AI Act Espana (Reglamento IA)
Reglamento europeo (UE) 2024/1689 que clasifica los sistemas de IA por nivel de riesgo y establece obligaciones, prohibiciones y sanciones de hasta el 7% de la facturacion global.
TL;DR - AI Act España (Reglamento IA)
El mercado de inteligencia artificial en España alcanzo los 2.400 millones EUR en 2025 (ONTSI/Red.es), y el 42% de las grandes empresas españolas ya utilizan algún sistema de IA (INE, Encuesta TIC 2025). El AI Act (Reglamento UE 2024/1689) es la primera legislación integral del mundo que regula la inteligencia artificial. Clasifica los sistemas de IA en 4 niveles de riesgo (inaceptable, alto, limitado, mínimo), prohibe prácticas como el social scoring y los deepfakes no etiquetados, y establece sanciones de hasta el 7% de la facturacion global. En España, la AESIA (A Coruna) supervisa su cumplimiento. Cómo perito informático forense, considero que esta regulación abre un campo profesional completamente nuevo: la auditoria forense de sistemas de IA.
| Dato clave | Valor |
|---|---|
| Norma | Reglamento (UE) 2024/1689 |
| Entrada en vigor | 1 agosto 2024 |
| Prohibiciones vigentes desde | 2 febrero 2025 |
| Obligaciones GPAI vigentes desde | 2 agosto 2025 |
| Aplicación completa | 2 agosto 2026 |
| Sistemas alto riesgo Anexo I | 2 agosto 2027 |
| Sanción máxima | 7% facturacion global (35M EUR) |
| Autoridad en España | AESIA (A Coruna) |
| Empresas españolas con IA (2025) | 42% grandes, 12% PYMEs (INE) |
Definicion en 30 segundos
El AI Act es el Reglamento europeo (UE) 2024/1689 que establece un marco jurídico armonizado para el desarrollo, comercializacion y uso de sistemas de inteligencia artificial en la Union Europea. Clasifica los sistemas de IA en cuatro niveles de riesgo (inaceptable, alto, limitado y mínimo), prohibe determinadas prácticas (social scoring, manipulación subliminal, identificación biometrica remota en tiempo real), impone obligaciones de transparencia y documentación, y establece sanciones que pueden alcanzar el 7% de la facturacion anual global. España fue el primer país de la UE en crear una autoridad de supervision de IA: la AESIA, con sede en A Coruna. Publicado en el DOUE el 12 de julio de 2024, su aplicación es escalonada entre febrero de 2025 y agosto de 2027.
Que es el AI Act y por que importa en España
El 13 de junio de 2024, la Union Europea aprobo el Reglamento (UE) 2024/1689, conocido cómo AI Act o Ley de Inteligencia Artificial. Es la primera legislación integral del mundo que regula la inteligencia artificial de forma horizontal, aplicable a todos los sectores y a todos los sistemas de IA que se comercialicen, pongan en servicio o utilicen en territorio europeo, independientemente de donde este establecido el proveedor.
Para España, el AI Act tiene una relevancia particular por tres razones:
Pionerismo regulatorio: España fue el primer país de la UE en crear una autoridad nacional de IA (AESIA, Real Decreto 729/2023) y el primero en lanzar un sandbox regulatorio de IA (junio 2022, 100+ empresas participantes).
Adopcion empresarial acelerada: Según la Encuesta TIC del INE (2025), el 42% de las grandes empresas españolas utilizan IA y el 12% de las PYMEs. El mercado de IA en España crece un 25% anual (ONTSI/Red.es).
Ecosistema de startups: España cuenta con más de 600 startups de IA (Spain AI, 2025), concentradas en Barcelona, Madrid y Valencia, que deben adaptarse al nuevo marco regulatorio.
En el ámbito del peritaje informático forense, el AI Act abre un nuevo campo de actividad profesional: la auditoria de sistemas de IA, la detección de contenido generado por IA (deepfakes), la verificación de sesgos algoritmicos y el análisis de evidencia digital producida o manipulada por sistemas de inteligencia artificial. Cómo perito, ya estoy recibiendo consultas de empresas que necesitan evaluar si sus sistemas de IA cumplen los requisitos del reglamento.
