Regular el cómputo para regular el poder: ¿por qué Bruselas ha puesto un umbral de FLOPs a la IA generativa?

La UE no solo ha decidido medir la potencia de los modelos de IA en FLOPs: ha convertido esa métrica técnica en un umbral jurídico de “riesgo sistémico” para los modelos GPAI. Detrás de ese número no solo hay chips y clusters, sino barreras de entrada, concentración de mercado y una nueva gramática del poder computacional.

Hay expresiones que parecen puestas en una norma para que el lector jurídico pase página. “Floating-point operations” es una de ellas.

Y, sin embargo, ahí se esconde una de las decisiones más reveladoras del AI Act. Cuando Europa utiliza el cómputo medido en operaciones de coma flotante como base para presumir que un modelo de propósito general puede entrañar riesgo sistémico, no está adornando el Reglamento con jerga técnica. Está intentando resolver un problema regulatorio muy concreto: cómo identificar ex ante que un modelo ya no es solo potente, sino lo bastante capaz, escalable e impactante como para justificar obligaciones reforzadas.

Conviene no deformar el punto de partida. El AI Act no dice que los FLOPs midan por sí solos el poder ni que determinen automáticamente el riesgo sistémico. Lo que hace es más sobrio y más útil: convierte el cómputo acumulado de entrenamiento en un indicador jurídico operativo para activar una presunción. Y cuando el Derecho necesita una presunción, rara vez es por amor a las matemáticas. Es porque necesita ordenar la vigilancia antes de que el daño llegue.

Lo primero: no confundir la unidad con la función

Aquí hay una trampa terminológica en la que es facilísimo caer. FLOP es una operación en coma flotante. FLOPS o FLOP/s es velocidad de cálculo: operaciones por segundo.

Pero el AI Act no está intentando medir cuán rápido corre la máquina. Lo que le interesa es otra cosa mucho más reveladora: el cómputo acumulado de entrenamiento.

Por eso el umbral relevante se expresa como 10^25 FLOP (o FLOPs en plural). No habla del ritmo del hardware, sino del volumen total de operaciones necesario para entrenar el modelo. No está mirando el velocímetro. Está mirando el esfuerzo computacional total invertido.

Y ahí, precisamente, es donde el dato técnico empieza a adquirir densidad jurídica.

Por qué el cómputo importa de verdad

Importa por una razón simple, aunque no simplista.

En términos generales, cuanto mayor es el cómputo disponible, más margen existe para entrenar modelos de gran escala, procesar más datos, iterar más veces y empujar más lejos la frontera de capacidades. No de forma automática ni lineal, y desde luego no con la ingenuidad de pensar que más compute equivale siempre a mejor modelo. Pero sí con una correlación suficiente como para que el legislador la tome en serio.

Ésa es la lógica del AI Act. No se regula el cómputo porque cada operación matemática sea peligrosa, sino porque, a cierta escala, el cómputo acumulado funciona como un proxy razonable de capacidad emergente, escalabilidad e impacto potencial.

No se cuenta por contar. Se cuenta porque, cuando el presupuesto computacional alcanza determinadas magnitudes, es más probable que el modelo adquiera capacidades de alto impacto y que su despliegue genere riesgos cuya gestión ya no puede dejarse a la pura autorregulación del proveedor.

(Imagen: E&J)

Lo que dice realmente el AI Act

El Reglamento establece una presunción de que un modelo GPAI presenta capacidades de alto impacto y, por tanto, puede ser clasificado como modelo de propósito general con riesgo sistémico cuando el cómputo acumulado utilizado para su entrenamiento supera el umbral de 10^25 operaciones de coma flotante.

Ese punto importa por dos razones:

La primera, porque el umbral no funciona como una condena automática. Opera como una presunción rebatible. El proveedor debe notificar a la Comisión cuando se alcanza (o cuando sabe que se va a alcanzar) ese umbral, pero puede tratar de demostrar que, pese a superarlo, el modelo no presenta capacidades equivalentes a las de los más avanzados o no entraña riesgo sistémico.

