Saltar al contenido principal
Didit recauda 7,5M $ para construir la infraestructura para identidad y fraude
Didit
Volver al blog
Blog · 16 de abril de 2026

Cumplimiento en la Era de los LLM: El Nuevo Marco Regulatorio para Plataformas de IA (ES)

Las plataformas de IA están siendo sometidas a la misma disciplina de cumplimiento que los bancos y los intercambios de criptomonedas. Ley de IA de la UE, DSA, RGPD, KYC, AML...

Por DiditActualizado el
compliance-in-the-llm-era.png

Hace cinco años, las obligaciones de cumplimiento de una empresa de IA cabían en una sola página. Una política de privacidad, unos términos de servicio, quizás una cookie banner y, si se era precavido, un acuerdo de procesamiento de datos del RGPD. Eso era todo. La IA se trataba como software, y el software se trataba con ligereza.

En abril de 2026, ese mundo habrá desaparecido.

Una plataforma de IA que se lance hoy opera dentro de un marco regulatorio superpuesto que incluye la Ley de IA de la UE, la Ley de Servicios Digitales, el RGPD, normas específicas del sector (finanzas, salud, educación), controles de exportación, mandatos de verificación de edad, requisitos de procedencia del contenido y, cada vez más, obligaciones de estilo KYC/AML explícitas sobre quién puede acceder a los modelos y qué pueden hacer con ellos. El reciente despliegue de Anthropic de la verificación por pasaporte y selfie en Claude es un síntoma visible de este cambio. No será el último.

Este artículo describe el marco de cumplimiento en el que operan ahora las empresas de IA, explica qué ha cambiado en los últimos 18 meses y presenta una arquitectura práctica para construir un producto que pueda resistir el escrutinio regulatorio sin destruir la experiencia del desarrollador.

Lo que ha cambiado

Ocurrieron cuatro cosas, aproximadamente en paralelo, entre finales de 2024 y principios de 2026.

En primer lugar, los reguladores se pusieron al día. La Ley de IA de la UE entró en vigor en un despliegue por etapas a partir de agosto de 2024, con obligaciones para los modelos de IA de propósito general a partir de agosto de 2025 y obligaciones para los sistemas de alto riesgo a partir de agosto de 2026. El Reino Unido creó el Instituto de Seguridad de la IA con acuerdos formales de prueba. La orden ejecutiva de EE. UU. sobre la IA creó umbrales de información para grandes ejecuciones de entrenamiento. Brasil, Japón, Corea del Sur, Singapur y los EAU publicaron marcos de IA. China ya había exigido la verificación de identidad para la IA generativa desde 2023.

En segundo lugar, las plataformas de IA se volvieron sistémicamente importantes. Claude, ChatGPT, Gemini y Grok ahora se encuentran en el flujo de trabajo de decenas de millones de empleados de empresas y cientos de millones de consumidores. Esa escala desencadena las obligaciones de la "plataforma en línea muy grande" (VLOP) de la Ley de Servicios Digitales en la UE, los regímenes de protección al consumidor en múltiples jurisdicciones y la gravedad general de "si falla, fallará mucho".

En tercer lugar, los vectores de abuso maduraron. El fraude con deepfakes, la clonación de voz, el phishing automatizado, la creación de identidades sintéticas, la destilación de modelos, la extracción de derechos de autor, la generación de CSAM, las estafas con agentes... todo pasó de ser una prueba de concepto a operaciones industriales. Todos los reguladores tienen ahora una lista de incidentes reales a los que apuntar al redactar las normas.

En cuarto lugar, la industria se quedó sin excusas. Durante la mayor parte de 2023 y 2024, las empresas de IA argumentaron con éxito que la autorregulación y los compromisos voluntarios eran suficientes. A partir de 2026, con evidencia clara de la destilación a escala industrial, el fraude con deepfakes que alcanzan miles de millones de pérdidas anuales y los chatbots de IA implicados en suicidios de adolescentes y estafas de suplantación de identidad, ese argumento ya no es válido.

El resultado es que el cumplimiento de la IA ya no es un pensamiento posterior al producto. Es una preocupación arquitectónica, a la par con la escalabilidad y la seguridad.