Timeline completo de aplicación del AI Act
| Fecha | Hito | Artículos/Títulos | Estado |
|---|---|---|---|
| 13 junio 2024 | Aprobacion Reglamento (UE) 2024/1689 por PE y Consejo | Todo el Reglamento | Completado |
| 12 julio 2024 | Publicación en el Diario Oficial de la UE (DOUE) | DOUE L 2024/1689 | Completado |
| 1 agosto 2024 | Entrada en vigor (20 días post-publicación) | Art. 113 | Completado |
| 2 noviembre 2024 | Inicio período código de buenas prácticas GPAI | Art. 56 | Completado |
| 2 febrero 2025 | Prohibiciones aplicables (prácticas de riesgo inaceptable) | Título II, Arts. 5-6 | Vigente |
| 2 febrero 2025 | Obligaciones de alfabetizacion en IA | Art. 4 | Vigente |
| 2 mayo 2025 | Publicación códigos de buenas prácticas GPAI | Art. 56.9 | Completado |
| 2 agosto 2025 | Obligaciones GPAI (modelos de propósito general) | Título V, Arts. 51-56 | Vigente |
| 2 agosto 2025 | Órgaños de gobernanza operativos (Comite Europeo IA, AI Office) | Arts. 64-68 | Vigente |
| 2 febrero 2026 | Nombramiento autoridades nacionales notificadas | Art. 70 | Completado |
| 2 febrero 2026 | Informe Comisión sobre definicion “riesgo sistemico” | Art. 6.4 | Completado |
| 2 agosto 2026 | Aplicación completa (sistemas alto riesgo, Título III) | Título III, Arts. 6-49 | 5 meses |
| 2 agosto 2026 | Obligaciones deployers de alto riesgo | Arts. 26-27 | 5 meses |
| 2 agosto 2026 | Régimen sancionador completo operativo | Título X, Arts. 99-101 | 5 meses |
| 2 agosto 2027 | Sistemas alto riesgo en Anexo I (regulación sectorial existente) | Art. 6.1 + Anexo I | 17 meses |
| 2 agosto 2027 | Evaluación y posible revisión del Reglamento | Art. 112 | 17 meses |
| 2 agosto 2028 | Obligaciones para algunos productos con IA integrada | Art. 6.1(b) | 29 meses |
| 2 agosto 2030 | Obligaciones para sistemas de IA de entidades públicas | Art. 111.2 | 53 meses |
Fecha crítica: 2 agosto 2026
Faltan solo 5 meses para la aplicación completa del AI Act. A partir de esa fecha, todos los sistemas de IA de alto riesgo comercializados o usados en la UE deberán cumplir las obligaciones del Título III: sistema de gestion de riesgos, datos de entrenamiento de calidad, documentación técnica, logging, transparencia, supervision humana, precisión, robustez, ciberseguridad y evaluación de conformidad. Las empresas que no cumplan se exponen a sanciones de hasta el 3% de su facturacion global (o 15 millones EUR).
Clasificación de riesgos: los 4 niveles del AI Act con ejemplos
El AI Act establece un enfoque basado en riesgos. Cuanto mayor es el riesgo que un sistema de IA plantea para los derechos fundamentales, más estrictas son las obligaciones.
Nivel 1: Riesgo inaceptable (PROHIBIDO) - Título II
Estas prácticas estan prohibidas desde el 2 de febrero de 2025. Las sanciones por incumplimiento alcanzan el 7% de la facturacion global (hasta 35M EUR).
| Práctica prohibida (Art. 5) | Descripción | Ejemplo concreto | Vigente desde |
|---|---|---|---|
| Social scoring (Art. 5.1.c) | Clasificación de personas basada en comportamiento social para restringir derechos | App municipal que puntua ciudadaños y restringe acceso a servicios públicos | 2 feb 2025 |
| Manipulación subliminal (Art. 5.1.a) | Sistemas que distorsionan el comportamiento sin que la persona sea consciente | IA en ecommerce que manipula decisión de compra via patrones subliminales | 2 feb 2025 |
| Explotacion de vulnerabilidades (Art. 5.1.b) | IA que explota edad, discapacidad o situación socioeconomica | Chatbot de prestamos que detecta estres financiero y ofrece condiciones abusivas | 2 feb 2025 |
| Biometria remota tiempo real (Art. 5.1.h) | Identificación biometrica en espacios públicos por FCSE (excepciones tasadas) | Cámaras con reconocimiento facial en calles sin autorización judicial | 2 feb 2025 |
| Categorizacion biometrica sensible (Art. 5.1.g) | Clasificación por raza, orientacion sexual, creencias | Sistema de reclutamiento que clasifica candidatos por rasgos etnicos | 2 feb 2025 |
| Scraping facial masivo (Art. 5.1.e) | Bases de datos de reconocimiento facial mediante scraping no dirigido | Empresa que construye BD facial rastreando redes sociales (tipo Clearview AI) | 2 feb 2025 |
| Reconocimiento emociones laboral/educativo (Art. 5.1.f) | Detección de emociones en entornos laborales y educativos | Software que analiza expresiones faciales de empleados para evaluar rendimiento | 2 feb 2025 |
| Policia predictiva individual (Art. 5.1.d) | Evaluación de riesgo de delinquir basada exclusivamente en perfil o rasgos | Sistema que predice criminalidad basandose en barrio de residencia | 2 feb 2025 |
Excepciones a la prohibicion de biometria remota (Art. 5.2-5.3): Solo permitida con autorización judicial previa para: busqueda de víctimas de secuestro/trata, prevención de amenaza terrorista inminente y específica, y localización de sospechosos de delitos graves listados en art. 5.1.h (incluye terrorismo, trata, homicidio, violacion, secuestro, crimen organizado).
Nivel 2: Alto riesgo (REGULADO) - Título III
Los sistemas de alto riesgo son los que tienen impacto significativo en derechos fundamentales. Existen dos vias para ser clasificado cómo alto riesgo:
Via 1 - Anexo I (Art. 6.1): Sistemas de IA integrados en productos ya regulados por normativa UE sectorial (maquinaria, juguetes, ascensores, dispositivos medicos, vehículos). Aplicable desde agosto 2027.
