Descarga gratuita · jroales.es

Checklist AI Act para banca y seguros:
12 controles con el calendario real del Digital Omnibus

El Digital Omnibus (jun 2026) aplaza las obligaciones de alto riesgo del Anexo III al 2 de diciembre de 2027 — scoring crediticio y tarificación de vida/salud incluidos — pero la transparencia del Art. 50 entra en vigor el 2 de agosto de 2026 y las prohibiciones ya aplican. Marca los controles que tienes implementados; los que no, son tu plan de trabajo hasta diciembre de 2027.

· Aplicable: proveedores y responsables del despliegue de sistemas de alto riesgo · Referencia: Reglamento (UE) 2024/1689 (AI Act) + Digital Omnibus IA (jun 2026) · Actualización: Julio 2026
01

Inventario de sistemas de IA con clasificación de riesgo según el Anexo III

Censo completo de todos los sistemas de IA en uso o en desarrollo — incluidos los embebidos en productos de terceros y el shadow AI de negocio. Cada sistema clasificado: prohibido, alto riesgo (Anexo III), riesgo de transparencia o riesgo mínimo. En banca y seguros, el scoring crediticio y la tarificación de vida/salud son alto riesgo por defecto.

Art. 6 y Anexo III AI Act · Revisión ante cada nuevo caso de uso
02

Rol determinado por sistema: proveedor vs. responsable del despliegue

Las obligaciones difieren radicalmente según el rol. Si compras un sistema de alto riesgo y lo usas conforme a instrucciones, eres responsable del despliegue (deployer). Si lo desarrollas, lo comercializas con tu marca o lo modificas sustancialmente — incluido el fine-tuning relevante — puedes convertirte en proveedor y heredar todas sus obligaciones.

Arts. 16, 25 y 26 AI Act · Documentar la decisión por sistema
03

Prácticas prohibidas descartadas y programa de alfabetización en IA activo

Las prohibiciones (manipulación subliminal, social scoring, reconocimiento de emociones en el trabajo...) y el deber de alfabetización en IA son exigibles desde febrero de 2025. Verifica que ningún caso de uso actual roza una práctica prohibida y que el personal que opera sistemas de IA tiene formación documentada.

Arts. 4 y 5 AI Act · Exigible desde el 2 de febrero de 2025
04

Sistema de gestión de riesgos continuo durante todo el ciclo de vida

Proceso iterativo documentado: identificación de riesgos para salud, seguridad y derechos fundamentales, estimación, evaluación y medidas de mitigación. No es un assessment puntual — debe revisarse con cada cambio del sistema, de los datos o del contexto de uso.

Art. 9 AI Act · Integrable con el marco de riesgo modelo existente (SR 11-7, EBA)
05

Gobernanza de datos: relevancia, representatividad y control de sesgos

Los datasets de entrenamiento, validación y prueba deben ser pertinentes, suficientemente representativos y, en la medida de lo posible, completos y libres de errores para el propósito. Documenta origen, criterios de selección, tratamiento de sesgos y limitaciones conocidas.

Art. 10 AI Act · Examinar sesgos que afecten a colectivos protegidos
06

Documentación técnica del Anexo IV completa antes del despliegue

Descripción general del sistema, arquitectura, lógica de desarrollo, métricas de rendimiento, resultados de validación y medidas de supervisión humana. Es el expediente que el supervisor pedirá primero — y debe existir antes de comercializar o poner en servicio el sistema.

Art. 11 y Anexo IV AI Act · Mantener actualizada durante el ciclo de vida
07

Registro automático de eventos (logs) con trazabilidad de decisiones

El sistema debe registrar automáticamente eventos relevantes durante su funcionamiento: periodos de uso, datos de entrada contra los que se ha ejecutado, resultados. El responsable del despliegue debe conservar estos logs al menos 6 meses, salvo que otra norma exija más.

Arts. 12 y 26 AI Act · Retención mínima: 6 meses
08

Transparencia hacia el usuario del sistema e instrucciones de uso

Instrucciones de uso claras: capacidades, limitaciones, nivel de precisión esperado, circunstancias de mal uso razonablemente previsible y requisitos de supervisión humana. Además, informar a las personas afectadas cuando proceda — en banca, el cliente cuyo crédito evalúa una IA tiene derecho a explicación de decisiones individuales.

Arts. 13 y 86 AI Act · Coordinar con las obligaciones GDPR art. 22
09

Supervisión humana efectiva, diseñada y verificada

Medidas que permitan a personas físicas comprender el sistema, detectar anomalías, interpretar correctamente el output, decidir no usarlo o revertir sus decisiones. "Un humano revisa" no basta: hay que demostrar que puede intervenir de forma efectiva y que no sufre sesgo de automatización.

Art. 14 AI Act · Asignar supervisores con formación y autoridad documentadas
10

Precisión, robustez y ciberseguridad declaradas y probadas

Niveles de precisión y métricas relevantes declarados en las instrucciones de uso. Resiliencia frente a errores, fallos e inconsistencias. Protección específica frente a ataques de IA: data poisoning, model evasion, adversarial examples y ataques a la cadena de suministro del modelo.

Art. 15 AI Act · Integrar en el programa de ciberseguridad (DORA/NIS2)
11

Sistema de gestión de calidad, evaluación de conformidad, marcado CE y registro UE

Para proveedores: QMS documentado, evaluación de conformidad superada, declaración UE de conformidad firmada, marcado CE y registro del sistema en la base de datos de la UE antes de la puesta en el mercado. Las entidades financieras pueden integrar parte del QMS en su marco de gobernanza interna existente.

Arts. 17, 43, 47-49 AI Act · Registro en la base de datos UE del art. 71
12

Evaluación de impacto en derechos fundamentales (FRIA) y preparación ante AESIA

Obligatoria para responsables del despliegue de scoring crediticio y tarificación de seguros de vida/salud, entre otros: procesos afectados, colectivos, riesgos para derechos fundamentales y medidas de mitigación. En España, la AESIA es la autoridad de vigilancia — y las sanciones por incumplimiento en alto riesgo alcanzan 15 M€ o el 3% de la facturación global.

Art. 27 AI Act · Sanciones art. 99: hasta 15 M€ / 3% (35 M€ / 7% en prácticas prohibidas)

¿Gaps detectados?

Si tienes sistemas de IA en producción o en roadmap y alguno de estos controles está en rojo, escríbeme. Trabajo con banca y seguros en la operacionalización de IA bajo regulación — desde el inventario inicial hasta el modelo de gobierno en producción.

Contactar directamente Ver caso IA agéntica en banca →

Documento elaborado por Jesús Roales — Cloud & Cyber Sales Leader, GFT IT Consulting. Julio 2026.
Basado en el Reglamento (UE) 2024/1689 (AI Act) y las guías de la Comisión Europea y la AESIA disponibles a fecha de publicación.
Este checklist es orientativo y no sustituye el asesoramiento legal o regulatorio especializado.