La Comisión Europea ha abierto la primera investigación formal bajo el Reglamento de IA europeo contra un proveedor de modelo fundacional de uso general. No es un aviso, no es una solicitud de información voluntaria: es el procedimiento formal que puede terminar en multas de hasta el 3% de la facturación global anual o, en casos graves, en la prohibición de operar en la UE.
Llevábamos meses en una fase de transición en la que las obligaciones del AI Act se iban activando gradualmente. Las prohibiciones absolutas (sistemas de puntuación social, reconocimiento de emociones en espacios de trabajo) entraron en vigor en febrero. Las obligaciones para modelos de IA de uso general con más de 10²⁵ FLOPs de cómputo de entrenamiento, los llamados modelos GPAI de alto riesgo, llevan vigentes desde agosto de 2025. Ahora se comprueba si las empresas las están cumpliendo de verdad.
Qué exige el AI Act a los modelos fundacionales
Los modelos de uso general con suficiente capacidad tienen que publicar un resumen técnico del proceso de entrenamiento, documentar las fuentes de datos utilizadas, implementar políticas para respetar los derechos de autor y proporcionar información que permita a los desplegadores cumplir sus propias obligaciones de transparencia.
Ese último punto es donde están las fricciones. Si un proveedor de modelo no documenta bien qué puede y no puede hacer su sistema, los que lo integran en aplicaciones de alto riesgo (sistemas médicos, financieros, de infraestructura crítica) no pueden cumplir sus propias obligaciones de evaluación de conformidad. La cadena de responsabilidad empieza en el modelo base. Para quien quiera entender el marco completo, la guía sobre la Ley de Ciberresiliencia europea (CRA) da contexto sobre cómo la UE está construyendo una capa regulatoria que afecta a toda la cadena de software.
La investigación también mira los mecanismos de evaluación de riesgos sistémicos: ¿ha evaluado el proveedor si su modelo puede usarse para generar ciberataques a escala, desinformación masiva o manipulación de infraestructuras críticas? ¿Tiene red team externo que lo verifique? ¿Esos resultados están documentados y disponibles para las autoridades?
Por qué esto importa más allá de la empresa investigada
Lo interesante no es la investigación en sí sino el precedente que establece. Hasta ahora los proveedores de IA podían interpretar las obligaciones del AI Act con cierta flexibilidad: la regulación es nueva, los criterios técnicos son discutibles, las autoridades estaban en periodo de aprendizaje. Con una investigación formal en marcha, esa flexibilidad desaparece.
Cualquier empresa que opere modelos fundacionales en Europa, o que los ponga a disposición de clientes europeos a través de API, tiene ahora una referencia concreta de qué nivel de cumplimiento se va a exigir. Y tiene incentivos claros para revisarlo antes de que llegue una carta formal. En este contexto cobra sentido el impulso de iniciativas como Office EU como alternativa europea a la suite de Microsoft: la soberanía digital y el cumplimiento regulatorio empiezan a ir de la mano.
Para las empresas que han desplegado soluciones basadas en modelos de IA en contextos de alto riesgo, el momento de revisar si el proveedor que usan cumple las obligaciones del AI Act es ahora, no cuando llegue la notificación de la autoridad competente. En España, la AESIA (Agencia Española de Supervisión de la Inteligencia Artificial) es la autoridad que coordina la aplicación del reglamento a nivel nacional. Y si el modelo que usas en producción es de un proveedor que ahora está bajo investigación, eso también es un riesgo operativo que gestionar. El análisis sobre los agentes de IA que ya trabajan en tu empresa ilustra bien por qué muchas empresas han desplegado estos sistemas sin evaluar del todo sus implicaciones legales.
El AI Act siempre pareció una regulación de largo plazo que tardaría años en tener dientes. Está tardando menos de lo esperado.
0 Comentarios