Artículo · 021 · 5 Jul 2026

AI Act tras el Digital Omnibus: lo que sigue siendo exigible el 2 de agosto de 2026 en banca y seguros

AI Act · Digital OmnibusBanca · SegurosRegulación UEAESIACompliance

El Parlamento Europeo ratificó el Digital Omnibus sobre IA el 16 de junio y el Consejo le dio el visto bueno definitivo el 29 de junio de 2026. Las obligaciones de alto riesgo del Anexo III — scoring crediticio y tarificación de seguros de vida y salud incluidos — se aplazan al 2 de diciembre de 2027. En muchos comités de dirección esto se ha leído como "tenemos año y medio más". Es una lectura equivocada, y en agosto puede salir cara.

El malentendido más caro del verano

La secuencia es conocida: la Comisión presentó el Digital Omnibus sobre IA el 19 de noviembre de 2025 al constatar que la infraestructura necesaria para hacer operativas las obligaciones de alto riesgo — normas armonizadas, organismos notificados, autoridades con recursos — no iba a estar lista. Tras un trílogo fallido en abril, el acuerdo político llegó el 6 de mayo de 2026, el Parlamento lo ratificó el 16 de junio y el Consejo lo aprobó definitivamente el 29 de junio. Queda la publicación en el Diario Oficial, esperada antes del 2 de agosto.

El titular que ha circulado es "el AI Act se retrasa". El texto dice otra cosa: se aplazan las obligaciones de los sistemas de alto riesgo (Anexo III al 2 de diciembre de 2027; sistemas embebidos en productos regulados del Anexo I al 2 de agosto de 2028). Todo lo demás sigue su calendario. Y "todo lo demás" incluye obligaciones que afectan directamente a la operativa diaria de bancos y aseguradoras este mismo verano.

2 ago 2026
Transparencia Art. 50: sigue en vigor sin aplazamiento
2 dic 2027
Nueva fecha para alto riesgo Anexo III (scoring, tarificación)
15 M€ / 3%
Sanción máxima por incumplir obligaciones de alto riesgo

Lo que sí entra en vigor el 2 de agosto de 2026

El artículo 50 — las obligaciones de transparencia — mantiene su fecha original. Para una entidad financiera o una aseguradora, esto se traduce en tres frentes concretos:

1. Todo chatbot debe identificarse como IA

Cualquier sistema de IA que interactúe directamente con personas debe estar diseñado para que el usuario sepa que habla con una máquina, salvo que resulte evidente por el contexto. El asistente virtual de banca digital, el bot de primera atención de siniestros, el agente de contratación de pólizas: todos necesitan revisión de UX y de los avisos legales antes de agosto. Es la obligación más barata de cumplir y la más visible de incumplir.

2. El contenido generado por IA debe ser identificable

Los proveedores de sistemas generativos deben marcar el contenido sintético en formato legible por máquina. El Omnibus introduce un único alivio: los sistemas ya comercializados antes del 2 de agosto de 2026 disponen de un periodo de gracia de cuatro meses — hasta el 2 de diciembre de 2026 — para el marcado técnico (watermarking) del artículo 50.2. La obligación de fondo no cambia; solo se escalona para el parque instalado.

3. Deepfakes y comunicación con clientes

El contenido de imagen, audio o vídeo generado o manipulado por IA que pueda inducir a error debe declararse como tal. Si el área de marketing genera vídeos con avatares sintéticos para campañas de producto, esa divulgación es obligatoria desde agosto.

Además, lo que ya estaba en vigor no se toca: las prácticas prohibidas del artículo 5 y la alfabetización en IA del artículo 4 aplican desde febrero de 2025 (el Omnibus suaviza la redacción de esta última: de "garantizar" un nivel de alfabetización a "apoyar su desarrollo"), y las obligaciones de modelos GPAI desde agosto de 2025. El Omnibus añade una prohibición nueva al artículo 5: sistemas que generen imágenes íntimas no consentidas o material CSAM, con transitorio hasta el 2 de diciembre de 2026 — relevante para cualquier proveedor de herramientas generativas de imagen o vídeo.

Lo que se aplaza — y con qué condiciones

El corazón del aplazamiento afecta a los sistemas de alto riesgo del Anexo III: evaluación de solvencia y scoring crediticio, tarificación en seguros de vida y salud, selección de personal, acceso a servicios esenciales. Las obligaciones de los artículos 8 a 27 — gestión de riesgos, gobernanza de datos, documentación técnica, logs, supervisión humana, robustez, sistema de gestión de calidad, evaluación de conformidad, FRIA — pasan del 2 de agosto de 2026 al 2 de diciembre de 2027.

Dos matices que conviene no perder de vista:

  • Las fechas son fijas, no condicionales. La propuesta inicial de la Comisión ligaba el aplazamiento a la disponibilidad de normas armonizadas; el texto final lo sustituye por fechas cerradas. No habrá más prórrogas automáticas.
  • El aplazamiento solo es derecho vigente cuando se publique en el Diario Oficial. Hasta ese momento — esperado en las próximas semanas — la fecha legalmente vigente sigue siendo el 2 de agosto de 2026. Ninguna entidad seria debería basar su plan de cumplimiento en un texto aún no publicado, por probable que sea.

