El malentendido más caro del verano
La secuencia es conocida: la Comisión presentó el Digital Omnibus sobre IA el 19 de noviembre de 2025 al constatar que la infraestructura necesaria para hacer operativas las obligaciones de alto riesgo — normas armonizadas, organismos notificados, autoridades con recursos — no iba a estar lista. Tras un trílogo fallido en abril, el acuerdo político llegó el 6 de mayo de 2026, el Parlamento lo ratificó el 16 de junio y el Consejo lo aprobó definitivamente el 29 de junio. Queda la publicación en el Diario Oficial, esperada antes del 2 de agosto.
El titular que ha circulado es "el AI Act se retrasa". El texto dice otra cosa: se aplazan las obligaciones de los sistemas de alto riesgo (Anexo III al 2 de diciembre de 2027; sistemas embebidos en productos regulados del Anexo I al 2 de agosto de 2028). Todo lo demás sigue su calendario. Y "todo lo demás" incluye obligaciones que afectan directamente a la operativa diaria de bancos y aseguradoras este mismo verano.
Lo que sí entra en vigor el 2 de agosto de 2026
El artículo 50 — las obligaciones de transparencia — mantiene su fecha original. Para una entidad financiera o una aseguradora, esto se traduce en tres frentes concretos:
1. Todo chatbot debe identificarse como IA
Cualquier sistema de IA que interactúe directamente con personas debe estar diseñado para que el usuario sepa que habla con una máquina, salvo que resulte evidente por el contexto. El asistente virtual de banca digital, el bot de primera atención de siniestros, el agente de contratación de pólizas: todos necesitan revisión de UX y de los avisos legales antes de agosto. Es la obligación más barata de cumplir y la más visible de incumplir.
2. El contenido generado por IA debe ser identificable
Los proveedores de sistemas generativos deben marcar el contenido sintético en formato legible por máquina. El Omnibus introduce un único alivio: los sistemas ya comercializados antes del 2 de agosto de 2026 disponen de un periodo de gracia de cuatro meses — hasta el 2 de diciembre de 2026 — para el marcado técnico (watermarking) del artículo 50.2. La obligación de fondo no cambia; solo se escalona para el parque instalado.
3. Deepfakes y comunicación con clientes
El contenido de imagen, audio o vídeo generado o manipulado por IA que pueda inducir a error debe declararse como tal. Si el área de marketing genera vídeos con avatares sintéticos para campañas de producto, esa divulgación es obligatoria desde agosto.
Además, lo que ya estaba en vigor no se toca: las prácticas prohibidas del artículo 5 y la alfabetización en IA del artículo 4 aplican desde febrero de 2025 (el Omnibus suaviza la redacción de esta última: de "garantizar" un nivel de alfabetización a "apoyar su desarrollo"), y las obligaciones de modelos GPAI desde agosto de 2025. El Omnibus añade una prohibición nueva al artículo 5: sistemas que generen imágenes íntimas no consentidas o material CSAM, con transitorio hasta el 2 de diciembre de 2026 — relevante para cualquier proveedor de herramientas generativas de imagen o vídeo.
Lo que se aplaza — y con qué condiciones
El corazón del aplazamiento afecta a los sistemas de alto riesgo del Anexo III: evaluación de solvencia y scoring crediticio, tarificación en seguros de vida y salud, selección de personal, acceso a servicios esenciales. Las obligaciones de los artículos 8 a 27 — gestión de riesgos, gobernanza de datos, documentación técnica, logs, supervisión humana, robustez, sistema de gestión de calidad, evaluación de conformidad, FRIA — pasan del 2 de agosto de 2026 al 2 de diciembre de 2027.
Dos matices que conviene no perder de vista:
- Las fechas son fijas, no condicionales. La propuesta inicial de la Comisión ligaba el aplazamiento a la disponibilidad de normas armonizadas; el texto final lo sustituye por fechas cerradas. No habrá más prórrogas automáticas.
- El aplazamiento solo es derecho vigente cuando se publique en el Diario Oficial. Hasta ese momento — esperado en las próximas semanas — la fecha legalmente vigente sigue siendo el 2 de agosto de 2026. Ninguna entidad seria debería basar su plan de cumplimiento en un texto aún no publicado, por probable que sea.
El calendario completo, antes y después
| Obligación | Fecha original | Tras el Omnibus | Impacto en banca/seguros |
|---|---|---|---|
| Prohibiciones (Art. 5) | 2 feb 2025 | Sin cambio + nueva prohibición NCII/CSAM (transitorio hasta 2 dic 2026) | Verificar casos de uso frontera (emociones en el trabajo, scoring social) |
| Alfabetización IA (Art. 4) | 2 feb 2025 | Sin cambio de fecha; obligación suavizada | Formación documentada del personal que opera IA |
| Modelos GPAI (Arts. 51–56) | 2 ago 2025 | Sin cambio | Aplica si se fine-tunean modelos fundacionales |
| Transparencia (Art. 50) | 2 ago 2026 | Sin cambio (gracia watermarking hasta 2 dic 2026 para sistemas ya en mercado) | Chatbots, contenido generado, deepfakes |
| Sandboxes nacionales (Art. 57) | 2 ago 2026 | 2 ago 2027 | Retrasa la vía de experimentación regulada en España |
| Alto riesgo Anexo III (Arts. 8–27) | 2 ago 2026 | 2 dic 2027 | Scoring crediticio, tarificación vida/salud, RRHH |
| Alto riesgo Anexo I (embebido) | 2 ago 2027 | 2 ago 2028 | IA en productos regulados (dispositivos, maquinaria) |
Por qué frenar el programa sería un error
La tentación de reasignar el presupuesto de cumplimiento IA a otra cosa hasta 2027 es real. Cuatro razones para no hacerlo:
El calendario que importa a partir de hoy
El plan de trabajo realista para un CISO/CDO
Con el calendario nuevo, la secuencia razonable para una entidad mediana es: antes de agosto de 2026, inventario de sistemas de IA con clasificación de riesgo, revisión de transparencia de todos los canales conversacionales y política de marcado de contenido generado. Durante 2026-2027, gobernanza de datos y gestión de riesgos integradas con el marco de model risk, documentación técnica del Anexo IV para los sistemas de alto riesgo identificados y FRIA. Primer semestre de 2027, evaluación de conformidad, QMS y registro, con margen para el hallazgo incómodo de última hora.
Nota de vigencia: este análisis se basa en el texto del Digital Omnibus aprobado por Parlamento (16 jun) y Consejo (29 jun 2026), pendiente de publicación en el Diario Oficial en el momento de escribirlo. Las fechas aplazadas vinculan legalmente desde esa publicación. Verifica el estado antes de tomar decisiones de programa.
¿Quieres la lista operativa? He publicado un Checklist AI Act para banca y seguros con los 12 controles de alto riesgo organizados por bloques — actualizado con las fechas del Omnibus. Imprimible para el próximo comité de riesgos.