EU AI Act Guide
Understanding the EU AI Act
and what it means for your organisation.
The EU AI Act is the world's first comprehensive legal framework for artificial intelligence. This guide explains what it is, how it is structured, what the Code of Practice requires technically, and why Article 50 — enforceable from August 2026 — directly affects every organisation that uses AI to generate content.
The EU AI Act
The world's first comprehensive
AI regulation.
Adopted in 2024 and progressively entering into force through 2026–2027, the EU AI Act establishes a horizontal legal framework that applies to AI systems across all sectors and industries operating in or targeting the EU market.
The EU AI Act is not a sector-specific rule — it applies across healthcare, finance, education, media, public administration, and every other field where AI systems interact with people or generate decisions. It classifies AI systems into four risk tiers and assigns obligations accordingly.
Unlike previous EU tech regulation (GDPR, DSA, DMA), the AI Act does not primarily target platforms or data processors. It targets AI system providers and deployers — the companies that build AI tools and the companies that use them in their operations.
Enforcement is carried out by national supervisory authorities in each EU member state, coordinated at EU level by the newly established EU AI Office.
Unacceptable risk
AI systems that manipulate human behaviour, exploit vulnerabilities, or enable social scoring. Banned outright.
High risk
AI in critical infrastructure, biometric identification, employment, education, justice, and more. Subject to strict pre-market conformity assessments and ongoing monitoring.
Limited risk
AI that interacts with humans (chatbots, synthetic media) or generates content. Subject to transparency obligations — including Article 50. This is where most AI content tools sit.
Minimal risk
AI in games, spam filters, and similar low-impact applications. No mandatory obligations under the Act.
The Code of Practice
The technical implementation
framework for Article 50.
The Code of Practice is not the law itself — it is the EU AI Office's authoritative technical guidance on how to implement the law. Published in early 2025, it defines what "machine-readable marking" actually means in practice and sets the technical bar for compliance.
The Code of Practice is significant because it rejects simple, single-layer solutions. It explicitly states that a watermark alone is not sufficient. A content credential alone is not sufficient. Each individual layer covers a different attack surface and a different audit need — and regulators will expect all of them.
The Code also addresses the emerging challenge of autonomous AI agents — systems that generate and distribute content with no human in the loop. It recognises that traditional human-centred compliance tools are not designed for agent-scale content generation, and that the technical standard must accommodate wallet-based and machine-native identity systems.
National supervisory authorities are expected to use the Code of Practice as the benchmark when assessing compliance. Organisations that can demonstrate adherence to all four layers will be in a significantly stronger position in any enforcement investigation.
Principle 1
Multi-layer, not single-layer
No single technical measure constitutes full compliance. The Code requires combining invisible watermarking, structured content credentials, immutable logging, and independent public verification.
Principle 2
Independent verification by design
Compliance must be verifiable by regulators and auditors without requiring the cooperation of the operator. Centralised logs that only the operator can access do not satisfy this requirement.
Principle 3
Coverage of autonomous systems
The Code explicitly extends compliance obligations to AI agents and automated pipelines. Organisations cannot claim exemption because a human did not directly approve each output.
Article 50 — deep dive
What Article 50 actually says.
Article 50 is the specific provision within the EU AI Act that covers transparency obligations for AI-generated synthetic content. It is the provision most directly relevant to any organisation that uses AI to generate text, images, audio, or video — and it is enforceable from August 2, 2026.
Who it applies to
All providers and deployers of AI systems that interact with natural persons or generate content at scale. No size exemption. No sector exemption.
Core obligation
AI-generated content must be marked in a machine-readable format detectable by both humans and automated systems. The marking must survive post-processing: compression, cropping, format conversion.
Deployer obligations
Deployers must disclose AI-generated content to end users and maintain records of AI system usage for audit purposes — available to national supervisory authorities on request.
Enforcement date
August 2, 2026. Sanctions apply from day one.
Fines
Up to €15,000,000 or 3% of total worldwide annual turnover, whichever is higher. Applies per infringement.
The Code of Practice — technical requirements
Four layers. Not one.
The EU AI Office's Code of Practice explicitly requires a multi-layer approach. Single watermarking solutions do not qualify.
L1
Invisible Watermark
Statistical signal embedded at generation time. Survives compression, cropping, and reformatting. Detectable without the original. Required: yes. Sufficient alone: no.
L2
Content Credential
Structured metadata record (C2PA 2.1) including: AI system identifier, timestamp, deployer identity, content classification. Required for auditor-facing disclosure.
L3
Immutable Log
SHA-256 content hash on an immutable ledger. Tamper-proof. Independently verifiable by national supervisory authorities without operator cooperation.
L4
Public Verification
Open endpoint for regulators and auditors. No API key. No account. Returns full compliance report including all four layers.
