El EU AI Act trae la multa más alta de toda la historia regulatoria europea: 35 millones de euros o el 7% de la facturación mundial, lo que sea mayor. Es un escalón por encima del techo del RGPD, que se queda en el 4%. Pero la cifra del titular engaña, y conviene desactivar el susto antes de seguir: a casi ninguna empresa la van a multar por "usar inteligencia artificial". La van a multar por no saber qué IA usa y para qué.
Las sanciones del reglamento no son una cifra única. Están escalonadas por gravedad en tres tramos, con un matiz importante para las pymes y un régimen aparte para los modelos grandes. Te explico cuánto, por qué, quién las cobra y desde cuándo, sin la cláusula de abogado.
¿Cuánto son las multas del EU AI Act?
El régimen sancionador vive en el Artículo 99 del reglamento. Define tres tramos según la gravedad de lo que hagas mal, y en cada uno se aplica la cifra mayor entre un importe fijo y un porcentaje de la facturación anual mundial del ejercicio anterior.
| Infracción | Multa máxima | Ejemplo |
|---|---|---|
| Práctica prohibida (Artículo 5) | 35 M€ o 7% de la facturación mundial | Social scoring, reconocimiento de emociones en el trabajo, scraping masivo de rostros |
| Incumplir otras obligaciones (alto riesgo, transparencia, gobernanza) | 15 M€ o 3% de la facturación mundial | Desplegar un sistema de cribado de CV sin supervisión humana ni documentación |
| Información incorrecta a autoridades u organismos notificados | 7,5 M€ o 1% de la facturación mundial | Dar datos engañosos o incompletos en una inspección |
El primer tramo, el de las prácticas prohibidas, es el más caro porque castiga los usos que el reglamento considera incompatibles con los derechos fundamentales. No es un fallo de cumplimiento: es hacer algo que está vetado de raíz. La mayoría de las empresas no tocan este tramo, porque no se dedican a puntuar socialmente a sus empleados ni a raspar caras de internet.
El tramo que de verdad importa a la empresa media es el segundo, el de los 15 millones o el 3%. Ahí caen los incumplimientos de las obligaciones de alto riesgo y de transparencia, que son las que tocan a quien usa IA para decidir sobre personas. Para saber si tus sistemas están en ese cajón, conviene tener clara antes la foto completa: la repaso en qué es el EU AI Act y los cuatro niveles de riesgo.
El matiz para pymes que casi nadie cuenta
Hay una asimetría en la letra pequeña que cambia el cálculo por completo. Para las empresas grandes, cada multa es la cifra mayor entre el importe fijo y el porcentaje. Para las pymes y startups es justo al revés: se aplica la cifra menor de las dos. El reglamento lo dice de forma expresa para no fulminar a una empresa pequeña con una sanción pensada para una multinacional.
Además, las autoridades tienen el mandato de tener en cuenta la viabilidad económica de la pyme al fijar la cuantía. No es un cheque en blanco, pero sí una válvula de proporcionalidad real. Si diriges la seguridad de una empresa mediana, el número que te asusta del titular no es el tuyo: el tuyo es el suelo, no el techo.
Los modelos grandes tienen su propio régimen
Los modelos de propósito general, los GPAI como los que están detrás de la mayoría de asistentes, juegan en otra liga sancionadora. Sus proveedores pueden ser multados directamente por la Comisión Europea, a través de la Oficina Europea de IA, con multas de hasta 15 millones de euros o el 3% de su facturación mundial.
Esto importa al CISO que integra estos modelos aunque no los fabrique. Parte de la responsabilidad sube por la cadena hasta el proveedor del modelo, pero no toda: tú sigues respondiendo de cómo lo despliegas y de las obligaciones de transparencia hacia tus propios usuarios.
¿Quién impone las multas y desde cuándo?
