Multas AI Act 2026: cifras reales y cómo afectan a tu empresa

Las 3 cuantías oficiales del Art. 99 del AI Act

El artículo 99 del Reglamento (UE) 2024/1689 establece tres tramos de sanción según el tipo de infracción cometida. Las cifras no son simbólicas: son cuantías exigibles desde el 2 de agosto de 2026 y aplicables a cualquier empresa que opere en la Unión Europea, con independencia de su tamaño o nacionalidad.

El primer tramo, el más severo, es por prácticas prohibidas del Art. 5: vigilancia biométrica masiva, sistemas de puntuación social, manipulación cognitiva o reconocimiento de emociones en el trabajo o la educación. La sanción máxima es de 35 millones de euros o el 7% de la facturación anual mundial del ejercicio anterior. El regulador aplica la cuantía MAYOR de las dos. Si una empresa factura 1.000 millones al año, la multa puede llegar a 70 millones de euros.

El segundo tramo, por incumplimientos de las obligaciones aplicables a proveedores y deployers de sistemas de alto riesgo (Anexo III) y otras obligaciones del Capítulo III, prevé hasta 15 millones de euros o el 3% de facturación mundial. Aquí entran la falta de documentación técnica (Art. 11), audit log incompleto (Art. 12), supervisión humana insuficiente (Art. 14) o ausencia de evaluación de impacto (Art. 27).

El tercer tramo, por suministrar información incorrecta, incompleta o engañosa a las autoridades competentes (incluida la AESIA en España), prevé hasta 7,5 millones de euros o el 1,5% de facturación. Mentir en una inspección o aportar documentos fabricados entra aquí.

La cláusula 99.6: el ajuste imprescindible para PYMEs y startups

El propio Reglamento reconoce que las multas máximas anteriores podrían fulminar a una pequeña empresa. Por eso el artículo 99.6 introduce una protección específica: cuando el infractor sea una PYME o una startup, se aplica la cuantía MENOR de las dos opciones, no la mayor.

Un ejemplo concreto. Una PYME con 8 millones de facturación anual que use un sistema de IA de alto riesgo sin la documentación obligatoria del Art. 11 podría enfrentarse en teoría a una multa de hasta 240.000 euros (3% de 8M) o 15 millones (cuantía fija). El Art. 99.6 manda aplicar los 240.000 euros, no los 15 millones. Sigue siendo una cifra capaz de quebrar el negocio, pero amortigua el impacto sistémico.

Esta cláusula NO exime a la PYME de cumplir. Solo modera la cuantía. Las inspecciones AESIA llegarán igual y las exigencias documentales son las mismas que las de una multinacional. Lo que cambia es el techo de la sanción.

Quién impone las multas en España: el papel de la AESIA

La Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), con sede en A Coruña desde 2023, es la autoridad competente para inspeccionar y sancionar el cumplimiento del AI Act en territorio español. La AESIA puede actuar de oficio o tras denuncia de un tercero, abrir expedientes, requerir documentación, citar a testigos, realizar inspecciones presenciales y proponer sanciones que firma posteriormente el órgano competente.

La AESIA coordina con la AEPD cuando hay tratamiento de datos personales (que es lo habitual cuando hay IA), y con los reguladores sectoriales: Banco de España y CNMV en banca y seguros, Ministerio de Sanidad en clínicas y hospitales, Ministerio de Trabajo en RRHH, Ministerio de Educación en sistemas de admisión escolar.

Las inspecciones tras el 2 de agosto de 2026 pueden ser anunciadas o por sorpresa. Una inspección anunciada típicamente da 10 a 30 días para preparar documentación. Una inspección sorpresa pide ver la documentación en el momento. Esa documentación no se improvisa: incluye historiales de logs, evidencias de formación, registros de decisiones automatizadas y demostraciones técnicas del funcionamiento del sistema.

Ejemplos hipotéticos de cuantía según sector

Las cifras anteriores se entienden mejor con ejemplos. Toma una PYME industrial de 30 personas que usa LinkedIn Recruiter (clasificación automática de candidatos = alto riesgo) sin haber documentado el sistema ni formado al equipo en alfabetización IA. Multa teórica máxima: 15 M€ o 3% facturación, el menor. Si factura 4 M€, la multa máxima sería de 120.000 euros.

Toma una gestoría que usa un software de contabilidad con OCR de facturas (riesgo limitado, Art. 50) pero no avisa a los clientes finales de que sus datos pasan por un sistema de IA. Multa teórica: tramo de 15 M€ / 3%, pero al ser una infracción de transparencia menos grave, las autoridades suelen aplicar cuantías muy inferiores. En la práctica esperaríamos sanciones de varios miles de euros más medida correctiva.

Toma una clínica privada que usa IA para diagnóstico por imagen sin evaluación de impacto sobre derechos fundamentales (EIPD del Art. 27) ni supervisión humana significativa (Art. 14). Sistema claramente de alto riesgo. Multa teórica máxima: 3% facturación. Para una clínica de 20 M€ de facturación, son 600.000 euros. Cifra capaz de cerrar el centro o forzar despidos masivos.