El calendario completo, antes y después

ObligaciónFecha originalTras el OmnibusImpacto en banca/seguros
Prohibiciones (Art. 5)2 feb 2025Sin cambio + nueva prohibición NCII/CSAM (transitorio hasta 2 dic 2026)Verificar casos de uso frontera (emociones en el trabajo, scoring social)
Alfabetización IA (Art. 4)2 feb 2025Sin cambio de fecha; obligación suavizadaFormación documentada del personal que opera IA
Modelos GPAI (Arts. 51–56)2 ago 2025Sin cambioAplica si se fine-tunean modelos fundacionales
Transparencia (Art. 50)2 ago 2026Sin cambio (gracia watermarking hasta 2 dic 2026 para sistemas ya en mercado)Chatbots, contenido generado, deepfakes
Sandboxes nacionales (Art. 57)2 ago 20262 ago 2027Retrasa la vía de experimentación regulada en España
Alto riesgo Anexo III (Arts. 8–27)2 ago 20262 dic 2027Scoring crediticio, tarificación vida/salud, RRHH
Alto riesgo Anexo I (embebido)2 ago 20272 ago 2028IA en productos regulados (dispositivos, maquinaria)

Por qué frenar el programa sería un error

La tentación de reasignar el presupuesto de cumplimiento IA a otra cosa hasta 2027 es real. Cuatro razones para no hacerlo:

Razón 01
17 meses no es holgura para un banco
Un sistema de gestión de riesgos del Art. 9 integrado con el marco de model risk existente, la gobernanza de datos del Art. 10 y una FRIA por cada sistema del Anexo III no se montan en dos trimestres. Las entidades que llegaron bien a DORA empezaron dos años antes. Diciembre de 2027 es, en términos de programa, pasado mañana.
Razón 02
Tu supervisor sigue siendo el de siempre
El Omnibus refuerza a la AI Office europea, pero mantiene la competencia sobre entidades financieras en las autoridades nacionales. En España eso significa AESIA en coordinación con Banco de España, CNMV y DGSFP — supervisores que ya te conocen y que integrarán la revisión de IA en sus inspecciones ordinarias. No hay un regulador nuevo al que esperar: hay uno de siempre con una lista nueva.
Razón 03
GDPR y DORA ya exigen la mitad del trabajo
La explicación de decisiones individuales automatizadas (Art. 22 GDPR), los logs y la resiliencia operativa (DORA), la gestión de riesgo de modelo (guías EBA): buena parte del expediente de alto riesgo ya es exigible por otras vías. El aplazamiento no suspende esas obligaciones — solo la etiqueta "AI Act" de encima.
Razón 04
El inventario no puede esperar
Sin un censo de sistemas de IA con clasificación de riesgo no puedes saber qué te aplica en agosto de 2026, qué en diciembre de 2027 ni qué hace tu shadow AI hoy. Es la primera casilla de cualquier checklist y la más frecuentemente vacía. Si solo haces una cosa este trimestre, que sea esta.

El calendario que importa a partir de hoy

Julio 2026
Publicación del Omnibus en el Diario Oficial (esperada)
Las nuevas fechas solo vinculan desde la publicación. Hasta entonces, el calendario original sigue siendo el derecho vigente.
2 ago 2026
Transparencia Art. 50 en vigor
Chatbots identificados como IA, divulgación de deepfakes, marcado de contenido sintético para sistemas nuevos.
2 dic 2026
Fin de los transitorios
Termina la gracia de watermarking para sistemas preexistentes y el transitorio de la nueva prohibición de NCII/CSAM.
2 ago 2027
Sandboxes regulatorios nacionales
Fecha límite para que los Estados miembros tengan operativo al menos un sandbox de IA.
2 dic 2027
Alto riesgo Anexo III exigible
Scoring crediticio, tarificación de vida y salud, RRHH y acceso a servicios esenciales, con el expediente completo de los Arts. 8–27.
2 ago 2028
Alto riesgo Anexo I exigible
IA embebida en productos regulados por legislación sectorial de seguridad.

El plan de trabajo realista para un CISO/CDO

Con el calendario nuevo, la secuencia razonable para una entidad mediana es: antes de agosto de 2026, inventario de sistemas de IA con clasificación de riesgo, revisión de transparencia de todos los canales conversacionales y política de marcado de contenido generado. Durante 2026-2027, gobernanza de datos y gestión de riesgos integradas con el marco de model risk, documentación técnica del Anexo IV para los sistemas de alto riesgo identificados y FRIA. Primer semestre de 2027, evaluación de conformidad, QMS y registro, con margen para el hallazgo incómodo de última hora.

Nota de vigencia: este análisis se basa en el texto del Digital Omnibus aprobado por Parlamento (16 jun) y Consejo (29 jun 2026), pendiente de publicación en el Diario Oficial en el momento de escribirlo. Las fechas aplazadas vinculan legalmente desde esa publicación. Verifica el estado antes de tomar decisiones de programa.

¿Quieres la lista operativa? He publicado un Checklist AI Act para banca y seguros con los 12 controles de alto riesgo organizados por bloques — actualizado con las fechas del Omnibus. Imprimible para el próximo comité de riesgos.

¿Sistemas de IA en producción y fechas que no cuadran?

Si tu entidad tiene scoring, tarificación o agentes de IA en producción y necesitas convertir el AI Act en un plan de programa con fechas y responsables, puedo ayudarte a estructurarlo — desde el inventario inicial hasta el modelo de gobierno.

Contactar

Caso de estudio relacionado

IA agéntica operando bajo supervisión regulatoria real. Ver el caso de estudio: IA Agéntica para Trade Finance en Banca Corporativa →

← Volver a artículos