El EU AI Act Q2 2026: la Comisión Europea aclara, discretamente, el encaje legal de los agentes de IA

La pregunta llevaba meses sobrevolando cada foro y grupo de trabajo sobre regulación tecnológica en Europa: ¿están los agentes de inteligencia artificial cubiertos por el AI Act? A fecha de 13 de abril de 2026, la respuesta consta en fuente oficial. El AI Act Service Desk, la plataforma gestionada por DG CONNECT para apoyar la aplicación del Reglamento, incluye dos respuestas sobre cómo encajan los agentes de IA en el marco del Reglamento (UE) 2024/1689. Lo hace a menos de cuatro meses del 2 de agosto de 2026, fecha de aplicación general de las obligaciones más exigentes, y en plena explosión de herramientas agénticas, como CrewAI, Devin, OpenAI Agents SDK o Microsoft Copilot Agents, que están transformando cómo las empresas integran la IA. El propio EDPS identificó la IA agéntica como una de las seis tendencias en su informe TechSonar 2025-2026, y la Comisión publicó en enero de 2026 un informe específico sobre el potencial y los riesgos de estos sistemas.

Subsunción, no creación: el enfoque de la Comisión

El mensaje central es inequívoco: los agentes de IA no constituyen una categoría jurídica separada. Las definiciones de «sistema de IA» (artículo 3, apartado 1) y «modelo de IA de propósito general» (artículo 3, apartado 63) son suficientes para abarcarlos. Todas las normas sobre sistemas de IA y modelos GPAI se extienden a los agentes sin necesidad de reforma legislativa.

El razonamiento se ancla en el considerando 97, que establece que los modelos requieren componentes adicionales, «como, por ejemplo, una interfaz de usuario», para convertirse en sistemas de IA. Dado que un agente contiene, «por lo general», al menos un modelo GPAI y algún tipo de interfaz, encaja en la definición de sistema. Pero el Service Desk reconoce los límites al usar el cualificador «por lo general» (typically), admitiendo que «agente de IA» carece de definición legal y designa artefactos muy distintos.

No debe pasar desapercibido el disclaimer explícito: las consideraciones son «por el momento, preliminares». Es una reserva de competencia deliberada que deja la puerta abierta a intervenciones futuras. De hecho, la FAQ menciona que la licitación de la Oficina de IA sobre seguridad incluía un lote dedicado a agentes para evaluaciones agénticas. La Comisión no solo interpreta, también está dedicando recursos a evaluar los riesgos específicos de lo agéntico.

(Imagen: Pablo Sáez)

Mapa de obligaciones: qué se aplica y cuándo

La clarificación permite trazar cuatro niveles de obligaciones.

Las prohibiciones del artículo 5, apartado 1, letras a) y b), manipulación nociva y explotación de vulnerabilidades, están en vigor desde el 2 de febrero de 2025 (artículo 113, letra a). La FAQ señala que su cumplimiento puede exigir salvaguardias en el diseño de los agentes. Esto ya es exigible, sin excepciones temporales.

A partir del 2 de agosto de 2026, si un agente se clasifica como sistema de IA de alto riesgo conforme a los supuestos del Anexo III, quedará sujeto al Capítulo III completo: sistema de gestión de riesgos, supervisión humana, calidad y gobernanza de datos, documentación técnica, registro en la base de datos de la UE y evaluación de conformidad previa a la introducción en el mercado. Si el agente está destinado a interactuar con personas físicas o a generar contenido, se aplicarán las obligaciones de transparencia del artículo 50, cuyo Código de Buenas Prácticas se encuentra aún en fase de segundo borrador, publicado el 5 de marzo de 2026, sin versión final a la fecha.

Respecto a los modelos GPAI subyacentes, el Anexo XIII, punto e) incluye expresamente entre sus criterios el «nivel de autonomía y escalabilidad» y «las herramientas a las que tiene acceso». Estos factores pueden clasificar el modelo como de riesgo sistémico (artículo 51.1.b), activando obligaciones reforzadas ya operativas a través del Código de Buenas Prácticas GPAI, publicado en versión final el 10 de julio de 2025.

