La manipulación verosímil de la realidad no es un fenómeno nuevo. En 1938, la emisión radiofónica de «La guerra de los mundos» de Orson Welles sembró el pánico al hacer creer a miles de personas que la Tierra estaba siendo invadida por marcianos. Casi un siglo después, en 2023, una imagen viral del papa Francisco ataviado con una chaqueta de diseño de plumas blancas engañó a millones, demostrando que nuestra capacidad para discernir la verdad no ha evolucionado al mismo ritmo que la tecnología. Estos casos han encendido las alarmas sociales y políticas, creando un consenso sobre la necesidad de regular la transparencia en la inteligencia artificial. En este contexto, el 17 de diciembre de 2025, la Comisión Europea desveló un documento destinado a cambiar las reglas del juego: el «Primer borrador del Código de prácticas sobre la transparencia del contenido generado por IA». Este hito regulatorio no es una mera declaración de intenciones, sino la primera línea de defensa de la Unión Europea contra la inminente era de la ultrafalsificación, un auténtico «momento Oppenheimer» para la confianza digital. ¿Estamos ante el nacimiento de un nuevo paradigma de integridad informativa o, por el contrario, presenciamos un esfuerzo quijotesco por ponerle puertas al campo de la desinformación algorítmica?

Clave 1: El contexto y el proceso de elaboración del Código:

El Código de prácticas nace como una herramienta de corregulación complementaria al Reglamento de IA. A diferencia de este último, que es una ley de obligado cumplimiento, el Código tiene un carácter voluntario pero estratégico: su cumplimiento genera una presunción de conformidad con las obligaciones del Reglamento, incentivando su adopción por parte de la industria. Este modelo de gobernanza es una elección deliberada por parte de la Comisión. En un campo tan dinámico como la IA, una legislación rígida correría el riesgo de quedar obsoleta antes de su plena aplicación. La corregulación ofrece un marco flexible que puede adaptarse a la velocidad del cambio tecnológico. Su elaboración ha sido un proceso colaborativo y rápido, iniciado el 5 de noviembre de 2025 con la creación de un grupo de expertos independientes de la industria, la academia y la sociedad civil. El cronograma es ambicioso y refleja la urgencia de la cuestión:

Se espera que las principales empresas tecnológicas se adhieran al Código. De hecho, proveedores líderes como OpenAI, Google, Mistral AI o Aleph Alpha ya participaron activamente en su redacción, una señal inequívoca del interés de la industria por encontrar un marco de certidumbre regulatoria que les permita operar con seguridad jurídica en el mercado europeo.

Clave 2: El sistema de «doble etiquetado» y la corresponsabilidad:

El borrador establece un ingenioso sistema de «doble etiquetado», dividiendo las obligaciones entre proveedores e implementadores. Esta distinción supone un cambio de paradigma, reconociendo que la responsabilidad debe ser compartida a lo largo de toda la cadena de valor.

Los proveedores, como arquitectos de los modelos, deberán integrar mecanismos de marcado técnico para que el contenido sea detectable como artificial en formato legible por máquina. El Código aboga por una combinación de métodos (marcas de agua, metadatos, firmas digitales) para garantizar la robustez, interoperabilidad y fiabilidad del sistema, creando una suerte de «ADN digital» forense. Por su parte, los implementadores asumen la responsabilidad de la divulgación explícita, etiquetando de forma clara los deepfakes y textos generados por IA sobre asuntos de interés público, utilizando un icono común a nivel de la UE. La idea es que, aunque un usuario malintencionado elimine la etiqueta visible, la marca de agua invisible persista, permitiendo a verificadores de hechos o autoridades rastrear el origen del contenido. Esta dualidad es la piedra angular del sistema: la marca invisible garantiza la trazabilidad, mientras que la etiqueta visible asegura la transparencia inmediata para el ciudadano.

Clave 3: La «espada de Damocles» del Reglamento de IA:

Este Código no opera en un vacío legal, sino que sirve como guía para cumplir con el artículo 50 del Reglamento de IA. Este artículo es la verdadera «espada de Damocles» que pende sobre la industria, ya que su incumplimiento conlleva sanciones severas, según el artículo 99.4.g): multas de hasta 15 millones de euros o el 3 % del volumen de negocio anual mundial, la cantidad que sea mayor. La voluntariedad del Código es, por tanto, una voluntariedad condicionada: adherirse a él será la forma más segura de demostrar la diligencia debida. Para una empresa tecnológica multinacional con una facturación de cien mil millones de euros, una multa del 3 % supondría tres mil millones de euros, una cifra que supera con creces las sanciones más altas impuestas bajo el RGPD. Este régimen sancionador equipara la falta de transparencia en IA con las violaciones más graves de la protección de datos, enviando un mensaje inequívoco al mercado. Además del impacto financiero directo, el daño reputacional derivado de una sanción por distribuir deepfakes no etiquetados podría ser devastador para la confianza de los consumidores y el valor de la marca.

