Una convergencia que no admite demora
A finales del 2026 entran en vigor las obligaciones más exigentes del Reglamento Europeo de Inteligencia Artificial (RIA) para los sistemas calificados de alto riesgo, con un régimen sancionador que puede alcanzar los 35 millones de euros o el 7 % del volumen de negocio mundial del infractor. Esta fecha no debe leerse únicamente en clave administrativa: marca el momento en que la inteligencia artificial deja de ser, jurídicamente, un fenómeno emergente para convertirse en un vector estructural de riesgo penal corporativo. La tesis de este artículo es sencilla: el uso —propio o ajeno— de sistemas de IA en la organización reconfigura el mapa de riesgos del artículo 31 bis del Código Penal y obliga a actualizar los modelos de organización y gestión, so pena de que estos pierdan su eficacia exoneratoria.
A esa convergencia normativa se suma un fenómeno de hecho que conviene no ignorar: la denominada Shadow AI. Según el Work Trend Index 2024 de Microsoft, el 78 % de los usuarios de IA en el trabajo emplean herramientas propias sin conocimiento del departamento de tecnología y un 38 % admite haber compartido información sensible. El caso Samsung, en el que varios ingenieros filtraron código fuente de semiconductores a través de ChatGPT, ilustra hasta qué punto la frontera entre uso autorizado y uso clandestino se ha difuminado en la práctica empresarial.
El marco del artículo 31 bis CP ante la IA
El artículo 31 bis CP, consolidado tras la reforma de la LO 1/2015, hace responsable a la persona jurídica por los delitos cometidos en su nombre o por su cuenta, ya sea por sus directivos o representantes legales, ya sea por empleados cuando haya existido un incumplimiento grave de los deberes de supervisión, vigilancia y control. La exoneración exige la adopción y ejecución eficaz, antes del delito, de un modelo de organización y gestión idóneo para prevenirlo o reducir significativamente el riesgo de su comisión.
La irrupción de la IA opera sobre este marco en doble dirección. De un lado, la IA es un aliado del compliance: permite detectar patrones anómalos, monitorizar comunicaciones y operaciones en tiempo real y automatizar controles reduciendo el error humano —lo que la doctrina ha denominado Digital Criminal Compliance—. De otro, y aquí reside el ángulo menos explorado, opera como un nuevo factor criminógeno que reconfigura el catálogo de delitos imputables a la persona jurídica, hoy ya integrado por 41 figuras tras la LO 4/2023.
Los ejemplos son tangibles y crecientes:
Ámbito patrimonial. Las estafas (art. 251 bis CP) se materializan mediante deepfakes de voz o vídeo que suplantan a directivos para autorizar transferencias —el conocido CEO fraud potenciado por IA generativa—, mientras que el blanqueo de capitales (art. 302 CP) puede facilitarse mediante operaciones automatizadas que dificultan la trazabilidad.
Información, datos y secretos. Los delitos de descubrimiento y revelación de secretos (art. 197 quinquies CP) y los daños informáticos (art. 264 quater CP) cobran nueva dimensión cuando agentes autónomos exfiltran información confidencial —el fenómeno shadow-leak que la AEPD ha identificado en sus orientaciones de febrero de 2026 sobre IA agéntica— o cuando empleados introducen datos sensibles en herramientas no gobernadas.
Derechos de los trabajadores. Los delitos contra los derechos de los trabajadores (art. 318 bis CP) pueden activarse por sistemas algorítmicos de selección, evaluación o vigilancia que incurran en discriminación, terreno especialmente sensible porque el RIA califica expresamente estos sistemas como de alto riesgo.
La convergencia con el RIA es estructural: las áreas que el reglamento europeo califica de alto riesgo —empleo, crédito, justicia, salud, infraestructuras críticas, migración— coinciden, en gran medida, con aquellas en que el Código Penal concentra el mayor riesgo de imputación corporativa. Por ello, la lista es extensa y compleja, dependiendo tanto de cada caso de uso identificado como del propio contexto y entorno de riesgo de la organización.