El marco regulatorio en 2026

Una plataforma de IA que opera en los principales mercados ahora tiene que gestionar las siguientes capas simultáneamente.

Ley de IA de la UE

La primera ley integral de IA en vigor. Obligaciones clave por categoría:

  • Modelos de IA de propósito general (GPAI): documentación de transparencia, resúmenes de datos de entrenamiento, política de derechos de autor, documentación técnica disponible para los implementadores posteriores. Los modelos con "riesgo sistémico" (entrenados por encima del umbral de 10^25 FLOP) enfrentan obligaciones adicionales: evaluación de riesgo sistémico, red-teaming, notificación de incidentes graves, protecciones de ciberseguridad.
  • Sistemas de IA de alto riesgo: sistemas de gestión de riesgos, gobernanza de datos, documentación técnica, mantenimiento de registros, supervisión humana, requisitos de precisión y robustez, seguimiento posterior a la comercialización. Se aplica a la IA en el empleo, el crédito, los seguros, la educación, la infraestructura crítica, la aplicación de la ley y más.
  • IA de riesgo limitado (chatbots, deepfakes): obligaciones de transparencia: los usuarios deben saber que están interactuando con la IA, y el contenido sintético debe estar etiquetado.
  • IA prohibida: puntuación social, identificación biométrica en tiempo real en espacios públicos (con excepciones limitadas), reconocimiento de emociones en el lugar de trabajo/educación, policía predictiva basada únicamente en perfiles, raspado de reconocimiento facial no dirigido.

Las sanciones ascienden hasta el 7% de la facturación anual mundial por IA prohibida, el 3% por otras infracciones.

Ley de Servicios Digitales (DSA)

Se aplica a cualquier plataforma en línea que sirva a usuarios de la UE. Los chatbots de IA con una escala significativa desencadenan las obligaciones de la "plataforma en línea muy grande" (VLOP): evaluaciones de riesgo sistémico, auditorías independientes, informes de transparencia, acceso a datos para investigadores, obligaciones de moderación de contenido, mecanismos de respuesta a crisis. Sanción máxima: el 6% de la facturación mundial.

RGPD

Sigue siendo el régimen de privacidad fundamental para cualquier producto de IA que toque datos personales de la UE. Puntos de presión específicos de la IA:

  • Base legal para los datos de entrenamiento. El scraping de contenido web público para el entrenamiento de modelos está actualmente en litigio en múltiples jurisdicciones de la UE.
  • Derecho al borrado. ¿Cómo se "borra" a una persona de un modelo entrenado? El cumplimiento de esto aún está surgiendo.
  • Toma de decisiones automatizada (Artículo 22). Se activa cuando los resultados de la IA afectan materialmente a las personas. Requiere opciones de revisión humana.
  • Minimización de datos. Difícil de conciliar con el entrenamiento de modelos fundacionales en conjuntos de datos masivos.

La EDPB (Consejo Europeo de Protección de Datos) emitió un dictamen en diciembre de 2024 aclarando algunos de estos puntos, pero el cumplimiento es desigual entre los Estados miembros y está en curso.

Normas específicas del sector

La IA utilizada en sectores regulados automáticamente recoge las obligaciones del sector:

  • Finanzas: MiFID II, PSD2/PSD3, directrices de la EBA sobre la IA en la calificación crediticia, orientación de la FINRA sobre la IA, circulares de la CFPB sobre la discriminación algorítmica
  • Salud: MDR (reglamento de dispositivos médicos de la UE) para la IA de diagnóstico, orientación de la HIPAA y la FDA en los EE. UU.
  • Educación: leyes de protección de datos de los estudiantes (FERPA en los EE. UU., leyes estatales)
  • Empleo: Ley Local de Nueva York 144, categoría de alto riesgo de la Ley de IA de la UE para las herramientas de contratación, orientación de la EEOC sobre la discriminación algorítmica
  • Seguros: modelo de boletín de la NAIC sobre la IA, regulación estatal

Una plataforma de IA que permite a los clientes empresariales desplegarse en cualquiera de estos sectores asume una parte de la obligación.

