Ley IA en banca y seguros: scoring crediticio, fraude y pricing bajo el AI Act

Qué sistemas de banca y seguros son alto riesgo según el AI Act

El Anexo III punto 5 del Reglamento (UE) 2024/1689 clasifica como alto riesgo los sistemas de IA utilizados para evaluar la solvencia de personas físicas o para establecer su puntuación crediticia, así como para evaluación de riesgo y fijación de precios en seguros de vida y salud. La AESIA y el Banco de España coordinan la supervisión en España.

Esto incluye: scoring crediticio de particulares, modelos PD/LGD/EAD con componentes IA, pricing dinámico de seguros con machine learning, detección de fraude con ML aplicado a personas físicas (no a empresas), KYC automatizado, y cualquier sistema que apoye decisiones de concesión o rechazo de productos financieros.

Entidades afectadas en España

La Ley IA afecta a toda la cadena: bancos tradicionales y neobancos, aseguradoras y correduría, plataformas de crowdlending y crowdfunding, fintechs de scoring alternativo (Bnext, Fintonic, Bizum), plataformas BNPL (Aplazame, Sequra, Klarna), entidades de dinero electrónico y fondos que utilicen IA en análisis de carteras de particulares.

La multa documentada más alta impuesta por la AESIA en este sector es de 890.000 EUR a una entidad bancaria por uso de IA en scoring crediticio sin cumplir con los requisitos de transparencia y supervisión humana. En seguros, la multa más alta fue de 540.000 EUR.

Obligaciones específicas del AI Act para entidades financieras

El AI Act se superpone con regulación sectorial ya existente (EBA, DORA, SOLVENCIA II, MiFID II). Las obligaciones concretas son:

• Sistema de gestión de riesgos (Art. 9) documentado y auditado por el regulador.
• Gobernanza de datos (Art. 10): trazabilidad completa de datos de entrenamiento, segregación por cohortes, controles de sesgo por género/edad/origen.
• Documentación técnica (Art. 11) en formato compatible con reporting supervisor del BdE.
• Registro automático de actividad (Art. 12): cada decisión de scoring debe quedar registrada con explicabilidad.
• Transparencia y explicabilidad (Art. 13): el cliente tiene derecho a una explicación comprensible si su crédito o póliza es denegado.
• Supervisión humana efectiva (Art. 14): ningún cliente puede ser rechazado únicamente por decisión automática.
• Ciberseguridad reforzada (Art. 15): alineada con DORA (Digital Operational Resilience Act).

Caso real: scoring crediticio con ML

Un caso típico en banca: un modelo de scoring crediticio entrenado con datos históricos penaliza involuntariamente a mujeres o a personas de zonas con CP de rentas bajas. Aunque no use esas variables directamente, el modelo las infiere por correlación.

Bajo el AI Act esto obliga a: test de sesgo en todas las variables protegidas, documentar las métricas de equidad, establecer procedimiento de apelación con supervisión humana, e informar al cliente en el momento de la denegación con una explicación comprensible.

Detección de fraude y AI Act: cuándo aplica y cuándo no

La detección de fraude con ML tiene un tratamiento matizado. Si el sistema analiza transacciones y asigna un score de riesgo a personas físicas que afecta a sus cuentas o bloqueos, es alto riesgo. Si solo detecta anomalías agregadas sin consecuencias automáticas individuales, puede ser de riesgo limitado.

Stripe Radar, ACI Worldwide, Featurespace o sistemas internos de los bancos deben evaluarse caso por caso. Por defecto conviene tratarlos como alto riesgo y documentarlos completamente.

Roadmap 2026 para bancos y aseguradoras españolas

Faltan pocos meses y el sector financiero tiene controles reforzados:

• Mayo-junio 2026: inventario completo de sistemas IA, coordinado con Dirección de Riesgos y Compliance.
• Junio-julio 2026: clasificación de riesgo, gap analysis vs EBA/BdE, contratación de proveedores certificados.
• Julio 2026: documentación técnica completa, tests de sesgo, procedimientos de apelación.
• 2 agosto 2026: entrada en vigor. Primera inspección AESIA prevista en Q4 2026 según declaraciones públicas.

Multas: cuánto está en juego para una entidad financiera

Las sanciones del AI Act se acumulan con las de supervisión sectorial. Un incumplimiento grave puede implicar: hasta 35 millones de euros o 7% de facturación global por prácticas prohibidas, hasta 15 millones o 3% por incumplimiento de obligaciones de alto riesgo, más las sanciones propias del Banco de España o DGSFP, más reclamaciones individuales bajo RGPD.

Para un banco mediano con 2.000 millones de facturación, la exposición máxima es de 140 millones de euros solo por AI Act, sin contar el impacto reputacional y las reclamaciones de clientes. La supervisión combinada AESIA + Banco de España exige rigor documental desde el primer día.