Los 4 niveles de riesgo de la Ley de IA de Europa, explicados a fondo
Introducción
Cuando hablamos de la Ley de IA de Europa (AI Act), lo primero que hay que entender es su idea central: no toda la inteligencia artificial es tratada igual. La ley no le pone las mismas reglas a un videojuego con IA que a un sistema que decide si te dan un crédito. En cambio, organiza todos los sistemas de IA en cuatro niveles de riesgo, como una pirámide, y a cada nivel le asigna un tipo de obligación distinto: desde la prohibición total hasta la libertad casi absoluta.
Entender bien estos cuatro niveles es la base para entender toda la ley, porque de aquí se desprende todo lo demás: qué tiene que hacer una empresa, cuánto le puede costar no cumplir y qué tan estrictamente la van a vigilar.
En este post explicamos, uno por uno y con ejemplos concretos, cada uno de los cuatro niveles de riesgo que define la Ley de IA europea.
🔴 Nivel 1: Riesgo inaceptable — lo que está prohibido
Este es el nivel más alto de la pirámide, y también el más sencillo de entender: son los usos de IA que Europa considera una amenaza tan clara para la seguridad, los derechos y la dignidad de las personas, que decidió prohibirlos por completo. No hay forma de “cumplir” con este nivel; simplemente no se puede hacer.
Están vigentes desde el 2 de febrero de 2025 y la ley identifica ocho prácticas prohibidas:
- Manipulación subliminal o engañosa: sistemas que influyen en el comportamiento de una persona por debajo de su nivel de conciencia, o que la engañan deliberadamente, causándole un daño significativo. Por ejemplo, un videojuego con patrones visuales o sonoros ocultos diseñados para empujar a un niño a gastar dinero sin que se dé cuenta.
- Explotación de vulnerabilidades: IA que se aprovecha de la edad, una discapacidad o una situación social o económica difícil de alguien para distorsionar su comportamiento y perjudicarlo.
- Puntuación social (social scoring): sistemas que evalúan o clasifican a las personas según su comportamiento social, generando un trato injusto o desproporcionado en contextos distintos a los que generaron esos datos.
- Predicción de delitos basada en perfiles: IA que intenta calcular si una persona va a cometer un delito basándose únicamente en su perfil o características personales, sin hechos objetivos.
- Bases de datos faciales masivas: crear o ampliar bases de datos de reconocimiento facial recolectando imágenes de internet o de cámaras de seguridad sin el consentimiento de las personas.
- Reconocimiento de emociones en el trabajo o en la escuela: detectar el estado emocional de empleados o estudiantes con IA, salvo excepciones estrictas de seguridad (como detectar que un conductor se está quedando dormido).
- Categorización biométrica sensible: usar datos biométricos (como el rostro o las huellas) para deducir características protegidas de una persona, como su origen étnico, su religión o su orientación sexual.
- Identificación biométrica remota “en tiempo real” en espacios públicos con fines policiales, como el reconocimiento facial en la calle. Está prohibida salvo excepciones muy limitadas y con autorización judicial (por ejemplo, para buscar víctimas de secuestro o prevenir un atentado terrorista).
¿Qué pasa si alguien lo hace de todas formas? Las multas son las más altas de toda la ley: hasta 35 millones de euros o el 7% de la facturación global anual de la empresa, lo que sea mayor.
🟠 Nivel 2: Riesgo alto — permitido, pero bajo control estricto
Este es el nivel donde se concentra la mayor parte del texto de la ley, porque agrupa los sistemas de IA que sí se pueden usar, pero que pueden afectar seriamente la salud, la seguridad o los derechos fundamentales de las personas si algo sale mal.
Un sistema se considera de alto riesgo básicamente por dos caminos:
- Es un componente de seguridad de un producto ya regulado en Europa (por ejemplo, dispositivos médicos, juguetes, ascensores o maquinaria industrial).
- Está en la lista del Anexo III de la ley, que cubre áreas como:
- infraestructura crítica (energía, agua, transporte, tráfico vial),
- acceso a la educación y evaluación de exámenes,
- selección de personal, contratación y gestión de trabajadores,
- acceso a servicios esenciales, como créditos, seguros o beneficios sociales,
- biometría (identificación y categorización de personas),
- actuación policial,
- control migratorio, asilo y gestión de fronteras,
- administración de justicia y procesos democráticos.
Si tu sistema de IA cae en una de estas categorías, no importa cómo lo llame el proveedor comercialmente: la ley lo trata como alto riesgo. Por ejemplo, una herramienta de análisis de recursos humanos que clasifica candidatos a un empleo es de alto riesgo, así el fabricante la llame simplemente “asistente de productividad”.
¿Qué se le exige a un sistema de alto riesgo? Antes de poder venderse o usarse en la UE, debe cumplir con una lista larga de obligaciones:
- gestionar y reducir riesgos de forma continua,
- usar datos de entrenamiento de buena calidad para evitar resultados discriminatorios,
- mantener documentación técnica detallada y registros de actividad,
- garantizar que un humano pueda supervisar y, si hace falta, corregir al sistema,
- ser preciso, robusto y resistente a fallos o ataques informáticos,
- pasar una evaluación de conformidad antes de salir al mercado,
- registrarse en una base de datos pública de la Unión Europea.