Controles de exportación

La IA es de doble uso. EE. UU. ha controlado la exportación de GPU avanzadas desde 2022, ha ampliado los controles a los pesos de los modelos bajo umbrales de capacidad específicos y mantiene restricciones en la Lista de Entidades sobre el acceso a la tecnología de IA de EE. UU. por parte de actores extranjeros específicos. La UE tiene controles de exportación sobre artículos de doble uso, incluida la IA, en virtud del Reglamento de la UE sobre artículos de doble uso. Esto se manifiesta como una obligación de cumplimiento en a quién puede venderse el acceso a la API, qué clientes superan las comprobaciones de sanciones y qué modelos se pueden desplegar en qué jurisdicciones.

KYC, AML y controles de acceso

La última adición al marco, y la que menos preparada está la mayoría de las empresas de IA. Factores:

  • Políticas de escala responsable de los laboratorios de vanguardia (ASL-3 y superiores requieren KYC)
  • Defensa contra ataques de destilación (ver la divulgación de Anthropic en febrero de 2026)
  • Comprobación de controles de exportación (requiere clientes identificados)
  • Prevención de abusos (CSAM, mejora de armas, fraude)
  • Convergencia regulatoria con fintech (la infraestructura de IA se trata cada vez más como infraestructura financiera)

El resultado práctico es que las plataformas de IA están construyendo programas KYC: verificación de identidad, comprobación de sanciones, comprobación de la propiedad beneficiaria, seguimiento de actividades sospechosas, que se parecen mucho a los que ya ejecutan las fintech y los intercambios de criptomonedas.

Verificación de la edad

Se está convirtiendo rápidamente en obligatoria en los principales mercados. La Ley de Seguridad Online del Reino Unido, las implementaciones de los Estados miembros de la UE de la clasificación por edad del contenido, las leyes estatales de EE. UU. (Utah, Louisiana, Texas y otros), y las políticas de las plataformas como los requisitos de la App Store de Apple, apuntan en la misma dirección: los productos con contenido para adultos, servicios financieros, elementos de diseño adictivos o riesgos importantes para los menores deben verificar la edad.

Para los chatbots de IA, esto se manifiesta como el acceso con clasificación por edad a ciertas capacidades, protecciones en torno a las interacciones de los menores y, en algunas jurisdicciones, prohibiciones de ciertos comportamientos del modelo en presencia de usuarios menores de edad.

Procedencia y marca de agua del contenido

La Ley de IA de la UE exige que el contenido sintético esté etiquetado. La orden ejecutiva de EE. UU. sobre la IA pidió al NIST que desarrollara normas de autenticación de contenido. La especificación C2PA (Coalition for Content Provenance and Authenticity) se está convirtiendo en una norma de facto de la industria. Se espera que las plataformas de IA que generen imágenes, audio y vídeo incrusten señales de procedencia criptográficas en los resultados.

La arquitectura de cumplimiento que funciona

Si está construyendo un producto de IA en 2026, el marco de cumplimiento anterior puede ser paralizante. No tiene por qué serlo. La idea clave: el cumplimiento de la IA es un problema arquitectónico, no un problema de políticas. Las políticas escritas, los avisos de privacidad y los DPA son necesarios, pero no son suficientes. Los controles deben estar integrados en el producto.

Esta es la arquitectura mínima que funciona para una plataforma de IA moderna.

Capa de identidad y acceso

Cada usuario, cada sesión, cada llamada a la API fluye a través de una capa que sabe:

  • Quién es el usuario (nivel de verificación)
  • Dónde se encuentra (jurisdicción)
  • Qué nivel de acceso tiene (gratuito, de pago, empresarial, con capacidades limitadas)
  • ¿Cómo es su perfil de riesgo (comportamental, histórico, del dispositivo)?

Esta es la misma capa que gestiona el KYC, la comprobación de AML, la verificación de sanciones, la verificación de la edad y la comprobación de los controles de exportación. Construyalo una vez, intégralo en todas las superficies del producto.

Componentes técnicos:

  • Verificación de documentos con detección de vivacidad en las actualizaciones de nivel
  • Comprobación de sanciones, PEP y medios adversos en la creación de la cuenta
  • Huella digital del dispositivo y supervisión del comportamiento para la puntuación continua del riesgo
  • Supervisión continua con desencadenantes de nueva verificación

Didit es un proveedor construido para exactamente esta forma: pago por comprobación, cobertura mundial, verificación rápida, API nativa de la IA.