Via 2 - Anexo III (Art. 6.2): Sistemas de IA en areas sensibles:
| Area (Anexo III) | Ejemplos concretos | Obligaciones principales |
|---|---|---|
| 1. Biometria | Identificación facial, verificación de voz, categorizacion por genero | Evaluación conformidad, registro UE, documentación técnica |
| 2. Infraestructuras críticas | IA en gestion de redes electricas, tráfico, suministro agua | Gestion riesgos, supervision humana, ciberseguridad reforzada |
| 3. Educación y formacion | Admision automatizada, evaluación de examenes, detección plagio IA | Transparencia, no discriminacion, explicabilidad |
| 4. Empleo y gestion trabajadores | Screening CV con IA, evaluación rendimiento, despido algoritmico | Auditoria sesgos, información a trabajadores, supervision humana |
| 5. Servicios públicos esenciales | Prestaciones sociales, scoring crediticio, triaje urgencias | Documentación técnica, trazabilidad, evaluación impacto DDHH |
| 6. Aplicación de la ley | Poligrafos IA, evaluación fiabilidad pruebas, perfilado criminal | Supervision humana obligatoria, registro de uso |
| 7. Migracion y asilo | Verificación documentos viaje, evaluación solicitudes asilo | Evaluación impacto, registro, transparencia |
| 8. Justicia y democracia | Evaluación riesgo reincidencia, análisis pruebas, mediación | Supervision humana obligatoria, explicabilidad |
Las 9 obligaciones de los sistemas de alto riesgo (Arts. 8-15):
| Obligación | Artículo | Descripción | Clave para peritaje |
|---|---|---|---|
| 1. Gestion de riesgos | Art. 9 | Sistema documentado de identificación, análisis y mitigacion de riesgos | El perito verifica si existia antes del incidente |
| 2. Datos de entrenamiento | Art. 10 | Datos de calidad, representativos, sin sesgos discriminatorios | El perito analiza sesgos en datasets |
| 3. Documentación técnica | Art. 11 | Descripción completa del sistema, finalidad, limitaciones, rendimiento | El perito audita la completitud |
| 4. Registro de actividad | Art. 12 | Logging automático de todas las decisiones del sistema | El perito extrae y analiza logs |
| 5. Transparencia | Art. 13 | Información comprensible para deployers y usuarios | El perito evalua si se informo adecuadamente |
| 6. Supervision humana | Art. 14 | Mecanismos para que humaños supervisen y anulen decisiones IA | El perito verifica si existia override humaño |
| 7. Precisión y robustez | Art. 15 | Niveles adecuados de precisión, robustez y ciberseguridad | El perito testea adversarial attacks |
| 8. Evaluación conformidad | Art. 43 | Evaluación antes de puesta en mercado (autoevaluacion o tercero) | El perito puede actuar cómo auditor |
| 9. Registro UE | Art. 49 | Inscripcion en la base de datos pública de la UE | Verificación pública |
Nivel 3: Riesgo limitado (TRANSPARENCIA) - Título IV
| Sistema | Obligación (Art. 50) | Ejemplo |
|---|---|---|
| Chatbots (ChatGPT, Gemini, Claude) | Informar al usuario de que interactua con IA | Banner “Este chat es atendido por IA” |
| Deepfakes (video/imagen) | Etiquetar cómo contenido generado o manipulado por IA | Marca de agua técnica + etiqueta visible |
| Texto generado por IA para informar al público | Etiquetar cómo generado por IA | Disclaimer en artículos generados por IA |
| Reconocimiento de emociones (fuera laboral/educativo) | Informar a las personas afectadas | Aviso en sistemas de atención al cliente |
| Sistemas de categorizacion biometrica (no prohibidos) | Informar a las personas afectadas | Aviso en acceso a edificios |
Nivel 4: Riesgo mínimo (SIN OBLIGACIONES ESPECIFICAS)
La mayoria de los sistemas de IA actuales caen en esta categoria: filtros de spam, videojuegos con IA, sistemas de recomendacion de contenido, asistentes de navegacion, correctores ortograficos con IA. No tienen obligaciones específicas bajo el AI Act, aunque se anima a la adopcion voluntaria de códigos de conducta (Art. 95).
AESIA: la autoridad española de inteligencia artificial
La Agencia Española de Supervision de la Inteligencia Artificial (AESIA) fue creada por Real Decreto 729/2023, de 22 de agosto, con sede en A Coruna (Galicia). Es la autoridad nacional designada bajo el Art. 70 del AI Act, siendo España el primer Estado miembro en designar formalmente su autoridad de supervision.
| Función | Descripción | Base legal |
|---|---|---|
| Supervision | Vigilar el cumplimiento del AI Act en todo el territorio español | Art. 70 AI Act + RD 729/2023 |
| Sandbox regulatorio | Gestionar el entorno de pruebas controladas para sistemas de IA | Art. 57-62 AI Act |
| Inspeccion y sanción | Investigar denuncias y sancionar incumplimientos | Art. 99-101 AI Act |
| Coordinacion europea | Colaborar con el Comite Europeo de IA y la AI Office de la Comisión | Art. 65-68 AI Act |
| Asesoramiento | Orientar a empresas, startups y administraciones públicas | RD 729/2023, Art. 5 |
| Certificación | Supervisar organismos notificados de evaluación de conformidad | Art. 28-39 AI Act |
| Alfabetizacion | Promover la comprension de la IA entre ciudadaños y empresas | Art. 4 AI Act |
Datos operativos de AESIA (marzo 2026):
- Sede: A Coruna (Galicia), con oficina de enlace en Madrid
- Presupuesto 2026: 14.2 millones EUR (incremento del 37% respecto a 2025)
- Personal: 65 funcionarios y técnicos contratados (objetivo: 120 para 2027)
- Director: Jose Luis Alastruey (nombrado por RD, reporta al Ministerio de Transformacion Digital)
- Sandbox regulatorio: 147 empresas participantes desde 2022 (el primero de la UE)
- Denuncias tramitadas (2025): 89 expedientes informativos abiertos, 12 procedimientos sancionadores iniciados
- Coordinacion: AEPD (protección datos), CNMC (competencia), CCN-CERT (ciberseguridad), INCIBE (ciberseguridad empresarial)
AI Act vs RGPD: tabla comparativa
Muchas empresas y abogados confunden el ámbito de ambas regulaciones. Cómo perito, es fundamental distinguirlas porque la auditoria forense varia según la norma aplicable.
