 4 niveles de riesgo

Nivel 1: Riesgo inaceptable (PROHIBIDO)

Sistemas de IA prohibidos en la UE. Sin excepciones comerciales:

• Scoring social: sistemas que evalúan el comportamiento social de ciudadanos para determinar su acceso a servicios (modelo China)
• Manipulación subliminal: técnicas que manipulan el comportamiento de personas de forma que cause daño
• Explotación de vulnerabilidades: sistemas dirigidos a explotar la edad, discapacidad o situación social de personas
• Identificación biométrica remota en tiempo real: en espacios públicos para fines policiales (con excepciones muy limitadas)
• Categorización biométrica: por raza, orientación sexual, opiniones políticas
• Scraping facial masivo: recopilación no selectiva de imágenes faciales de internet o CCTV

Plazo: prohibiciones aplicables desde febrero de 2025.

Nivel 2: Alto riesgo (REGULADO)

Sistemas de IA que afectan significativamente a derechos fundamentales. Permitidos pero con obligaciones estrictas:

Identificación biométrica remota

• Verificación de identidad (1:1)
• Identificación (1:N) no en tiempo real

Infraestructuras críticas

• Gestión de redes de energía, agua, gas
• Sistemas de control de tráfico

Educación y formación profesional

• Admisión a centros educativos
• Evaluación de estudiantes
• Detección de comportamientos prohibidos durante exámenes

Empleo y gestión de trabajadores

• Selección y contratación (screening de CV)
• Evaluación de rendimiento
• Decisiones sobre promoción o despido

Acceso a servicios esenciales

• Scoring crediticio
• Evaluación de seguros (vida y salud)
• Priorización en servicios de emergencia

Aplicación de la ley

• Evaluación de riesgo de reincidencia
• Detección de deepfakes como prueba
• Análisis predictivo de criminalidad

Migración y control de fronteras

• Evaluación de solicitudes de asilo
• Polígrafos automatizados

Justicia y procesos democráticos

• Asistencia en interpretación legal
• Influencia en elecciones

Nivel 3: Riesgo limitado (TRANSPARENCIA)

Sistemas de IA con obligaciones de transparencia. Los usuarios deben saber que interactúan con IA:

• Chatbots: informar que es una IA, no un humano
• Deepfakes: etiquetar contenido generado o manipulado por IA
• Texto generado por IA: marcar cuando se publica contenido generado automáticamente sobre temas de interés público
• Sistemas de detección de emociones: informar a los afectados

Nivel 4: Riesgo mínimo (LIBRE)

La gran mayoría de sistemas de IA. Sin obligaciones específicas del AI Act:

• Filtros de spam
• IA en videojuegos
• Sistemas de recomendación de contenido
• Asistentes de escritura
• Herramientas de traducción automática
• Chatbots de atención al cliente (con etiquetado de transparencia)

Obligaciones para sistemas de alto riesgo

Si tu sistema de IA está clasificado como alto riesgo, debes cumplir:

Antes de comercializar

| Obligación | Detalle | |------------|---------| | Sistema de gestión de riesgos | Evaluación continua de riesgos durante todo el ciclo de vida | | Gobernanza de datos | Datos de entrenamiento relevantes, representativos, sin sesgos | | Documentación técnica | Arquitectura, rendimiento, limitaciones, instrucciones de uso | | Registro de actividades (logs) | Trazabilidad automática de decisiones | | Transparencia | Información comprensible para los usuarios | | Supervisión humana | Mecanismos para que humanos puedan intervenir y corregir | | Precisión y robustez | Nivel apropiado de exactitud, resiliencia y ciberseguridad | | Evaluación de conformidad | Auto-evaluación o evaluación por organismo notificado | | Marcado CE | Declaración de conformidad antes de la comercialización |

Después de comercializar

• Monitorización post-comercialización
• Reporte de incidentes graves a las autoridades
• Mantenimiento de documentación actualizada
• Cooperación con autoridades de vigilancia

Calendario de implementación

| Fecha | Hito | |-------|------| | Febrero 2025 | Prohibiciones (riesgo inaceptable) | | Agosto 2025 | Códigos de buenas prácticas para IA de propósito general | | Agosto 2025 | Obligaciones para proveedores de modelos GPAI | | Agosto 2026 | Obligaciones para sistemas de alto riesgo (Anexo III) | | Agosto 2027 | Obligaciones para sistemas integrados en productos regulados |

¿Cómo clasificar tu sistema de IA?

Pregúntate:

1. ¿Está en la lista de prohibidos? → Nivel 1: Prohibido
2. ¿Está en el Anexo III (sectores regulados)? → Nivel 2: Alto riesgo
3. ¿Interactúa con personas o genera contenido? → Nivel 3: Transparencia
4. ¿Ninguna de las anteriores? → Nivel 4: Libre

Si tienes dudas, el principio de precaución aplica: clasifica al nivel superior hasta que puedas confirmar lo contrario.

Conexión con tu infraestructura web

Si tu sitio web utiliza sistemas de IA — chatbots, personalización, scoring, detección de fraude — el AI Act te afecta. WarDek incluye un módulo de evaluación AI Act que analiza:

• Presencia de chatbots y sistemas conversacionales (transparencia)
• Uso de scoring o perfilado automatizado (alto riesgo potencial)
• Cumplimiento de obligaciones de etiquetado
• Integración con el escaneo OWASP y RGPD para visión completa

Escanea tu sitio web gratis con WarDek — OWASP, NIS2, RGPD, AI Act en un solo escaneo.