El EU AI Act usa un marco basado en riesgo. Riesgo inaceptable (prohibido): puntuación social, vigilancia biométrica en tiempo real en público (con excepciones). Alto riesgo (requisitos estrictos): IA en contratación, educación, aplicación de la ley, infraestructura crítica — estos requieren evaluaciones de conformidad, gobernanza de datos, supervisión humana y documentación. Riesgo limitado (obligaciones de transparencia): los chatbots deben revelar que son IA, los deepfakes deben etiquetarse. Riesgo mínimo (sin requisitos): filtros de spam, IA de videojuegos.
El EU AI Act aborda específicamente los modelos fundacionales (llamados "modelos de IA de propósito general"). Los proveedores deben publicar resúmenes de datos de entrenamiento, cumplir con la ley de derechos de autor e implementar evaluaciones de seguridad. Los modelos considerados de "riesgo sistémico" (aproximadamente: modelos de frontera con presupuestos de cómputo significativos) enfrentan obligaciones adicionales incluyendo pruebas adversariales, reportes de incidentes y medidas de ciberseguridad. Esto afecta directamente a empresas como Anthropic, OpenAI, Google y Meta.
La regulación de la IA se está desarrollando de manera desigual en todo el mundo. La UE lidera con legislación integral. EE.UU. se basa en órdenes ejecutivas, marcos del NIST y agencias sectoriales específicas (FDA para IA médica, FTC para protección al consumidor). China requiere transparencia algorítmica, etiquetado de contenido y aprobación gubernamental para IA generativa pública. Este mosaico crea desafíos de cumplimiento para empresas globales de IA que deben navegar diferentes reglas en diferentes mercados.