Los agentes de IA, generativos o no, quedan plenamente cubiertos por el Reglamento europeo sin necesidad de crear una categoría jurídica específica.
La pregunta llevaba meses instalada en el debate regulatorio europeo: ¿qué lugar ocupan los agentes de inteligencia artificial dentro del AI Act? La respuesta ha llegado sin grandes anuncios, pero con consecuencias directas para empresas y desarrolladores. A fecha de 13 de abril de 2026, el AI Act Service Desk, la plataforma gestionada por la Dirección General de Redes de Comunicación, Contenido y Tecnologías (DG CONNECT), ha aclarado en su sección de preguntas frecuentes que los agentes de IA están incluidos en el ámbito del Reglamento (UE) 2024/1689. La interpretación se recoge en este análisis jurídico detallado, de José Morato (Delvy) y Pablo Sáez Hurtado (Delvy y presidente de la comisión joven de Enatic).
La aclaración llega en un momento especialmente sensible. Faltan menos de cuatro meses para el 2 de agosto de 2026, fecha en la que entran en vigor las obligaciones más exigentes del reglamento, y coincide con la expansión acelerada de sistemas agénticos como CrewAI, Devin, OpenAI Agents SDK o Microsoft Copilot Agents, que están redefiniendo la forma en que las organizaciones integran la inteligencia artificial en sus procesos.
Subsunción jurídica: la clave del enfoque europeo
El mensaje de la Comisión Europea es claro: no habrá una nueva categoría legal para los agentes de IA. En su lugar, estos sistemas se integran dentro de las definiciones ya existentes de “sistema de IA” y “modelo de IA de propósito general” (GPAI). Es decir, el marco normativo vigente es suficiente para abarcar esta nueva generación tecnológica.
El razonamiento jurídico se apoya en el considerando 97 del reglamento, que establece que los modelos de IA requieren componentes adicionales —como interfaces de usuario— para convertirse en sistemas completos. Un agente de IA, que normalmente combina un modelo con capacidades de interacción y ejecución, encaja así dentro de esa definición.
Sin embargo, la Comisión introduce una matización relevante: utiliza el término “por lo general”. Este matiz reconoce implícitamente que no existe una definición legal cerrada de “agente de IA” y que el concepto engloba arquitecturas muy diversas, desde asistentes conversacionales hasta sistemas autónomos que operan sin interacción humana directa.
Además, el propio Service Desk advierte que sus interpretaciones son preliminares. Este disclaimer no es menor: indica que Bruselas mantiene margen para futuras intervenciones regulatorias y que el encaje actual podría evolucionar conforme avance la tecnología y la práctica supervisora.
Cuatro niveles de obligaciones: un mapa operativo
La clarificación permite estructurar el impacto normativo en cuatro niveles diferenciados.
En primer lugar, las prohibiciones absolutas del artículo 5 ya están en vigor desde febrero de 2025. Esto incluye prácticas como la manipulación nociva o la explotación de vulnerabilidades. En el caso de los agentes, esto implica que su diseño debe incorporar salvaguardias desde el inicio. No es una obligación futura: es un requisito actual.
En segundo lugar, a partir de agosto de 2026, los agentes que sean clasificados como sistemas de alto riesgo deberán cumplir con el régimen completo del Capítulo III. Esto incluye sistemas de gestión de riesgos, supervisión humana efectiva, calidad de datos, documentación técnica y evaluación de conformidad antes de su comercialización.
En tercer lugar, se aplican obligaciones de transparencia cuando el agente interactúa con personas o genera contenido. El artículo 50 introduce requisitos específicos que aún están en fase de desarrollo a través del Código de Buenas Prácticas, cuyo borrador sigue sin versión definitiva.
En cuarto lugar, los modelos GPAI subyacentes pueden ser considerados de riesgo sistémico si presentan altos niveles de autonomía, escalabilidad o acceso a herramientas externas. En ese caso, se activan obligaciones reforzadas ya operativas bajo el marco del código GPAI publicado en julio de 2025.