| Dimensión | AI Act (UE 2024/1689) | RGPD (UE 2016/679) |
|---|---|---|
| Objeto de regulación | Sistemas de inteligencia artificial | Datos personales |
| Enfoque | Riesgo del sistema | Derechos del interesado |
| Sujetos obligados | Proveedores, deployers, importadores de IA | Responsables y encargados del tratamiento |
| Ámbito territorial | IA usada o comercializada en la UE | Datos de residentes en la UE |
| Clasificación | 4 niveles de riesgo | Datos normales vs categorias especiales |
| Evaluación previa | Evaluación de conformidad (alto riesgo) | Evaluación de Impacto (EIPD) |
| Autoridad España | AESIA (A Coruna) | AEPD (Madrid) |
| Sanción máxima | 7% facturacion (35M EUR) | 4% facturacion (20M EUR) |
| Derechos ciudadaños | Explicabilidad, supervision humana, reclamación | Acceso, rectificacion, supresion, portabilidad |
| Documentación técnica | Obligatoria para alto riesgo (Art. 11) | Registro actividades tratamiento (Art. 30) |
| Notificación incidentes | Incidentes graves (alto riesgo) | Brechas en 72h (Art. 33) |
| DPO/Responsable | No obligatorio (pero recomendable) | DPO obligatorio en ciertos casos (Art. 37) |
Interaccion clave: Un sistema de IA que procesa datos personales debe cumplir ambos reglamentos simultaneamente. Ejemplo: un sistema de seleccion de personal con IA debe cumplir las obligaciones de alto riesgo del AI Act (auditoria sesgos, supervision humana, documentación) Y las obligaciones del RGPD (base jurídica, minimizacion, EIPD, información al candidato sobre decisiones automatizadas del Art. 22).
Régimen sancionador: multas del AI Act
El AI Act establece un régimen sancionador proporcional al tamaño de la empresa y la gravedad del incumplimiento:
| Infracción | Sanción máxima | Min. grandes empresas | PYMEs/startups | Ejemplo |
|---|---|---|---|---|
| Prácticas prohibidas (Art. 5) | 7% facturacion global o 35M EUR (la mayor) | 35M EUR | % facturacion real | Empresa que implementa social scoring de empleados |
| Obligaciones alto riesgo (Título III) | 3% facturacion global o 15M EUR | 15M EUR | % facturacion real | Sistema de IA de seleccion sin auditoria sesgos |
| Obligaciones GPAI (Título V) | 3% facturacion global o 15M EUR | 15M EUR | % facturacion real | Modelo de lenguaje sin documentación técnica |
| Información falsa a autoridades | 1.5% facturacion global o 7.5M EUR | 7.5M EUR | % facturacion real | Declarar cómo “riesgo mínimo” un sistema de alto riesgo |
Comparación con otras regulaciones europeas:
| Regulación | Sanción máxima | Fecha aplicación | Autoridad España |
|---|---|---|---|
| AI Act | 7% facturacion (35M EUR) | Agosto 2026 (completa) | AESIA |
| RGPD | 4% facturacion (20M EUR) | Mayo 2018 | AEPD |
| NIS2 | 2% facturacion (10M EUR) | Octubre 2024 | CCN-CERT |
| DORA | 1% facturacion (diario) | Enero 2025 | CNMV/BdE |
| DSA (Digital Services Act) | 6% facturacion | Febrero 2024 | CNMC |
| DMA (Digital Markets Act) | 10% facturacion | Mayo 2023 | Comisión Europea |
El AI Act se posiciona como la segunda regulación europea con mayor capacidad sancionadora (tras el DMA), y la más severa en el ámbito de la IA.
Modelos de propósito general (GPAI): GPT, Gemini, Claude
El AI Act dedica el Título V (Arts. 51-56) a los modelos de IA de propósito general (GPAI), cómo GPT-4, Gemini, Claude o Llama. Desde agosto de 2025, estas obligaciones estan vigentes.