Además, en ciertos casos (como créditos, seguros o servicios públicos) quien vaya a usar el sistema debe hacer antes una Evaluación de Impacto en los Derechos Fundamentales, para anticipar cómo podría afectar a las personas.
Tras la reforma de mayo de 2026, las obligaciones más exigentes de este nivel empiezan a regir el 2 de diciembre de 2027 (o el 2 de agosto de 2028 para sistemas integrados en productos ya regulados).
Multas por incumplir estas obligaciones: hasta 15 millones de euros o el 3% de la facturación global anual.
🟡 Nivel 3: Riesgo limitado — la regla es “avisa que eres una IA”
Este nivel es mucho más liviano que el anterior. Aquí no se trata de prohibir ni de exigir certificaciones complejas, sino de garantizar algo mucho más simple: que las personas sepan cuándo están interactuando con una máquina o con un contenido creado por IA.
Entran en este nivel, entre otros:
- Chatbots y asistentes virtuales: deben dejar en claro que quien responde no es un humano (salvo que sea evidente por el contexto).
- Contenido generado o manipulado por IA (imágenes, audio, video o texto), incluyendo los deepfakes: debe estar etiquetado de forma clara para que se sepa que fue creado artificialmente.
- Sistemas de reconocimiento de emociones o de categorización biométrica que no estén ya prohibidos: deben informar a las personas que están siendo analizadas por IA.
Estas obligaciones de transparencia empiezan a aplicar en agosto de 2026 (con un pequeño margen extra hasta diciembre de 2026 para los sistemas que ya estaban en uso antes de esa fecha).
Lo importante de este nivel: no exige aprobación previa ni registro en una base de datos europea, como sí pasa con el riesgo alto. El foco está solo en la transparencia. Un chatbot de atención al cliente, por ejemplo, es riesgo limitado: puede operar libremente, pero tiene que decir que es un chatbot.
🟢 Nivel 4: Riesgo mínimo o nulo — la gran mayoría de la IA que usamos
Este es el nivel más bajo, y también el más amplio: aquí cae la inmensa mayoría de los sistemas de inteligencia artificial que existen hoy en el mercado europeo. Son sistemas que no representan una amenaza significativa para la seguridad ni los derechos de las personas.
Ejemplos típicos:
- videojuegos con IA,
- filtros de spam en el correo electrónico,
- sistemas básicos de recomendación (como los que sugieren qué película ver),
- correctores ortográficos.
¿Qué obligaciones tienen? Ninguna obligación legal específica. La ley no les exige documentación, registro ni evaluaciones. Eso sí, la Comisión Europea invita a las empresas a adoptar de forma voluntaria códigos de conducta y buenas prácticas —como supervisión humana o no discriminación— aunque no estén obligadas por ley a hacerlo.
Una advertencia importante: la clasificación de un sistema no es fija para siempre. Si una empresa cambia el propósito de una herramienta —por ejemplo, toma un sistema de recomendación de “riesgo mínimo” y lo empieza a usar para filtrar candidatos a un empleo— ese sistema puede pasar a ser de alto riesgo automáticamente. Por eso Europa recomienda que todas las organizaciones, sin importar el nivel de riesgo, mantengan algo de gobernanza interna sobre el uso de IA.
Un quinto grupo que no encaja en la pirámide: los modelos grandes de IA (GPAI)
Además de los cuatro niveles, la ley trata de forma especial a los llamados modelos de IA de propósito general (General Purpose AI o GPAI), como los que están detrás de herramientas como ChatGPT, Gemini o Claude. No encajan perfectamente en la pirámide de riesgo porque no son un solo “uso” de IA, sino una base sobre la que se construyen muchos otros sistemas.
- Todos los proveedores de estos modelos deben cumplir con reglas de transparencia, documentación técnica y respeto al derecho de autor, vigentes desde agosto de 2025.
- Si el modelo es tan potente o tan usado que puede generar riesgos sistémicos —la ley usa como referencia técnica un umbral de cómputo de entrenamiento de más de 10²⁵ operaciones de punto flotante (FLOPs)— sus creadores deben además evaluar y mitigar esos riesgos de forma más rigurosa, reportar incidentes graves y garantizar ciberseguridad adecuada.
En resumen: la pirámide completa
| Nivel | ¿Qué es? | ¿Qué se exige? | Ejemplo |
|---|---|---|---|
| 🔴 Inaceptable | Prohibido por completo | Nada: no se puede usar | Puntuación social de ciudadanos |
| 🟠 Alto | Permitido con control estricto | Evaluación de conformidad, documentación, supervisión humana | Software que filtra candidatos a un empleo |
| 🟡 Limitado | Permitido con transparencia | Avisar que es IA | Chatbot de atención al cliente |
| 🟢 Mínimo | Libre | Ninguna obligación legal | Videojuego con IA, filtro de spam |
Entender en qué nivel cae cada sistema de IA que una empresa usa o desarrolla es, según la propia Comisión Europea, el primer paso para saber qué le exige realmente la ley: de esa clasificación depende todo lo demás, desde el presupuesto de cumplimiento hasta el riesgo de una multa millonaria.
Fuente: Comisión Europea, “AI Act” — Shaping Europe’s Digital Future (digital-strategy.ec.europa.eu) y “High-level summary of the AI Act” (artificialintelligenceact.eu), consultado en julio de 2026.