AI Act y legal tech en private credit: lo que realmente cambia en 2026

Un calendario de aplicación que se ha vuelto inestable

El reglamento europeo sobre inteligencia artificial entró en vigor el 1 de agosto de 2024. Su aplicación se escalona a lo largo de varios años, con hitos sucesivos. Las prácticas prohibidas (artículo 5) y la obligación de alfabetización en IA (artículo 4) están en vigor desde el 2 de febrero de 2025. Las obligaciones aplicables a los proveedores de modelos de IA de uso general (GPAI) lo están desde el 2 de agosto de 2025. El siguiente gran vencimiento — el que afecta a los sistemas de «alto riesgo» del Anexo III — estaba fijado para el 2 de agosto de 2026.

Esta fecha ya no es del todo segura. El 19 de noviembre de 2025, la Comisión Europea publicó el «Digital Omnibus on AI», un paquete legislativo que propone aplazar la entrada en vigor de las obligaciones de alto riesgo al 2 de diciembre de 2027 para los sistemas autónomos, y al 2 de agosto de 2028 para los sistemas integrados en productos. La motivación oficial es la falta de estándares armonizados y de orientación operativa, que impide a los operadores cumplir en plazo. El segundo trílogo entre el Parlamento, el Consejo y la Comisión se celebró el 28 de abril de 2026 sin acuerdo, y se ha programado un nuevo encuentro para el 13 de mayo de 2026. Si el Omnibus no se adopta formalmente antes del 2 de agosto de 2026, se aplicará el calendario original tal cual.

Para un fondo de deuda privada que despliegue o esté evaluando herramientas de IA jurídica, esta incertidumbre solo admite una lectura pragmática: prepararse como si el plazo de agosto de 2026 fuera firme, y tratar cualquier aplazamiento como un respiro, no como una dispensa.

La lógica del reglamento: el riesgo, no la tecnología

El AI Act no regula la inteligencia artificial en abstracto. Clasifica los sistemas según su nivel de riesgo para los derechos fundamentales y la seguridad, y aplica obligaciones proporcionadas a ese riesgo. Se definen cuatro niveles: riesgo inaceptable (prácticas prohibidas), alto riesgo (Anexo III y determinados productos regulados), riesgo limitado (obligaciones de transparencia) y riesgo mínimo (sin obligaciones específicas).

Esta lógica es importante porque desplaza la pregunta. Una herramienta de IA jurídica no es de alto riesgo porque utilice un modelo de lenguaje potente o porque automatice una tarea de analista. Es de alto riesgo si pertenece a una de las categorías de uso enumeradas en el Anexo III, o si está integrada como componente de seguridad en un producto regulado por la legislación armonizada de la Unión.

Qué hace que un sistema sea «de alto riesgo» en finanzas

El Anexo III enumera ocho ámbitos de uso de alto riesgo. En finanzas, el caso central es inequívoco: se clasifican como de alto riesgo los sistemas de IA destinados a «evaluar la solvencia de personas físicas o establecer su puntuación crediticia, con la excepción de los sistemas de IA utilizados para detectar el fraude financiero». La formulación gira en torno a las personas físicas: es esta precisión la que determina la mayor parte del perímetro para el private credit.

Los fondos de deuda privada prestan a personas jurídicas — empresas respaldadas por private equity, sociedades en crecimiento, vehículos de adquisición. Las herramientas que se utilizan para analizar estas operaciones — extracción de credit agreements, due diligence jurídica, comparación de term sheets, monitorización de covenants, revisión de NDA — no evalúan la solvencia de personas físicas. Tratan datos contractuales de empresas. Por ello, no caen en la categoría de alto riesgo por defecto.

Este análisis lo confirman los comentarios de varios despachos especializados. Goodwin señalaba ya en el verano de 2024 que la clasificación de alto riesgo en finanzas apunta principalmente a los sistemas de credit scoring minorista y a las herramientas de evaluación de elegibilidad para servicios financieros, no a las herramientas de análisis documental utilizadas en B2B. Quedan, no obstante, varias fronteras a vigilar: las operaciones respaldadas por garantías personales, las estructuras con personas físicas como codeudores, o los casos puntuales de préstamos a empresarios individuales. En esos supuestos, una herramienta cuya salida alimente directamente una decisión de solvencia sobre una persona física podría desplazarse al perímetro del Anexo III.

La obligación de autoevaluación y su trampa

El reglamento no solo obliga a los proveedores a cumplir con las obligaciones de alto riesgo cuando son aplicables. También les obliga a documentar su clasificación, tanto si concluye que el sistema es de alto riesgo como si no. El artículo 6(3) introduce una derogación útil: un sistema que figure entre los usos del Anexo III puede no calificarse como de alto riesgo si no presenta un riesgo significativo de perjuicio a la salud, la seguridad o los derechos fundamentales — por ejemplo porque ejecuta una tarea procedimental restringida, mejora el resultado de una actividad humana sin sustituirla, o prepara una evaluación sin decidirla. Esta derogación debe basarse en una evaluación documentada, conservada y a disposición de las autoridades de supervisión.

Para un fondo que utilice una herramienta legal tech en operaciones marginalmente vinculadas a personas físicas, lo que está en juego es menos demostrar la ausencia total de relación con el Anexo III que producir una evaluación argumentada del carácter preparatorio o no decisorio de la herramienta. La documentación forma parte del cumplimiento, incluso cuando la conclusión sea que no se aplica ninguna obligación de alto riesgo.

Las obligaciones que se aplican con independencia de la clasificación de alto riesgo

La atención centrada en el 2 de agosto de 2026 hace olvidar a menudo que una parte significativa del reglamento ya está en vigor y afecta a todos los usuarios profesionales de IA, con independencia de la clasificación de alto riesgo.