El Reglamento adopta un enfoque cualitativo y no se aplica a casos triviales. La obligación de etiquetar solo surge cuando la contribución de la IA es sustancial y puede inducir a error. Se establecen excepciones importantes para obras manifiestamente artísticas, creativas, satíricas o ficticias, siempre que no se vulneren derechos de terceros. Esta salvaguarda es crucial para no obstaculizar la libertad de creación. Además, se contempla una exención clave: si el contenido ha pasado por un proceso de revisión humana y control editorial (como en el periodismo), no será obligatorio revelar el uso de la IA. Esta medida, que busca proteger la libertad de prensa, es una de las más controvertidas del texto. La lógica subyacente es que, si una persona o entidad asume la plena responsabilidad editorial por el contenido, la necesidad de alertar sobre el uso de una herramienta de IA se difumina. Sin embargo, la línea que separa el «control editorial» de la mera supervisión es fina y podría ser objeto de interpretaciones interesadas. ¿Podría esta exención convertirse en una puerta trasera para la difusión de desinformación sofisticada bajo el paraguas de una supuesta labor editorial? El debate está servido.

Clave 5: El rol de AESIA y el liderazgo internacional de España en AI Governance:

En este nuevo escenario, España se posiciona como un actor clave. La Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), con sede en A Coruña, será la encargada de vigilar el cumplimiento del Reglamento en nuestro país. Su labor, junto con la del sandbox regulatorio de IA, convierte a España en un laboratorio de pruebas ideal para que las empresas desarrollen y validen sus tecnologías de marcado y detección, generando una ventaja competitiva en el mercado único digital. Como ya analicé en mis anteriores artículos, AESIA y la AEPD están llamadas a ser los dos baluartes institucionales que guíen a España hacia una IA ética, responsable y segura. La anticipación de España al establecer el sandbox incluso antes de la aprobación final del Reglamento de IA fue una jugada estratégica que ahora puede dar sus frutos. Las empresas que participen en este entorno de pruebas controlado podrán experimentar con las tecnologías de marcado y detección en un entorno seguro, colaborando directamente con el regulador para entender las expectativas y los criterios de cumplimiento.

Clave 6: Los desafíos a futuros del código

El borrador afronta desafíos inmensos. El primero es la carrera armamentista técnica: a cada nueva técnica de marcado le seguirá una de eliminación. El Código apuesta por la robustez, la interoperabilidad (promoviendo estándares como el de la Coalición C2PA) y la colaboración con la comunidad de ciberseguridad. El segundo es la eficacia real en un entorno global. Internet no tiene fronteras, y la UE deberá promover su estándar a nivel internacional, en una suerte de «Efecto Bruselas» para la IA, compitiendo con los modelos de Estados Unidos (más laxo y basado en compromisos voluntarios) y China (más estatista y con etiquetado obligatorio desde 2025). La interacción con otras normas, como la Ley de Servicios Digitales, será clave, ya que las grandes plataformas deberán considerar la desinformación por IA en sus evaluaciones de riesgo. Si una plataforma como Meta no implementa mecanismos efectivos para detectar y etiquetar deepfakes, podría ser considerada negligente, abriendo la puerta a sanciones adicionales. Esta interconexión normativa crea una red de seguridad regulatoria que refuerza la importancia del Código de prácticas.

Clave 7: La «alfabetización» digital generalizada como última línea de defensa

Por mucho que avance la tecnología, la última línea de defensa siempre será un ciudadano crítico e informado. Como ya argumenté en «El giro copernicano de la alfabetización en IA», de nada sirve una regulación exhaustiva si los ciudadanos no poseen las competencias necesarias para interpretar la información que reciben. El propio Código reconoce la importancia de la alfabetización en IA y la necesidad de que la divulgación sea comprensible para todos. Esto implica un esfuerzo colectivo de pedagogía del consumidor, integrando la alfabetización mediática y digital en todos los niveles del sistema educativo. No se trata solo de enseñar a los niños a programar, sino de educar a toda la población para que desarrolle un escepticismo saludable ante el contenido digital. Las campañas de concienciación serán fundamentales para explicar al público qué significa el nuevo icono de «Contenido IA» y cómo deben interpretarlo. ¿No es esta, en última instancia, la única garantía real para preservar la integridad de nuestro ecosistema informativo y la salud de nuestra democracia?

Conclusión: hacia un nuevo contrato social digital

El «Primer borrador del Código de prácticas» es mucho más que un documento técnico; es el primer capítulo de un nuevo contrato social digital para la Unión Europea. Un contrato que busca reequilibrar la balanza entre la innovación tecnológica y la protección de los derechos fundamentales. La estrategia de Bruselas es clara y equilibrada: un marco legal exigente (el Reglamento de IA) combinado con una guía de buenas prácticas flexible y consensuada (el Código). El camino no será fácil. Los desafíos técnicos, jurídicos y pedagógicos son inmensos. Pero la alternativa —la inacción frente a la creciente amenaza de la ultrafalsificación— es simplemente inaceptable. La pregunta final no es si podemos lograr una transparencia efectiva, sino si estamos dispuestos a asumir el coste de no hacerlo. La respuesta definirá no solo el futuro de nuestro ecosistema digital, sino la esencia misma de nuestra convivencia democrática en el siglo XXI. Lo que está en juego es nuestra capacidad para mantener un debate público basado en una realidad compartida, un requisito indispensable para el funcionamiento de cualquier sociedad libre y democrática. La Unión Europea ha disparado el pistoletazo de salida en una carrera global por la confianza digital. El éxito de su envite marcará el compás de la innovación responsable para las generaciones venideras, demostrando que la tecnología, por muy poderosa que sea, debe estar siempre al servicio de la humanidad, y no al revés. La innovación puede, y debe, ir acompañada de responsabilidad. Bruselas ha recogido el guante. Ahora, la industria y la sociedad deben estar a la altura del desafío.