Las sanciones las imponen las autoridades nacionales competentes de cada estado miembro, no Bruselas. En España, esa autoridad es la AESIA, la Agencia Española de Supervisión de la Inteligencia Artificial, que es quien puede inspeccionar y sancionar. Saber cómo trabaja y qué puede pedirte es parte del deber del CISO: lo desarrollo en qué es la AESIA y cómo prepararte para una inspección.
El "desde cuándo" sigue el mismo calendario escalonado que las obligaciones. El régimen sancionador es aplicable desde agosto de 2025 para lo que ya está en vigor, como las prácticas prohibidas y las reglas de los modelos de propósito general. Para el alto riesgo, las multas podrán imponerse cuando esas obligaciones sean exigibles, una fecha que el paquete Digital Omnibus ha movido y conviene seguir de cerca.
Cómo se calcula la multa concreta
El importe que aparece en la tabla es el máximo, no el automático. La autoridad calcula cada sanción mirando un conjunto de factores que premian la diligencia y castigan la negligencia deliberada. Los que más pesan son estos.
- Gravedad y duración de la infracción, y cuántas personas se vieron afectadas.
- Intencionalidad o negligencia: no es lo mismo un error de buena fe que ignorar una obligación conocida.
- Medidas para mitigar el daño una vez detectado.
- Cooperación con la autoridad durante la investigación.
- Si la infracción se notificó de forma proactiva o se ocultó.
Traducido a lenguaje de trinchera: tener un programa de cumplimiento imperfecto pero documentado y cooperar cuando llaman te coloca en una posición radicalmente distinta a la de quien no tiene nada y además da largas. La diferencia entre esas dos posturas son millones.
Mi opinión como CISO
La multa más peligrosa no es la de 35 millones. Es la de 7,5 millones por dar información incorrecta a la autoridad. Léelo otra vez: ese tramo no castiga usar IA, castiga no poder demostrar lo que haces con ella. Y esa es exactamente la situación por defecto de casi todas las organizaciones, porque la documentación de cumplimiento es lo último que se hace y lo primero que se improvisa cuando llaman a la puerta.
Trabajo en el sector nuclear, un entorno donde demostrar el cumplimiento con evidencia trazable es la mitad del trabajo, no un anexo. Esa cultura es la excepción. En la mayoría de los sitios donde se despliega IA, la pregunta "enséñame el inventario, la clasificación de riesgo y las decisiones documentadas" se responde con silencio. Y el silencio, ante un inspector, no es neutral.
El coste de cumplir es una fracción ridícula de cualquiera de los tres tramos. Lo caro no es el control: es la sanción que llega cuando el control no existe y, encima, no puedes probar que lo intentaste.
Curso · Ciberseguridad de la IA para CISOs
Si quieres montar el cumplimiento del AI Act con evidencia que aguante una inspección, el curso te lleva paso a paso. 5 módulos disponibles ya: La IA como nuevo dominio de riesgo · Amenazas y vulnerabilidades · Gobernanza y cumplimiento (EU AI Act, NIST, ISO 42001) · Operación segura · Caso práctico integrador. 100% online, vídeos + manual completo + autoevaluación. Acceso durante un año. Diploma al finalizar.
Ver el cursoCómo no exponerte a una sanción
Si me preguntas por dónde se reduce de verdad el riesgo de multa, no es comprando un seguro ni un software mágico. Es construyendo la evidencia que una autoridad te va a pedir, en este orden.
- Inventaría los sistemas de IA en uso, incluidos los embebidos en productos y el shadow AI. Sin inventario no hay defensa posible.
- Clasifica el riesgo de cada uso. Lo que cae en alto riesgo es donde se concentra tu exposición sancionadora.
- Documenta las decisiones: quién aprobó qué, con qué controles y en qué fecha. Esto neutraliza el tramo de los 7,5 millones.
- Define el plan de respuesta ante una inspección: quién habla con la autoridad, dónde está la evidencia y cómo se entrega.