El artículo 4 impone desde el 2 de febrero de 2025 una obligación de alfabetización en IA: los proveedores y desplegadores deben adoptar medidas para asegurar un nivel suficiente de conocimiento sobre IA entre su personal, teniendo en cuenta sus funciones, su formación previa y el contexto de uso. Para un fondo de deuda privada que despliega una herramienta de extracción de datos o de análisis de NDA entre sus analistas y su equipo jurídico, esto supone una formación documentada: capacidades, límites, fuentes de error y marco de validación humana.

El artículo 5 enumera las prácticas prohibidas, aplicables a todos desde febrero de 2025: manipulación subliminal, explotación de vulnerabilidades, scoring social, predicción de delitos basada únicamente en perfilado, ciertos usos de datos biométricos. Ninguna de estas prácticas corresponde a un uso normal en private credit, pero la due diligence al proveedor debe verificarlo formalmente.

Desde el 2 de agosto de 2025, los proveedores de modelos de IA de uso general (GPAI) tienen sus propias obligaciones: documentación técnica, política de cumplimiento de los derechos de autor, resumen de los datos de entrenamiento. Estas obligaciones no recaen directamente sobre los fondos que consumen estos modelos a través de herramientas de terceros, pero se trasladan a la due diligence: un proveedor de legal tech que se apoye en un GPAI debe poder demostrar que su proveedor aguas arriba cumple a su vez.

Se añaden las obligaciones de transparencia para los sistemas de riesgo limitado: etiquetado de los contenidos generados por IA, notificación clara cuando un usuario interactúa con un chatbot, marcado de los deepfakes. Estas obligaciones pueden aplicarse de forma marginal a determinadas funcionalidades de las herramientas legal tech — por ejemplo un asistente conversacional integrado o la generación asistida de cláusulas.

El alcance extraterritorial, un punto a menudo descuidado

El AI Act se aplica a los proveedores y desplegadores establecidos en la Unión, pero también a los actores establecidos fuera de la UE cuyas salidas de IA se utilicen en la Unión. Para un fondo europeo que utilice una herramienta legal tech estadounidense o británica, esto significa que el proveedor extranjero está jurídicamente obligado a cumplir desde el momento en que su herramienta se despliegue en territorio europeo. Un número creciente de análisis jurídicos — entre ellos una nota publicada en abril de 2026 por Holland & Knight — subraya que los actores no europeos del mercado de legal tech todavía subestiman ampliamente esta exposición.

En la práctica, esto refuerza un punto ya central de la due diligence al proveedor: un fondo europeo debe obtener de cada proveedor una atestación de conformidad con el reglamento, una documentación de las evaluaciones de riesgo y una cláusula contractual que cubra eventuales incumplimientos.

El AI Act no pide a los fondos de deuda privada que dejen de utilizar la IA jurídica. Les pide que sepan qué utilizan, por qué, con qué garantías, y que puedan demostrarlo.

Una hoja de ruta en cuatro pasos

Para un fondo que quiera prepararse para el plazo de agosto de 2026 — o para el de diciembre de 2027 si se adopta el Omnibus — la estructura de actuación es clara y replicable.

El primer paso es el inventario de los sistemas de IA en uso. Esto incluye las herramientas dedicadas (extracción de credit agreements, comparación de term sheets, monitorización de covenants, revisión de NDA, due diligence jurídica) pero también las funciones de IA integradas en herramientas más generales (Microsoft Copilot, funciones de IA en suites de productividad, asistentes integrados en los ERP). Herramientas como MyClauze, Ontra, Kira o Definely entran en este inventario al mismo título que los componentes de IA de las plataformas de gestión de cartera.

El segundo paso es la clasificación documentada de cada sistema con respecto al Anexo III. La gran mayoría de las herramientas utilizadas en private credit B2B llegará a una clasificación de no-alto-riesgo, pero esa conclusión debe estar respaldada por escrito, apoyándose en la derogación del artículo 6(3) cuando el uso roce un caso del Anexo III.

El tercer paso es la actualización de los contratos con proveedores. Las atestaciones de conformidad, los compromisos de notificación en caso de modificación material del sistema, las cláusulas sobre los datos de entrenamiento y la subcontratación de los modelos GPAI deben figurar de forma explícita en los contratos. Para las herramientas existentes, esto supone un ciclo de renegociación o la firma de adendas.

El cuarto paso es la formación y la gobernanza. La alfabetización en IA no es una mera formalidad: un programa documentado de formación de los usuarios, un procedimiento interno de notificación de incidentes, un responsable de IA identificado y la documentación de los casos de uso validados constituyen el mínimo esperado.

Un marco, no un freno

Leído en su conjunto, el AI Act no introduce una barrera desproporcionada al uso de herramientas legal tech por los fondos de deuda privada. Introduce un marco de disciplina documental que formaliza buenas prácticas que los actores serios ya aplican: conocer las herramientas utilizadas, saber dónde está la frontera entre tarea asistida y decisión automatizada, mantener un bucle de validación humana, contractualizar los compromisos de los proveedores.

El riesgo, para un fondo, no es tanto ser pillado en falta sobre una obligación de alto riesgo que probablemente no se aplica a sus herramientas. El riesgo es llegar a agosto de 2026 — o diciembre de 2027 — sin inventario, sin clasificación documentada, sin formación desplegada. Ese riesgo es tanto más penalizador cuanto que las sanciones previstas por el reglamento alcanzan los 35 millones de euros o el 7 % de la facturación mundial para las prácticas prohibidas, y los 15 millones de euros o el 3 % para las demás infracciones.

El calendario es lo bastante largo para abordar estas etapas sin precipitación. Es lo bastante corto, al ritmo actual de los trílogos, para que un fondo que no haya empezado vaya ya con retraso.