Obligaciones para todos los GPAI (Art. 53, desde agosto 2025)
- Documentación técnica del modelo (arquitectura, datos, evaluaciones)
- Politica de cumplimiento de derechos de autor (copyright)
- Resumen detallado del contenido de entrenamiento (suficiente para que titulares de derechos identifiquen su contenido)
- Cooperacion con proveedores downstream que integran el modelo
Obligaciones adicionales para GPAI con riesgo sistemico (Art. 55)
Un modelo tiene riesgo sistemico si su capacidad de computo de entrenamiento supera los 10^25 FLOPS o si la Comisión lo designa por su impacto.
| Obligación | Descripción | Modelos afectados (estimacion) |
|---|---|---|
| Red teaming | Evaluación adversarial del modelo | GPT-4/o1/o3, Gemini Ultra, Claude Opus, Llama 405B |
| Evaluación riesgos sistemicos | Identificar y mitigar riesgos (desinformacion, bio, cyber) | Idem |
| Notificación incidentes | Comunicar incidentes graves a la Comisión | Idem |
| Ciberseguridad | Garantias adecuadas de protección del modelo | Idem |
| Eficiencia energética | Documentar consumo energético del entrenamiento | Idem |
| Códigos de buenas prácticas | Adherirse a códigos sectoriales (Art. 56) | Todos los GPAI |
Deepfakes y el AI Act: obligaciones de transparencia
El AI Act establece obligaciones específicas para los deepfakes en el Art. 50 (aplicable desde agosto 2026 para la mayoria de obligaciones, pero las de transparencia de deepfakes estan implicitamente vigentes cómo práctica prohibida de manipulación cuando se usan con fines engañosos):
| Obligación | Quien debe cumplirla | Descripción detallada | Sanción |
|---|---|---|---|
| Etiquetar contenido cómo generado por IA (Art. 50.4) | Cualquier persona que genere o difunda deepfakes | Etiqueta clara, visible e inequivoca. En formato texto legible para humaños y en formato técnico legible por máquina | Hasta 15M EUR o 3% facturacion |
| Detectar y marcar contenido sintético (Art. 50.2) | Proveedores de sistemas de generación de imagen/video/audio | Implementar mecanismos de detección y marcado automático en la salida del sistema | Hasta 15M EUR o 3% facturacion |
| Implementar marcas técnicas (Art. 50.2 + Art. 53.1.d) | Proveedores de modelos GPAI con capacidad de generación | Watermarks digitales robustas, metadatos identificativos, huellas espectrales | Hasta 15M EUR o 3% facturacion |
| Informar de interaccion con IA (Art. 50.1) | Deployers de sistemas de interaccion humana (chatbots) | Informar de forma oportuna, clara e inteligible | Hasta 15M EUR o 3% facturacion |
Excepciones (Art. 50.4, párrafo 2): Uso artistico, satirico o de ficcion claramente identificable cómo tal. Uso por fuerzas de seguridad en investigaciones autorizadas judicialmente. Contenido editorial sometido a revisión responsable.
Implicaciones para el peritaje forense: Cuando un deepfake se difunde sin las etiquetas requeridas, el perito no solo acredita que el contenido es falso, sino que puede documentar el incumplimiento del Art. 50, proporcionando una via sancionadora adicional (hasta 15M EUR) además de los delitos penales (estafa, suplantación).
Impacto del AI Act en el peritaje informático forense: 8 areas
El AI Act crea nuevas necesidades de peritaje forense que no existian antes. Cómo perito informático, identifico 8 areas donde la demanda de servicios forenses va a crecer significativamente:
1. Detección de deepfakes en procedimientos judiciales
El AI Act obliga a etiquetar el contenido generado por IA. Cuando esa obligación se incumple, el perito forense debe determinar si un video, imagen o audio es auténtico o generado por IA. Las técnicas incluyen análisis de artefactos GAN, inconsistencias en iluminacion, análisis de formantes de audio y verificación de metadatos. He peritado ya 7 casos de deepfake en 2025-2026, y la demanda crece cada trimestre.
2. Auditoria de sesgos algoritmicos (empleo, crédito, justicia)
Los sistemas de IA de alto riesgo en empleo, crédito y justicia deben ser auditados para detectar sesgos discriminatorios. El perito analiza los datos de entrenamiento, las metricas de equidad (disparate impact, equalized odds, demographic parity) y los resultados del modelo por grupos demograficos. Un caso tipico: empresa que usa IA para filtrar CVs y discrimina sistematicamente a mujeres mayores de 45 años.
3. Análisis de decisiones automatizadas impugnadas
Cuando un ciudadaño impugna una decisión automatizada (denegacion de crédito, rechazo de empleo, evaluación escolar), el perito debe reconstruir el proceso de decisión del sistema de IA y determinar si se cumplieron las obligaciones de transparencia y supervision humana del AI Act.
4. Evidencia digital generada o manipulada por IA
Los tribunales necesitan peritos que determinen si una prueba digital fue creada, modificada o fabricada por IA. Un correo electrónico escrito por ChatGPT puede presentarse cómo prueba de comunicación real. Un documento firmado digitalmente puede haber sido redactado integramente por IA. Un audio de una “conversacion” puede ser una clonacion de voz.
5. Incidentes de seguridad en sistemas de IA
El AI Act exige que los sistemas de alto riesgo sean robustos y ciberseguros (Art. 15). Cuando un sistema de IA es comprometido (adversarial attacks, data poisoning, model extraction, prompt injection), el perito forense investiga el vector de ataque, el impacto y las medidas de seguridad que fallaron.
6. Verificación de conformidad pre-comercializacion
Antes de comercializar un sistema de IA de alto riesgo, los proveedores deben realizar una evaluación de conformidad (Art. 43). El perito puede actuar cómo auditor independiente, verificando la documentación técnica, los datos de entrenamiento, las medidas de supervision humana y los tests de robustez.