Descarga gratis: Checklist de proveedores de IA
Buena parte de tu exposición sancionadora entra por los proveedores. Esta checklist te ayuda a evaluarlos antes de integrarlos: seguridad, datos, cumplimiento y trazabilidad. Gratis, a cambio de tu email.
Quiero la checklistEl paso del mapa al cumplimiento real, control por control, está en la guía de cumplimiento del EU AI Act para empresas. Es el camino que convierte el miedo a la multa en una carpeta de evidencia que puedes enseñar.
La cifra de 35 millones funciona como titular, pero no es donde te juegas el dinero. Te lo juegas en si, el día que la AESIA pregunte qué IA usas y cómo la controlas, tienes una respuesta documentada o un silencio. Coge tu inventario de sistemas de IA y cuenta cuántos tienen una decisión de cumplimiento por escrito. Si la cifra es baja, ya sabes dónde está tu exposición real.
¿Quieres este tipo de análisis cada lunes?
Newsletter semanal con análisis CISO como este: lecciones de revisiones reales, herramientas prácticas y los movimientos de regulación de IA en España y la Unión Europea. Escribo sobre seguridad de la IA para CISOs. Si te sirve, suscríbete.
Suscribirme a la newsletterPreguntas frecuentes sobre las multas del EU AI Act
¿Cuánto son las multas del EU AI Act?
El EU AI Act establece tres tramos de multa en su Artículo 99. Usar una práctica prohibida llega hasta 35 millones de euros o el 7 por ciento de la facturación anual mundial. Incumplir otras obligaciones llega hasta 15 millones o el 3 por ciento. Dar información incorrecta a las autoridades llega hasta 7,5 millones o el 1 por ciento. En cada tramo se aplica la cifra mayor de las dos.
¿Quién impone las multas del AI Act?
Las imponen las autoridades nacionales competentes de cada estado miembro. En España es la AESIA, la Agencia Española de Supervisión de la Inteligencia Artificial. Para los modelos de propósito general (GPAI) la competencia es de la Comisión Europea, a través de la Oficina Europea de IA, no de las autoridades nacionales.
¿Hay multas reducidas para pymes en el AI Act?
Sí. Para pymes y startups, cada multa se aplica por el importe menor entre el porcentaje de facturación y la cifra fija, no el mayor como ocurre con las grandes empresas. Además, las autoridades deben tener en cuenta su viabilidad económica al calcular la sanción. Es una protección expresa del reglamento para no fulminar a las empresas pequeñas.
¿Desde cuándo se pueden imponer sanciones del AI Act?
El régimen sancionador es aplicable desde el 2 de agosto de 2025 para las obligaciones que ya están en vigor, como las prácticas prohibidas y las de los modelos de propósito general. Para las obligaciones de alto riesgo, las sanciones se podrán aplicar cuando esas obligaciones sean exigibles, según el calendario del reglamento y sus aplazamientos.
¿Qué pasa si das información incorrecta a la autoridad de IA?
Suministrar información incorrecta, incompleta o engañosa a las autoridades o a los organismos notificados tiene su propio tramo de multa: hasta 7,5 millones de euros o el 1 por ciento de la facturación anual mundial. Es la sanción que más debe vigilar un CISO, porque no castiga el uso de la IA sino una documentación de cumplimiento mal hecha.
Fuentes
- Artículo 99: Penalties · EU Artificial Intelligence Act. Texto del artículo que fija los tres tramos de sanción, el matiz para pymes y los criterios de cálculo.
- Reglamento (UE) 2024/1689 (EU AI Act) · EUR-Lex. Texto oficial consolidado del reglamento, incluido el capítulo de gobernanza y régimen sancionador.
- Regulatory framework on AI · Comisión Europea. Página oficial de la Comisión sobre supervisión, gobernanza y el papel de la Oficina Europea de IA.
- AESIA · Agencia Española de Supervisión de la Inteligencia Artificial. Autoridad nacional competente para la supervisión y sanción del AI Act en España.