La segunda, porque la Comisión conserva margen para designar como sistémico un modelo que no alcance ese umbral si, atendiendo a sus capacidades, alcance, escalabilidad o impacto equivalente, considera que debe tratarse como tal.

Éste es uno de los matices más finos del sistema: el AI Act utiliza el umbral para estructurar la supervisión, pero no entrega el juicio regulatorio entero a una sola cifra.

Qué intenta medir de verdad ese umbral

La norma no afirma expresamente que esté regulando “poder estructural computacional”. Ésa es una lectura analítica. Pero es una lectura seria.

Porque, en la práctica, alcanzar ese nivel de cómputo no es solo una cuestión técnica. Es también una cuestión industrial, económica y geopolítica.

Entrenar modelos en ese rango exige acceso a chips avanzados, nube a gran escala, energía, redes, talento muy especializado y capital suficiente para sostener costes fuera del alcance de la mayoría.

Dicho sin maquillaje: no todo el mundo puede jugar esta partida.

Y cuando no todo el mundo puede jugarla, el cómputo deja de ser una variable neutra y empieza a funcionar también como indicador indirecto de concentración de capacidad, barreras de entrada y dependencia infraestructural.

Obligaciones reforzadas y lógica de diligencia

Si el modelo queda clasificado como GPAI con riesgo sistémico, no entra en una categoría simbólica. Entra en un régimen reforzado.

Ahí aparecen obligaciones adicionales de evaluación, gestión y mitigación de riesgos sistémicos, seguimiento de incidentes graves y medidas adecuadas de ciberseguridad, incluidas las relativas a la infraestructura física del modelo.

La lógica subyacente es reconocible para cualquier jurista: a mayor escala del riesgo, mayor intensidad de diligencia exigible.

No se trata de castigar al actor más grande por ser grande, sino de asumir que, cuando el alcance potencial del daño es transfronterizo, transversal o difícilmente reversible, el estándar de control no puede ser el mismo que para modelos ordinarios.

(Imagen: E&J)

Por qué el umbral de cómputo no basta por sí solo

Ahora bien, quedarse solo con el umbral sería entender el mecanismo, pero no el problema.

Porque el cómputo no mide por sí solo la calidad del modelo, ni su adopción efectiva, ni su inserción en sectores sensibles, ni su capacidad real de causar daño, ni el impacto social derivado de su integración masiva.

Tampoco captura bien, por sí solo, los avances en eficiencia algorítmica o el efecto del fine-tuning posterior.

Por eso el AI Act no se agota en el umbral. Atiende también a otros elementos como:

• Las capacidades del modelo
• El alcance en el mercado
• La escalabilidad
• El número de usuarios
• Las modalidades de entrada y salida
• Los benchmarks

Todos ellos permiten valorar si el impacto puede ser equivalente al de los modelos más avanzados.

Entonces, ¿qué está haciendo Europa?

Europa no está diciendo que una cifra técnica resuelva por sí sola la gobernanza de la IA.

Lo que está haciendo es identificar un punto a partir del cual la escala computacional acumulada ofrece razones suficientes para activar una vigilancia reforzada sobre ciertos modelos de propósito general.

Ésa es la capa normativa.

La lectura estratégica va un paso más allá: al elegir ese proxy, el AI Act no solo intenta anticipar riesgo tecnológico. También roza una cuestión más profunda:

• Quién puede construir
• Quién puede escalar
• Quién puede condicionar
• Y quién tendrá que responder cuando el impacto deje de ser hipotético

Conclusión

Los FLOPs en el AI Act cumplen una función decisiva: traducen una magnitud técnica en una señal regulatoria de alerta temprana.

Eso no significa que Europa haya encontrado una fórmula perfecta, sino que ha reconocido que, en la era de los modelos de propósito general, el cómputo ya no puede tratarse como un detalle técnico sin relevancia jurídica.

Porque, cuando la capacidad computacional alcanza cierta escala, ya no estamos hablando solo de ingeniería.

Estamos hablando de poder.