La gobernanza del dato
El artículo 10 del RIA eleva la gobernanza de datos a obligación legal: los sistemas de alto riesgo solo podrán entrenarse con conjuntos de datos pertinentes, suficientemente representativos, lo más exentos posible de errores y completos, sometidos a análisis de sesgos y a procesos documentados de recopilación, etiquetado y depuración. Trasladado al plano penal, este requisito tiene una lectura inequívoca: una gobernanza deficiente del dato y del modelo —entrenamiento con conjuntos sesgados, ausencia de trazabilidad, falta de logs, opacidad explicativa o supervisión humana meramente nominal— puede operar como evidencia objetiva del 'defecto de organización' que la doctrina y la jurisprudencia identifican como fundamento de la condena de la persona jurídica.
El problema de la "caja negra" se torna así crítico. La Circular 1/2016 de la Fiscalía General del Estado advirtió que los programas de cumplimiento no son un "salvoconducto para la impunidad", sino la expresión de una cultura ética. Si las decisiones del sistema son opacas o inexplicables, la empresa difícilmente podrá acreditar ante un tribunal su diligencia. Delegar el control en un algoritmo no exime al órgano de administración: impone una diligencia adicional, la de comprender, auditar y supervisar activamente la herramienta.
Ampliación de la superficie de imputación
La incorporación de IA suele ampliar la superficie de imputación por dos vías.
- Primero, extiende el ámbito de empleados y procesos cuyas decisiones pueden generar responsabilidad corporativa, activando con mayor frecuencia la segunda vía del artículo 31 bis —el incumplimiento grave de los deberes de supervisión—.
- Segundo, eleva el estándar de diligencia exigible al órgano de administración, que debe acreditar haber comprendido, auditado y controlado activamente unas herramientas de naturaleza opaca y evolutiva.
La Ley italiana 132/2025
El ordenamiento italiano ha dado ya el primer paso. La Ley 132/2025, de 23 de septiembre, ha introducido en el artículo 61 del Código Penal italiano una circunstancia agravante general aplicable a los delitos cometidos mediante sistemas de IA, junto con un nuevo tipo penal de difusión ilícita de contenidos generados o alterados con IA (art. 612-quater) y agravantes específicas en materia de manipulación de mercado y atentados a derechos políticos.
Si bien la ley no modifica directamente el catálogo de delitos predicado del Decreto Legislativo 231/2001 sobre responsabilidad cuasi-penal de las personas jurídicas, la doctrina italiana coincide en que obliga a revisar los Modelos de Organización, Gestión y Control para integrar los nuevos riesgos derivados del uso corporativo de IA. Es razonable anticipar que el ordenamiento español evolucione en una dirección análoga.
Modelos de prevención
Cuatro líneas de actuación son hoy ineludibles. Primera, integrar en el mapa de riesgos del modelo los tipos delictivos cuya comisión pueda verse activada o agravada por el uso de IA en cada proceso de negocio. Segunda, establecer protocolos específicos de validación, supervisión humana y trazabilidad de las decisiones automatizadas, con logs auditables y procesos documentados de revisión. Tercera, incorporar cláusulas contractuales de cumplimiento, seguridad y explicabilidad exigibles a los proveedores de IA, así como la obligación de cooperación en caso de incidente. Cuarta, formar a empleados y directivos en el uso responsable de IA y canalizar la Shadow AI hacia herramientas corporativas gobernadas, dado que la prohibición pura, según los datos disponibles, es ineficaz: el 63 % de los empleados sujetos a una prohibición expresa la incumple igualmente.
Conclusión
Las exigencias del RIA —gestión de riesgos, gobernanza de datos, documentación, trazabilidad, supervisión humana y canales de reporte— son, en esencia, las de un programa de compliance penal adaptado a la era algorítmica. El modelo de organización y gestión que aspire a ser eficaz a efectos del artículo 31 bis CP debe incorporar hoy, necesariamente, la evaluación de los riesgos penales derivados del uso de IA en la empresa.
Quien no lo haga antes de que finalice el año 2026 no solo se expondrá a sanciones administrativas: se encontrará con un modelo de prevención que un tribunal podrá considerar inidóneo precisamente por aquello que omitió integrar.
ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación