¿Cuál es la multa máxima del EU AI Act?

La sanción máxima del EU AI Act es de 35 millones de euros o el 7% de la facturación global anual de la empresa, lo que sea mayor. Se aplica a infracciones que impliquen sistemas de IA prohibidos o incumplimiento de obligaciones para sistemas de alto riesgo.

¿Quién puede multar por incumplir el EU AI Act?

Cada Estado miembro de la UE debe designar una autoridad nacional de supervisión. En España aún está en proceso de designación formal. La Comisión Europea tiene competencia directa para supervisar modelos de IA de uso general de alto impacto sistémico.

¿Las startups pequeñas también están sujetas a las multas del EU AI Act?

Sí, aunque el reglamento prevé que las autoridades tengan en cuenta el tamaño de la empresa y su capacidad económica para graduar las sanciones. Las PYMEs y startups tienen algunos alivios procedimentales, pero no están exentas de las obligaciones sustantivas si operan sistemas de alto riesgo.

¿Cómo puedo demostrar cumplimiento del EU AI Act ante una inspección?

El EU AI Act exige documentación técnica del sistema, registros de auditoría de las decisiones tomadas por el agente de IA, evidencia de supervisión humana, y evaluaciones de conformidad. TrustLayer genera automáticamente esta documentación con cada ciclo de certificación.

Multas EU AI Act 2026: cuánto te puede costar no cumplir

01 Los números reales

Antes de hablar de estrategia, los números. Porque mucha gente ha oído "multas del AI Act" sin saber exactamente de qué estamos hablando.

Sanción máxima — Art. 99 EU AI Act

35.000.000 €

o si es mayor —

7% facturación global

Se aplica lo que resulte más elevado para la empresa infractora

Pero eso es el máximo. El régimen es escalonado según la gravedad de la infracción:

Tipo de infracción	Multa máxima	% facturación	Ejemplo
Prohibiciones absolutas	35 M€	7%	Usar scoring social, biometría en tiempo real en espacios públicos, manipulación subliminal
Incumplimiento obligaciones	15 M€	3%	Desplegar un sistema de alto riesgo sin documentación técnica, sin auditoría o sin supervisión humana
Información incorrecta	7,5 M€	1,5%	Proporcionar datos falsos o incompletos a las autoridades de supervisión durante una inspección

🔴

Para startups con facturación baja, el importe fijo (15-35M€) es la cifra relevante. Para empresas con facturación alta, el porcentaje puede superar con creces esos máximos. El reglamento aplica siempre lo más alto de los dos.

02 Qué dispara exactamente una sanción

Las multas no caen del cielo. Hay comportamientos concretos que las autoridades van a buscar primero. Estos son los más probables en una startup o empresa tech con agentes de IA en producción:

📋

No tener documentación técnica del sistema

El AI Act exige documentar el propósito del sistema, sus capacidades y limitaciones, los datos de entrenamiento y los criterios de diseño. Si te llega una inspección y no tienes esto, la multa es automática.

→ Hasta 15M€ / 3% facturación

🔍

No tener registros de auditoría (logs)

Los sistemas de alto riesgo deben mantener logs automáticos de las decisiones tomadas. No es opcional. Si tu agente toma decisiones y no queda rastro auditado, es una infracción directa.

→ Hasta 15M€ / 3% facturación

👤

Ausencia de supervisión humana efectiva

Para sistemas de alto riesgo, el reglamento exige que un humano pueda intervenir, corregir o detener el sistema. Tener un botón de "off" no es suficiente — tiene que haber un proceso documentado.

→ Hasta 15M€ / 3% facturación

🏷️

No etiquetar contenido generado por IA

Si tu sistema produce contenido (textos, imágenes, audio) que puede confundir al usuario haciéndole creer que es de origen humano, tienes obligación de etiquetarlo. Esto aplica a chatbots, generadores de informes y asistentes de escritura.

→ Hasta 7,5M€ / 1,5% facturación

📊

Registrarse en el EUDB con datos incorrectos

Los sistemas de alto riesgo deben registrarse en la base de datos de la UE antes de su despliegue. Hacerlo con información inexacta o incompleta cuenta como infracción independiente a las anteriores.

→ Hasta 7,5M€ / 1,5% facturación

03 Tu sector y tu nivel de exposición real

No todos los agentes de IA están en el mismo barco. El Anexo III del EU AI Act define qué sectores implican automáticamente alto riesgo. Si tu agente opera en alguno de estos, las obligaciones anteriores te aplican sin discusión:

⚖️ LegalTech

Agentes que revisan contratos, clasifican cláusulas, hacen due diligence o asisten en decisiones judiciales.

Alto riesgo

🏥 HealthTech

Agentes de triaje, diagnóstico asistido, recomendación de tratamientos o gestión de pacientes.

Alto riesgo

👥 HR Tech

Agentes de screening de CVs, scoring de candidatos, análisis de desempeño o decisiones de contratación.

Alto riesgo

💳 FinTech

Agentes de scoring crediticio, evaluación de riesgo, detección de fraude con impacto en decisiones individuales.

Alto riesgo

🎓 EdTech

Agentes que evalúan estudiantes, determinan acceso a programas o influyen en trayectorias educativas.

Riesgo medio-alto

🛒 eCommerce / Marketing

Agentes de recomendación, personalización y segmentación. Sin toma de decisiones individuales críticas.

Riesgo limitado

💡

La duda habitual: "mi agente solo hace recomendaciones, no decide". El AI Act considera que si la recomendación influye de forma determinante en una decisión que afecta a una persona, el sistema se trata como si decidiera. El grado de autonomía efectiva importa más que la etiqueta que le pongas.

04 Lo que tienes que tener antes de agosto

Cinco cosas concretas. Sin florituras. Si las tienes, una inspección no debería ser un problema:

Checklist de cumplimiento mínimo — agosto 2026

Documentación técnica del sistema Propósito, capacidades, limitaciones, datos de entrenamiento, criterios de diseño. Formato libre pero debe existir y estar actualizada.

Sistema de logging automático de decisiones Cada acción significativa del agente debe quedar registrada con timestamp, contexto y resultado. Mínimo 6 meses de retención.

Protocolo de supervisión humana documentado No solo la capacidad técnica de intervenir — el proceso: quién, cuándo, cómo y con qué criterios puede un humano anular o corregir al agente.

Evaluación de riesgos y plan de mitigación Análisis documentado de los riesgos potenciales del sistema y las medidas aplicadas para reducirlos. No hace falta que sea perfecto, tiene que existir.

Registro en la base de datos de la UE (si aplica) Obligatorio para sistemas de alto riesgo. El registro estará disponible a través del portal EUDAMED para sistemas médicos y equivalentes sectoriales.

05 El factor que la mayoría ignora: la carga de la prueba

En el EU AI Act, la carga de la prueba la tiene el operador del sistema — no la autoridad supervisora. Eso significa que si te inspeccionan, no es la autoridad quien tiene que demostrar que incumples. Eres tú quien tiene que demostrar que cumples.

Esto cambia completamente el planteamiento. No es suficiente con cumplir — tienes que poder demostrar que cumples, con documentación, logs y evidencias fechadas.

Capacidad de demostrar cumplimiento — sectores tech en Europa (estimación Q1 2026)

Tienen documentación técnica actualizada ~31%

Tienen logs de auditoría estructurados ~24%

Tienen protocolo de supervisión humana documentado ~18%

Han clasificado formalmente su sistema por nivel de riesgo ~42%

Las cifras hablan solas. La mayoría de empresas que tienen agentes de IA en producción no están en condiciones de demostrar cumplimiento hoy. Agosto está a cuatro meses.

Cuánto te puede costarno cumplir el EU AI Act

01 Los números reales

02 Qué dispara exactamente una sanción

03 Tu sector y tu nivel de exposición real

04 Lo que tienes que tener antes de agosto

05 El factor que la mayoría ignora: la carga de la prueba

Cuánto te puede costar
no cumplir el EU AI Act