Ramón Villot, Head of Legal en Facephi.
La Unión Europea hace una retrospección en su marco regulatorio de inteligencia artificial tras detectar las dificultades en su aplicación plena prevista entre 2026 y 2027 para hacer que éste funcione de verdad. El AI Act nació con la promesa de garantizar una inteligencia artificial segura, fiable y respetuosa con los derechos de las personas. Pero durante estos meses de despliegue, muchas empresas -y especialmente las que trabajamos para sectores regulados como el financiero, empresas de gaming u hospitality- nos hemos encontrado con una realidad evidente: escaseaban criterios uniformes, estándares técnicos y un lenguaje común entre países.
Con este telón de fondo llega la propuesta conocida como Ómnibus Digital. No reescribe el AI Act, pero sí es una apuesta decidida a allanar baches en el camino de la aplicación. Supone un cambio de rumbo: Europa no renuncia a la protección ni a la exigencia, pero reconoce que, sin mecanismos que permitan innovar con seguridad, muchas tecnologías clave estaban quedándose bloqueadas. Y lo hace en un momento clave, en el que el fraude financiero crece y adopta técnicas que evolucionan a la misma velocidad que la propia tecnología.
En un sector como el nuestro, centrado en la verificación de identidad y prevención del fraude, este ajuste regulatorio es relevante. Contar con herramientas capaces de anticiparse a los ataques y detectar patrones sospechosos es fundamental, pero sin una guía clara sobre cómo evaluarlas o demostrar su cumplimiento normativo, muchas organizaciones no se atrevían a dar el paso.
Una de las novedades que más interés ha generado es la creación de un sandbox europeo gestionado por la AI Office. De hecho, más del 70 % de las empresas europeas considera la incertidumbre regulatoria como el principal obstáculo para la adopción de IA, mientras que alrededor de un 60 % de las pymes carece de recursos para navegar el complejo marco normativo europeo, según el Instituto AI for Sustainability de ESSCA School of Management y Forvis Mazars.
La propuesta de ese sandbox europeo gestionado por la IA Office, responde a la solución de esos desafíos, ofreciendo un entorno controlado donde la innovación y el cumplimiento normativo convergen. Un modelo de verificación de identidad o de detección de fraude podía cumplir en un país de la Unión Europea y no en otro. El nuevo sandbox nace para evitar ese desajuste y ofrecer un marco de pruebas unificado, con supervisión directa y cooperación entre autoridades nacionales. Es un movimiento coherente con regulaciones que ya buscan la armonización, como eIDAS2, el EUDI Wallet o el paquete AML.
Pero no se trata solo de probar tecnología. Se trata de que los modelos puedan llegar a producción con criterios claros, auditables y compartidos en toda la Unión Europea. Para el ecosistema financiero y tecnológico, esta diferencia es fundamental.
El Ómnibus Digital también introduce medidas de simplificación que suponen un cambio de enfoque. Europa parece haber entendido que la supervisión no puede construirse a costa de frenar la innovación, y que exigir responsabilidad sin simplificar los procesos genera más ineficiencias que garantías. El mensaje implícito es claro: cumplir debe ser más sencillo, y la regulación debe acompañar el ritmo al que evolucionan las amenazas digitales. Si los defraudadores se mueven rápido, la regulación también debe hacerlo.
En esa línea, se amplía el margen regulatorio para empresas de tamaño intermedio -las conocidas como small y mid caps-, que representan una parte importante de la innovación tecnológica europea. Este enfoque nos permite centrar los recursos en lo que realmente aporta seguridad y valor, evitando trámites o duplicidades que no mejoran la protección del usuario. La figura del proveedor tecnológico deja paso a la de partner que ayuda a integrar la tecnología dentro de un marco regulatorio cada vez más exigente.
Otro cambio destacado es la posibilidad, bajo condiciones estrictas, de utilizar ciertos datos sensibles para detectar y corregir sesgos. En el contexto de modelos biométricos y sistemas de detección de fraude, donde un sesgo no es solo un problema ético sino también un riesgo operativo, el Ómnibus podría abrir la puerta a nuevas bases jurídicas para el tratamiento de estos datos. Específicamente, parece apuntar hacia la viabilidad del interés legítimo como fundamento legal, al menos en determinados supuestos, sin necesidad de consentimiento previo.
Sin embargo, esta posibilidad estaría sujeta a rigurosos requisitos: un análisis de interés legítimo documentado (LIA), garantías de transparencia hacia los afectados, preservación de sus derechos -especialmente el derecho de oposición-, y una cuidadosa minimización de datos. La proporcionalidad del tratamiento, su carácter necesario y las medidas de mitigación de riesgos seguirían siendo elementos irrenunciables para validar cualquier aplicación en estos términos. En suma, el Ómnibus abre un espacio de mayor flexibilidad, pero lejos de eliminar la exigencia de protección y seguridad jurídica.
En conjunto, lo que plantea es una Europa que empieza a moverse al ritmo de los desafíos que afronta. El fraude financiero no espera y no entiende de fronteras. La innovación para combatirlo tampoco debería hacerlo. Con este paquete legislativo, la Unión Europea envía un mensaje claro: quiere una inteligencia artificial segura, supervisada, justa y útil, y quiere que la regulación deje de ser un freno para convertirse en la base sobre la que construir soluciones más eficaces.
Europa está dando un paso en la dirección correcta. Ahora queda lo más importante: que las empresas, los reguladores y los proveedores tecnológicos aprovechemos esta oportunidad. Porque la inteligencia artificial no es un fin en sí mismo; es una herramienta al servicio de la seguridad y de la confianza. Si el Ómnibus Digital consigue que podamos innovar sin obstáculos, evaluar sin incertidumbre y proteger sin quedarnos atrás, habremos ganado todos: las empresas, las instituciones y, sobre todo, los ciudadanos. En la lucha contra el fraude, cada avance regulatorio cuenta. Y este, por fin, nos permite mirar hacia adelante con más claridad que dudas.
***Ramón Villot es Legal & Compliance Director de Facephi.