Capa de seguridad del contenido

Filtrado de entradas, filtrado de salidas, detección de abusos, escaneo de CSAM, protección de derechos de autor y señales de procedencia del contenido. Aquí es donde la seguridad del modelo se une a la obligación reglamentaria. Capacidades específicas:

  • Clasificación de indicaciones para categorías de abuso (CSAM, mejora de armas, fraude, autolesiones)
  • Clasificación de salidas que coincida con las mismas categorías
  • Coincidencia de hash con contenido conocido como malo (NCMEC, bases de datos de derechos de autor)
  • Marca de agua y procedencia C2PA para medios generados
  • Conjunto de regresión de red-team para jailbreaks conocidos

Capa de auditoría e informes

Los reguladores exigen cada vez más informes estructurados. Construya la infraestructura de registro de auditoría para admitirla desde el primer día:

  • Cada decisión con un impacto material registrada con entradas, salidas, versión del modelo, indicación y nivel de usuario
  • Tubería de informes de incidentes conectada a la escalada interna y la presentación reglamentaria externa
  • Generación de informes de transparencia (métricas agregadas y anonimizadas sobre indicadores, prohibiciones, rechazos)
  • Infraestructura de acceso a la investigación para solicitudes de acceso a datos de estilo DSA
  • Paquetes de pruebas listos para la exportación para marcos de cumplimiento específicos (documentación técnica de la Ley de IA de la UE, ISO 42001, SOC 2)

Enrutamiento de jurisdicción

Se aplican diferentes reglas en diferentes lugares. Una base de código única tiene que gestionar:

  • Usuarios de la UE bajo el RGPD, la Ley de IA de la UE, la DSA
  • Usuarios del Reino Unido bajo el RGPD del Reino Unido, la Ley de Seguridad Online, la regulación de la IA del Reino Unido
  • Usuarios de EE. UU. bajo el mosaico estatal (California CCPA/CPRA, la ley de IA de Utah, la Ley de IA de Colorado, la Ley Local de Nueva York 144)
  • Usuarios de Brasil bajo la LGPD y la próxima ley de IA
  • Usuarios de China bajo las normas de la CAC sobre la IA generativa

La capa de cumplimiento enruta las solicitudes, aplica las restricciones jurisdiccionales y gestiona la residencia de los datos. Esto no es opcional para las plataformas globales.

Capa de gobernanza del modelo

Específicamente para los laboratorios de vanguardia, pero cada vez más para cualquier empresa que se construya sobre modelos:

  • Tarjetas de modelo con procedencia de los datos de entrenamiento, resultados de la evaluación, limitaciones conocidas
  • Informes del red-team para modelos de riesgo sistémico
  • Respuesta a incidentes para fallas en el comportamiento del modelo
  • Control de versiones para modelos implementados en contextos regulados
  • Documentación del implementador posterior (las obligaciones de transparencia de la Ley de IA de la UE fluyen a través de la cadena de suministro)

Errores comunes y cómo evitarlos

Tratar el cumplimiento como un documento de política

El error más caro. Un aviso de privacidad bellamente escrito no hace nada si el producto no hace cumplir las reglas descritas en él. Integre el cumplimiento en la arquitectura, luego descríbalo en la política, no al revés.

Suponer que la autoatestación es suficiente

"Los usuarios deben tener más de 18 años" en sus términos de servicio no satisface los mandatos de verificación de la edad. "Los usuarios no deben usar nuestro producto para fines ilegales" no satisface las obligaciones de prevención de CSAM. Necesita verificación, no atestación.

Esperar la claridad regulatoria

Las regulaciones no se están volviendo menos estrictas con el tiempo. Cada ronda de aclaración ha endurecido las obligaciones, no las ha suavizado. Construir para la Ley de IA de la UE de 2025 hoy significa ya estar por detrás de las disposiciones de alto riesgo de 2026. Construya para la interpretación más estricta.

Guardar datos biométricos y de identidad usted mismo

Este es un negocio de custodia especializado y regulado. Si no es un proveedor de KYC, no se convierta en uno por accidente. Utilice un proveedor dedicado (Persona, Onfido, Didit) para los datos de identidad y manténgase en el lado correcto de la línea del controlador de datos/procesador.