7. Investigación de uso ilicito de IA prohibida
Las prohibiciones del Art. 5 estan vigentes desde febrero 2025. El perito investiga si una empresa o administración implemento social scoring, reconocimiento de emociones en el trabajo, scraping facial masivo u otra práctica prohibida. Los indicios pueden aparecer en logs de sistema, bases de datos internas, configuraciones de software y comunicaciones internas.
8. Peritaje en reclamaciones por daños causados por IA
El AI Act complementa la Directiva de Responsabilidad por IA (propuesta COM/2022/496). Cuando un sistema de IA causa daño (decisión erronea, sesgo, fallo), la víctima puede reclamar y necesita un perito que acredite el nexo causal entre el sistema de IA y el daño sufrido.
Caso práctico 1: deepfake cómo prueba falsa en juicio laboral
Nota: Este caso esta basado en situaciones reales combinadas con fines educativos. Los datos han sido anonimizados.
Situación: Una empresa presenta un video de una reunion donde un empleado supuestamente acepta condiciones de despido. El empleado niega haber participado en esa reunion y alega que el video es un deepfake.
Análisis forense que realice:
| Análisis | Resultado | Significado |
|---|---|---|
| Metadatos del video | Sin datos EXIF originales, recodificado H.265, creado con ffmpeg | Procesamiento posterior sospechoso |
| Análisis de artefactos GAN | Patrón de ruido inconsistente en area facial (frecuencia alta anormal) | Indicador de face swap con modelo de difusion |
| Sincronización labial | Desfase de 120ms entre audio y movimiento labial | Superior al umbral natural (80ms) |
| Frecuencia de parpadeo | 4.2 parpadeos/minuto (media humana: 15-20) | Anomalia tipica de deepfakes generados con Wav2Lip |
| Iluminacion facial | Sombras inconsistentes con angulo de luz del entorno | Rostro superpuesto sobre cuerpo diferente |
| Formantes de voz | Patrón F1-F3 incompatible con grabaciones de referencia del empleado | Audio sintético (probable ElevenLabs o XTTS) |
| Watermark C2PA | Ausente (el AI Act exigira marcas técnicas) | Incumplimiento de transparencia |
Marco legal aplicado:
- AI Act art. 50.4: Obligación de etiquetar contenido generado por IA. La empresa no lo hizo.
- Art. 248 CP: Uso de documento falso en juicio (estafa procesal, pena 1-6 años).
- Art. 390 CP: Falsificación de documento privado.
- Art. 5.1.a AI Act: Posible manipulación subliminal si el video se uso para presionar al trabajador.
Resultado: El juzgado inadmitio el video cómo prueba tras mi informe pericial. La empresa fue investigada por estafa procesal. El empleado obtuvo despido improcedente con indemnizacion máxima (45 días/año). El caso fue remitido a la AESIA para evaluar posible infracción del AI Act.
Caso práctico 2: sesgo algoritmico en seleccion de personal
Nota: Caso basado en situaciones reales combinadas con fines educativos. Datos anonimizados.
Situación: Una gran empresa española de retail usa un sistema de IA para filtrar CVs automaticamente. Una candidata de 52 años, con 25 años de experiencia, fue rechazada sin entrevista. Alega discriminacion por edad y genero.
Análisis forense:
| Elemento analizado | Hallazgo | Implicacion |
|---|---|---|
| Documentación técnica del sistema | Incompleta: sin evaluación de sesgos, sin metricas de equidad | Incumplimiento Art. 11 AI Act |
| Datos de entrenamiento | 73% de contratados exitosos eran hombres menores de 40 | Sesgo histórico codificado en el modelo |
| Metricas de equidad | Disparate impact ratio = 0.62 para mujeres, 0.71 para mayores de 50 (umbral legal: 0.80) | Impacto adverso demostrado |
| Supervision humana | No existia override humaño sistemático (Art. 14) | Decisiones enteramente automatizadas |
| Explicabilidad | El sistema no podia explicar por que rechazo a la candidata | Incumplimiento Art. 13 |
| Registro de actividad | Logs incompletos: solo registraban decisión final, no factores | Incumplimiento Art. 12 |
Resultado: El informe pericial demostro sesgo discriminatorio cuantificable. La empresa fue sancionada por la Inspeccion de Trabajo y Seguridad Social. La candidata obtuvo indemnizacion de 18.000 EUR por discriminacion. La AESIA abrio expediente por incumplimiento de obligaciones de alto riesgo (aplicación anticipada voluntaria, ya que el Título III no era obligatorio en la fecha del incidente, pero la empresa se habia adherido al sandbox regulatorio).
Caso práctico 3: clonacion de voz para fraude del CEO
Nota: Caso basado en investigaciones forenses reales con datos anonimizados.
Situación: El director financiero de una PYME española recibe una llamada del “CEO” (de viaje en Asia) ordenando una transferencia urgente de 230.000 EUR a un proveedor chino. La voz es idéntica a la del CEO. El CFO ejecuta la transferencia. 48 horas después, el CEO real niega haber realizado esa llamada.