Cuándo empiezan las multas exigibles

El calendario del AI Act tiene cuatro hitos. El 2 de febrero de 2025 entraron en aplicación las prohibiciones del Art. 5 y la obligación de alfabetización IA del Art. 4. Desde esa fecha, una empresa que use IA para prácticas prohibidas o que no haya formado a su equipo en alfabetización ya es sancionable.

El 2 de agosto de 2025 entraron en aplicación las obligaciones para modelos de IA de propósito general (GPAI) y la estructura completa de gobernanza europea. Las empresas que usen ChatGPT, Claude, Gemini o Copilot dentro de la UE ya están bajo el régimen completo en términos generales.

El 2 de agosto de 2026 es la fecha crítica: aplicación plena del Reglamento, incluyendo todas las obligaciones para sistemas de alto riesgo del Anexo III. La AESIA puede inspeccionar y sancionar con efecto inmediato desde ese día. Los primeros casos sancionadores españoles llegarán previsiblemente en otoño 2026.

El 2 de agosto de 2027 se extiende el ámbito a sistemas de IA embebidos en productos ya regulados por otras normativas armonizadas de la UE (Anexo II): juguetes, vehículos, dispositivos médicos, ascensores. Es un hito secundario para la mayoría de PYMEs pero crítico para fabricantes industriales.

Los 5 errores que aumentan tu riesgo de multa

Después de analizar la documentación oficial AESIA y de hablar con empresas españolas que han empezado a prepararse para 2026, estos son los errores más caros y más frecuentes que aumentan el riesgo de inspección sancionadora.

• Asumir que tu PYME no usa IA. Casi todas la usan. La PYME típica utiliza entre 4 y 12 sistemas de IA invisible en herramientas SaaS comunes (CRM, email marketing, contabilidad, RRHH).
• No mantener un inventario actualizado de los sistemas IA. Sin inventario no hay clasificación de riesgo posible, y sin clasificación las obligaciones por nivel quedan incumplidas por defecto.
• No formar al personal en alfabetización IA. Es la obligación más básica (Art. 4) y la más fácil de inspeccionar: la AESIA puede pedir certificados de formación firmados. Aplica desde el 2 de febrero de 2025.
• Confiar en que el proveedor del software resuelve el cumplimiento. El proveedor cumple por su lado; el deployer (tu empresa) tiene obligaciones propias e independientes. Lo que vale para uno no vale para el otro.
• Posponer la documentación hasta el último trimestre antes de inspección. La documentación de cumplimiento no se improvisa: requiere historiales de uso, logs y evidencias acumuladas que solo se construyen con tiempo.

Cómo reducir el riesgo de multa: prioridades para los próximos meses

La estrategia más eficiente para una PYME española en 2026 es atacar la documentación por orden de impacto inverso al esfuerzo. Lo que más reduce el riesgo de sanción con menor coste es: inventariar sistemas (1-2 días), formar al equipo en alfabetización IA básica (2-4 horas por persona) y publicar la política de IA empresarial (1 día).

Después viene la clasificación de riesgo por sistema, que requiere análisis técnico individualizado. Una herramienta automatizada como AI Comply realiza este análisis con un wizard de 11 preguntas basado en el Anexo III. Para una PYME con 10 sistemas IA típicos, ahorra entre 30 y 50 horas de trabajo manual frente al equivalente con consultoría externa.

El último paso, y el más costoso en tiempo, es la documentación técnica completa (Art. 11) y la evaluación de impacto (Art. 27) si la PYME tiene sistemas de alto riesgo. Aquí es donde una consultoría tradicional cobra entre 5.000 y 15.000 euros. Las herramientas especializadas reducen ese coste a 59-399 euros al año (suscripción anual).

Lo importante es empezar antes del verano de 2026. Cada mes que pase sin documentar es un mes de evidencias no acumuladas. Si llega una inspección en septiembre 2026 y no tienes logs desde enero 2026, la AESIA lo interpretará como falta de cumplimiento continuado, no solo como retraso.

Conclusión: las cifras dan vértigo, la solución no

Las multas del AI Act son altas y exigibles desde 2026, pero no son inevitables. El reglamento se ha diseñado para premiar a quien documenta y forma al equipo, no para castigar a las PYMEs que cumplen lo razonable. La AESIA no inspeccionará a todas las PYMEs el 3 de agosto de 2026, pero sí empezará a publicar criterios de inspección y abrir casos ejemplares en los primeros meses.

El verdadero coste no es la multa máxima teórica del 7% de facturación. Es el coste reputacional de aparecer en un boletín AESIA por incumplimiento. Para un despacho legal, una clínica privada o una consultoría, ese coste reputacional puede ser muchas veces superior a la multa misma.

La buena noticia: cumplir el AI Act es viable para una PYME con presupuesto razonable. La combinación de inventariar + clasificar + documentar + formar puede ejecutarse en 4-6 semanas con la herramienta adecuada. Lo que no es viable es ignorarlo o posponerlo hasta el último trimestre.