Las zonas grises: donde empieza la incertidumbre
Pese a la aparente claridad, el encaje jurídico de los agentes deja abiertas varias zonas grises.
La primera afecta a los agentes sin interfaz humana directa. Sistemas backend, orquestadores o agentes máquina a máquina no encajan de forma evidente en el esquema clásico de interacción. Aunque el reglamento permite una interpretación amplia, la falta de precisión genera incertidumbre.
La segunda cuestión crítica es la asignación de responsabilidades. Los ecosistemas agénticos suelen implicar múltiples actores: proveedores de modelos, desarrolladores de frameworks, integradores y empresas usuarias. El AI Act define roles como proveedor y responsable del despliegue, pero trasladarlos a arquitecturas modulares no es trivial.
A ello se suma la naturaleza no vinculante de las FAQ del Service Desk. Aunque ofrecen orientación práctica, no tienen valor jurídico directo. Solo el texto publicado en el Diario Oficial de la Unión Europea tiene efecto normativo. Esto obliga a las empresas a interpretar con cautela y anticipación.
El factor responsabilidad: el siguiente frente legal
El debate no se limita al AI Act. La Directiva (UE) 2024/2853 sobre responsabilidad por productos defectuosos, cuya transposición finaliza en diciembre de 2026, introduce un elemento adicional: los sistemas de IA se consideran productos a efectos de responsabilidad objetiva.
Esto abre un escenario complejo. Si un agente autónomo causa un daño, ¿quién responde? ¿El desarrollador del modelo, el integrador o la empresa que lo despliega? La interacción entre responsabilidad civil y regulación tecnológica será uno de los puntos más delicados del nuevo marco europeo.
España: efecto multiplicador regulatorio
En el caso español, la aclaración europea amplifica el alcance del anteproyecto de ley sobre gobernanza de la IA aprobado en marzo de 2025. Este texto prevé sanciones de hasta 35 millones de euros o el 7% del volumen de negocio global en caso de incumplimiento.
La Agencia Española de Supervisión de la Inteligencia Artificial (AESIA) se configura como actor clave en este proceso, aunque todavía no ha publicado guías específicas sobre agentes. Su papel será determinante para traducir el marco europeo en criterios operativos.
Qué deben hacer las empresas
El margen de reacción se reduce. Las organizaciones que desarrollen o utilicen agentes de IA en Europa deben actuar ya en tres frentes.
Primero, auditar sus sistemas para verificar si incurren en prácticas prohibidas. Segundo, identificar si sus soluciones pueden clasificarse como de alto riesgo. Y tercero, preparar la documentación, gobernanza y controles necesarios para cumplir con las exigencias de agosto de 2026.
El foco debe ponerse en los elementos jurídicamente relevantes: autonomía, capacidad de inferencia, impacto en el entorno y uso de herramientas externas. No basta con etiquetar el sistema como “agente”: hay que entender su comportamiento real.
Además, será imprescindible revisar contratos en la cadena de valor, definir responsabilidades y establecer mecanismos de control y trazabilidad, especialmente en entornos donde los agentes operan con cierto grado de autonomía.
Un marco en construcción, una urgencia real
El régimen jurídico de los agentes de IA aún no está completamente definido. Pero el mensaje de la Comisión es inequívoco: no habrá pausa regulatoria. El marco ya existe y empieza a aplicarse.
La estrategia europea no pasa por legislar cada nueva categoría tecnológica, sino por adaptar principios existentes a nuevas realidades. Esto aporta estabilidad jurídica, pero exige a las empresas una mayor capacidad de interpretación y anticipación.
Quien espere a futuras reformas llegará tarde. La ventana de adaptación se está cerrando, y el cumplimiento ya no es una opción estratégica, sino una condición operativa para competir en el mercado europeo.