Análisis forense de la llamada:
| Análisis | Resultado | Significado |
|---|---|---|
| Formantes F1-F4 | Compatibles en F1-F2 (vocales), incompatibles en F3-F4 (rasgos individuales) | Clonacion de voz parcial, no perfecta |
| Jitter y shimmer | Valores anormalmente bajos (0.2% vs media humana 0.5-1.2%) | Voz sintética detectada |
| Respiracion | Pausas respiratorias ausentes en segmentos de 45+ segundos | Imposible fisiologicamente |
| Espectrograma | Bandas armonicas uniformes, sin variacion natural | Huella digital de modelo TTS |
| Metadatos telefonia | Llamada originada desde IP routable a servidor en Singapur (SIP trunk) | No llamada móvil real |
| Ruido de fondo | Ruido “de aeropuerto” insertado artificialmente (loop de 12 segundos detectado) | Escenificacion del entorno |
Marco legal: Art. 248 CP (estafa), Art. 250.1.5 CP (agravante cuantia), Art. 50.4 AI Act (deepfake audio no etiquetado). La empresa recupero 145.000 EUR (63%) mediante reclamación bancaria respaldada por el informe pericial que demostro la sofisticacion del ataque (no negligencia del CFO).
Preguntas relacionadas
1. Una empresa española que usa ChatGPT esta sujeta al AI Act?
Si. El AI Act se aplica a tres categorias de actores: proveedores (quienes desarrollan la IA), deployers (quienes la usan para un fin concreto) e importadores. Cualquier empresa que utilice sistemas de IA en la UE es un deployer y esta sujeta al AI Act, independientemente de donde este el proveedor. Si una empresa española usa ChatGPT para seleccion de personal (alto riesgo, Anexo III punto 4), debe cumplir las obligaciones del deployer (Art. 26): documentar el uso, informar a los candidatos, supervisar las decisiones, respetar la supervision humana y realizar evaluación de impacto en derechos fundamentales. OpenAI, cómo proveedor, debe cumplir las obligaciones de GPAI (Art. 53) y las de proveedor de alto riesgo si su sistema se usa en ese contexto. La responsabilidad es compartida, pero el deployer no puede delegar sus obligaciones en el proveedor.
2. El AI Act prohibe el uso de IA en los tribunales españoles?
No lo prohibe, pero lo regula cómo alto riesgo (Anexo III, punto 8). Los sistemas de IA usados en la administración de justicia (evaluación de riesgo de reincidencia, análisis automatizado de pruebas, asistencia en sentencias, clasificación de asuntos) son clasificados cómo alto riesgo y requieren supervision humana obligatoria, transparencia y auditabilidad. El CGPJ público en 2024 un Libro blanco sobre IA en la justicia donde adopta un enfoque cauteloso: la IA puede asistir pero nunca sustituir la decisión judicial (principio de “human-in-the-loop”). En mi labor cómo perito, considero esencial que los jueces comprendan las limitaciones de estos sistemas, especialmente en herramientas forenses que usan IA para clasificar automaticamente contenido o predecir la autenticidad de evidencias.
3. Cómo se diferencia el AI Act del RGPD en la práctica?
El RGPD protege los datos personales; el AI Act regula los sistemas de inteligencia artificial. Son complementarios y acumulativos: un sistema de IA que procesa datos personales debe cumplir ambos. La diferencia principal es el enfoque: el RGPD se centra en el dato (consentimiento, finalidad, minimizacion), el AI Act se centra en el sistema (riesgo, transparencia, supervision humana). Las sanciones del AI Act (7%) superan a las del RGPD (4%). En la práctica forense, cuando audito un sistema de IA que procesa datos personales, verifico el cumplimiento de ambas normas simultaneamente: por ejemplo, un sistema de scoring crediticio debe tener datos de entrenamiento no sesgados (AI Act, Art. 10) Y haber obtenido la base jurídica para tratar esos datos (RGPD, Art. 6).
4. Que pasa si una startup española no cumple el AI Act?
El AI Act contempla sanciones proporcionadas para PYMEs y startups (Art. 99.6). Las multas se calculan sobre la facturacion real de la empresa, no se aplican los minimos absolutos (7.5M-35M EUR) si el porcentaje de facturacion resulta inferior. Además, el sandbox regulatorio de AESIA (Art. 57) permite testar sistemas en entorno controlado antes de comercializar, con exenciones temporales de ciertas obligaciones. También existen medidas de apoyo: la AESIA ofrece orientacion gratuita y la Comisión pública guias de implementación. No obstante, el incumplimiento de prácticas prohibidas (Art. 5) no tiene atenuantes por tamaño de empresa: social scoring o manipulación subliminal es ilegal independientemente de quien lo haga.
5. El AI Act se aplica a las herramientas forenses que usan IA?
Si. Cellebrite UFED, Magnet AXIOM, Oxygen Forensics y otras herramientas forenses que incorporan modulos de IA (reconocimiento facial en galerias de fotos, clasificación automática de contenido CSAM, análisis predictivo, transcripcion automática) estan sujetas al AI Act. Si se usan en el contexto de investigaciones penales o judiciales (Anexo III, punto 6), se clasifican cómo alto riesgo. Los peritos forenses debemos documentar que herramientas de IA utilizamos, sus limitaciones conocidas, los falsos positivos/negativos, y la supervision humana aplicada a los resultados automatizados. He incorporado ya una seccion específica sobre esto en mis informes periciales desde febrero de 2025.