(Imagen: Pablo Sáez)

Las zonas grises: lo que el ‘Service Desk’ no resuelve

La clarificación presenta vacíos significativos. El primero afecta a los agentes sin interfaz directa con humanos: agentes backend, máquina a máquina u orquestadores. El considerando 97 usa la expresión «como, por ejemplo» (such as), lo que apoya una lectura no taxativa, la interfaz de usuario sería un ejemplo de componente, no el único. Pero el encaje inequívoco de agentes sin interacción humana permanece como zona gris.

El segundo vacío es la distribución de responsabilidades en cadenas multi actor. El AI Act define roles, proveedor y responsable del despliegue, pero trasladarlos a arquitecturas agénticas modulares, proveedor del modelo GPAI, desarrollador del marco agéntico, integrador y responsable del despliegue, requerirá trabajo contractual y guías adicionales de la Oficina de IA.

Es imprescindible, además, calibrar la naturaleza jurídica de estas FAQ. El legal notice del Service Desk declara que la información «no constituye asesoramiento profesional o jurídico» y que solo el Diario Oficial produce efectos jurídicos. Estamos ante orientación administrativa con valor práctico, como anticipo de criterios de supervisión, pero no ante un instrumento vinculante.

Por último, la conexión con la Directiva (UE) 2024/2853 sobre responsabilidad por productos defectuosos, cuya transposición vence el 9 de diciembre de 2026, abre un frente adicional: esta norma incluye los programas informáticos, y los sistemas de IA, dentro del concepto de «producto» a efectos de responsabilidad objetiva. La interacción entre este régimen de responsabilidad civil y las obligaciones del AI Act para agentes autónomos será uno de los debates jurídicos más complejos que se avecinan.

(Imagen: Pablo Sáez)

España: Anteproyecto, AESIA y el efecto amplificador

La confirmación amplifica el ámbito del Anteproyecto de Ley para el buen uso y la gobernanza de la IA, aprobado como anteproyecto por el Consejo de Ministros el 11 de marzo de 2025. Su régimen sancionador prevé, para prácticas de IA prohibidas, multas de hasta 35 millones de euros o el 7% del volumen de negocio mundial (artículo 13). La AESIA, designada como punto de contacto único (artículo 6.2), ha venido publicando guías y materiales de orientación al cumplimiento, aunque no consta aún una guía específica sobre agentes de IA.

Qué deben hacer las empresas ahora

El mensaje es directo: toda empresa que desarrolle o despliegue agentes de IA en Europa debe, como mínimo, auditar si sus sistemas podrían incurrir en las prohibiciones del artículo 5, ya en vigor. El riesgo típico en agentes es doble: manipulación mediante técnicas engañosas (artículo 5.1.a) y explotación de vulnerabilidades (artículo 5.1.b), las dos prohibiciones que la Comisión destaca expresamente. A medio plazo, la preparación para agosto de 2026 exige un inventario donde el objeto de control no sea la etiqueta comercial, sino los elementos legales: autonomía, inferencia, salidas que influyen en entornos y componentes adicionales. Hay que diseñar salvaguardias de uso de herramientas, registro de llamadas a funciones, límites de autonomía y mecanismos de control, revisar contratos de cadena de valor y documentar evidencias de cumplimiento.

La empresa que espere a reformas futuras, como el Digital Omnibus, cuyo procedimiento legislativo sigue abierto y respecto del cual el Consejo ha fijado posición, llegará tarde. El marco normativo ya existe, la interpretación oficial ha empezado a concretarlo y la Oficina de IA ya financia la evaluación de seguridad de lo agéntico. El régimen jurídico definitivo de los agentes de IA, con la claridad y granularidad que exige su complejidad tecnológica, aún está por construirse, pero la ventana para prepararse se cierra rápidamente.

(Imagen: Pablo Sáez)