Tratar la seguridad y el cumplimiento como elementos separados

Son la misma función, con diferentes audiencias. Su programa de red-team es parte de su documentación de riesgo sistémico de la Ley de IA de la UE. Su clasificador de CSAM es parte de sus obligaciones de la DSA. Su comprobación de sanciones es parte de su postura de control de exportaciones. La gobernanza integrada es eficiente. La gobernanza aislada garantiza las lagunas.

Subestimar el coste de cumplimiento de las ventas empresariales

Los clientes empresariales exigirán pruebas: SOC 2 Tipo II, ISO 27001, ISO 42001 (específico de la IA), acuerdos de procesamiento de datos, listas de subprocesadores, pruebas de residencia de datos jurisdiccionales. No construir estos en el primer año cuesta meses de acuerdos empresariales en el segundo año.

Lo que es bueno en 2026

Una plataforma de IA bien arquitecturada en 2026 tiene, como mínimo:

  • Verificación de identidad basada en el riesgo integrada en todos los límites de nivel y capacidad
  • Comprobación de sanciones y controles de exportación en la creación de la cuenta y de forma periódica
  • Verificación de la edad en cualquier superficie donde los menores se enfrenten a un riesgo material
  • Infraestructura de seguridad del contenido: filtrado de entradas, filtrado de salidas, escaneo de CSAM, marca de agua
  • Registros de auditoría e informes de transparencia capaces de alimentar las presentaciones reglamentarias sin ingeniería heroica
  • Enrutamiento consciente de la jurisdicción y controles de residencia de datos
  • Una función de seguridad y gobernanza que informe a la dirección, integrada con el producto y la ingeniería, no añadida
  • Gobernanza de modelos documentada: tarjetas, evaluaciones, informes de red-team, respuesta a incidentes
  • Debida diligencia del proveedor en cada modelo, herramienta y proveedor de datos de la pila
  • Supervisión activa de los patrones de abuso: destilación, fraude, raspado, suplantación de identidad

Esta es una importante inversión de ingeniería. También es innegociable para cualquier empresa de IA que quiera operar a escala en mercados regulados.

El marco de cumplimiento es el producto

El instinto de los creadores de IA es tratar el cumplimiento como una carga: el impuesto que se paga por enviar su "producto real". En 2026, ese marco es erróneo. El marco de cumplimiento es cada vez más parte del producto. Los clientes empresariales eligen proveedores en función de su postura de cumplimiento. Los reguladores abren las puertas del acceso a los mercados con pruebas de cumplimiento. Los usuarios confían en las plataformas que muestran su trabajo.

Las empresas de IA que ganan en los próximos cinco años serán las que traten el marco de cumplimiento como las empresas de infraestructura tratan el tiempo de actividad: como una preocupación de ingeniería de primera clase, con inversión, herramientas y atención del liderazgo a juego.

El despliegue silencioso de Anthropic de la verificación por pasaporte y selfie en Claude no es una anomalía. Es una vista previa. Todas las plataformas de IA importantes terminarán en el mismo lugar, ya sea por adopción voluntaria o por coerción regulatoria. Las empresas que lleguen primero y lo hagan bien se ganarán una ventaja duradera. Las que esperen pasarán la segunda mitad de la década adaptándose bajo presión.

El cumplimiento no es el enemigo de la innovación de la IA. El abuso sin control, los modelos opacos y la incertidumbre regulatoria sí lo son. Construir el marco descrito anteriormente es la forma en que la industria se gana el derecho a seguir construyendo la próxima generación de capacidad.

---

Didit construye verificación de identidad, cribado de AML e infraestructura de cumplimiento para productos nativos de IA. 220+ países, 14.000+ tipos de documentos, 0,30 $ por verificación, sin mínimos. Empieza gratis o ponte en contacto con el equipo.

are you ready for free kyc.png

Infraestructura para identidad y fraude.

Una API para KYC, KYB, Monitoreo de Transacciones y Detección de Fraude en Wallets. Intégrala en 5 minutos.

Empieza gratisHabla con nosotros
Pide a una IA que resuma esta página
Cumplimiento de IA: Marco Regulatorio | Didit