6. España puede imponer sanciones del AI Act antes de agosto 2026?
Las prohibiciones del Título II estan vigentes y son directamente aplicables desde el 2 de febrero de 2025. AESIA puede actuar contra prácticas prohibidas desde esa fecha. Las obligaciones de GPAI (Título V) estan vigentes desde agosto 2025. Sin embargo, las sanciones relacionadas con sistemas de alto riesgo (Título III) no serán exigibles hasta agosto de 2026. España tiene margen para establecer su propio régimen sancionador nacional complementario, cómo hizo con la LOPDGDD (LO 3/2018) respecto al RGPD. Se espera que el Gobierno apruebe en 2026 una Ley de implementación del AI Act que complete el régimen sancionador y asigne competencias específicas a AESIA. La doctora Maria Luz Guasch, del sector jurídico de AESIA, ha indicado que los primeros procedimientos sancionadores formales se esperan para el cuarto trimestre de 2026.
Referencias y fuentes
Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo, de 13 de junio de 2024, por el que se establecen normas armonizadas en materia de inteligencia artificial. DOUE L 2024/1689. Disponible en: https://eur-lex.europa.eu/eli/reg/2024/1689/oj
Real Decreto 729/2023, de 22 de agosto, por el que se crea la Agencia Española de Supervision de la Inteligencia Artificial (AESIA). BOE num. 201, de 23 de agosto de 2023.
Comisión Europea, AI Office. (2025). “Guidelines on prohibited AI practices under the AI Act”. Oficina Europea de IA, guias de implementación del Título II.
AESIA. (2025). “Sandbox regulatorio de IA: resultados y lecciones aprendidas (2022-2025)”. Informe anual. A Coruna.
INCIBE. (2025). “Ciberseguridad e inteligencia artificial: guia para empresas españolas”. Instituto Nacional de Ciberseguridad de España. Leon.
AEPD. (2025). “Guia sobre inteligencia artificial y protección de datos - Actualización AI Act”. Agencia Española de Protección de Datos. Madrid.
Consejo General del Poder Judicial (CGPJ). (2024). “Libro blanco sobre inteligencia artificial en la administración de justicia”. Madrid. Disponible en: https://www.poderjudicial.es/
Stanford HAI. (2025). “AI Index Report 2025: Global regulatory landscape”. Stanford Human-Centered Artificial Intelligence.
ONTSI/Red.es. (2025). “Informe de la Sociedad Digital en España 2025 - Capítulo IA”. Observatorio Nacional de Tecnología y Sociedad.
INE. (2025). “Encuesta sobre el uso de TIC y comercio electrónico en las empresas - Modulo IA”. Instituto Nacional de Estadística.
Código Penal español (LO 10/1995). Artículos 248 (estafa), 250 (agravantes), 390 (falsificación), 197 (acceso ilicito a datos), 401 (usurpacion estado civil).
Spain AI. (2025). “Mapa del ecosistema de startups de IA en España 2025”. Asociacion Española de Inteligencia Artificial.
European AI Office. (2025). “General-Purpose AI Code of Practice - First Draft”. Comisión Europea, Bruselas.
Directiva de Responsabilidad por IA - Propuesta COM/2022/496. Complementa el AI Act en materia de responsabilidad civil por daños causados por sistemas de IA.
Última actualización: Marzo 2026 Categoria: Marco Legal (LEG-035) Nivel técnico: Intermedio-Avanzado Relevancia: Muy Alta (aplicación completa agosto 2026, a 5 meses)
Preguntas Frecuentes
Que es el AI Act y cuando entra en vigor en Espana?
El AI Act es el Reglamento (UE) 2024/1689 que regula la inteligencia artificial en Europa. Entro en vigor el 1 de agosto de 2024 con aplicacion escalonada: prohibiciones desde febrero 2025, obligaciones GPAI desde agosto 2025 y aplicacion completa en agosto 2026.
Que practicas de IA estan prohibidas por el AI Act?
El AI Act prohibe la puntuacion social (social scoring), la manipulacion subliminal, la explotacion de vulnerabilidades, la identificacion biometrica remota en tiempo real en espacios publicos (salvo excepciones), y los sistemas de categorizacion biometrica basados en datos sensibles.
Cuanto son las multas del AI Act?
Las sanciones alcanzan el 7% de la facturacion global anual por practicas prohibidas (hasta 35 millones EUR), el 3% por incumplimiento de obligaciones (hasta 15 millones EUR) y el 1.5% por informacion falsa (hasta 7.5 millones EUR).
Que es la AESIA y que papel tiene?
La Agencia Espanola de Supervision de la Inteligencia Artificial (AESIA), con sede en A Coruna, es la autoridad nacional designada para supervisar el cumplimiento del AI Act en Espana, incluyendo la gestion del sandbox regulatorio y la coordinacion con el Comite Europeo de IA.
Como afecta el AI Act al peritaje informatico forense?
El AI Act obliga a documentar y auditar los sistemas de IA de alto riesgo, lo que genera una nueva demanda de peritaje: deteccion de deepfakes, verificacion de sesgos algoritmicos, auditoria de transparencia y analisis de evidencia generada por IA en procedimientos judiciales.
¿Necesitas un peritaje forense?
Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.
Solicitar Consulta Gratuita