The compliance gap
Why existing tools leave
organisations exposed.
Most organisations have heard of C2PA, Google SynthID, or Adobe Content Credentials. These are real, useful tools — but they were designed before the Code of Practice was published, and none of them alone meets the four-layer requirement.
Gap 1
Single-layer tools don't cover the full Code of Practice
Google SynthID provides L1 (watermark). Adobe CAI provides L1 and L2 (watermark + C2PA credential). Neither provides L3 (immutable log) or L4 (public verification API). Using them alone creates a compliance gap that regulators will identify.
Gap 2
C2PA was not built for autonomous agents
C2PA requires a human signer with an X.509 certificate and a compatible creation app. AI agents generating content autonomously have no legal identity, cannot hold certificates, and operate at a scale C2PA was never designed for. The agentic economy breaks C2PA's core assumptions.
Gap 3
Centralised logs don't satisfy zero-trust verification
Many compliance platforms store certification records in centralised databases. The Code of Practice requires that regulators can verify compliance without trusting the operator. A centralised log where the operator controls deletion and modification does not meet this requirement.
The solution
AI Act 50: built specifically
to close the gap.
AI Act 50 is the only platform designed from the ground up to satisfy all four layers of the Code of Practice — including autonomous agents, immutable blockchain logging, and zero-trust public verification. One API call. Full coverage.
Complete
All four Code of Practice layers
A single POST /v1/certify call applies invisible watermarking, C2PA 2.1 credential, blockchain BASE anchor, and public detection API simultaneously. No partial compliance. No gaps.
Agent-native
Built for the autonomous AI economy
AI agents certify their output directly using the x402 protocol — no API key, no pre-registration, no human approval. Wallet is identity. Designed for content generation at any scale.
Zero-trust
Immutable and independently verifiable
Every certificate is anchored on blockchain BASE. Any regulator, auditor, or client verifies via GET /v1/verify — no account, no API key, no trust in AI Act 50. The blockchain is the authority.
FAQ
Common questions.
Does Article 50 apply to content generated by AI agents without human review?
Yes. The obligation applies to the deployer regardless of whether a human reviews the output. Autonomous agents publishing content at scale are explicitly in scope.
Is C2PA sufficient on its own?
No. C2PA covers one layer. The Code of Practice requires four. C2PA also does not natively support autonomous agents. AI Act 50 extends C2PA with the three missing layers.
What if we only generate text, not images or video?
Article 50 covers all AI-generated synthetic content including text. LLMs, content generation tools, and AI agents are fully in scope.
Do we need to mark every single piece of content?
The regulation requires that AI-generated content be marked. The Code of Practice supports the interpretation that every generated output must carry a certificate.
How do we demonstrate compliance to a regulator?
Share the public verify URL. Any supervisory authority can independently verify the certificate via GET /v1/verify — no trust in AI Act 50 required. The blockchain is the authority.
Get compliant
August 2026 is
closer than it looks.
Free on testnet. 20-minute integration. Get your stack compliant before enforcement begins.
Guía EU AI Act
Entendiendo el EU AI Act
y lo que significa para su organización.
El EU AI Act es el primer marco legal integral del mundo para la inteligencia artificial. Esta guía explica qué es, cómo se estructura, qué exige el Código de Práctica técnicamente y por qué el Artículo 50 — ejecutable desde agosto de 2026 — afecta directamente a toda organización que usa IA para generar contenido.
El EU AI Act
La primera regulación integral
de IA del mundo.
Adoptado en 2024 y con entrada en vigor progresiva entre 2026 y 2027, el EU AI Act establece un marco legal horizontal que aplica a los sistemas de IA en todos los sectores e industrias que operan en el mercado de la UE o se dirigen a él.
El EU AI Act no es una norma sectorial — aplica en sanidad, finanzas, educación, medios de comunicación, administración pública y cualquier otro ámbito donde los sistemas de IA interactúan con personas o generan decisiones. Clasifica los sistemas de IA en cuatro niveles de riesgo y asigna obligaciones en consecuencia.
A diferencia de regulaciones tecnológicas previas de la UE (RGPD, DSA, DMA), el AI Act no se dirige principalmente a plataformas o procesadores de datos. Se dirige a proveedores y desplegadores de sistemas de IA — las empresas que desarrollan herramientas de IA y las que las utilizan en sus operaciones.
La aplicación corresponde a las autoridades supervisoras nacionales de cada Estado miembro de la UE, coordinadas a nivel europeo por la recién creada Oficina de IA de la UE.
Riesgo inaceptable
Sistemas de IA que manipulan el comportamiento humano, explotan vulnerabilidades o permiten la puntuación social. Prohibidos.
Alto riesgo
IA en infraestructuras críticas, identificación biométrica, empleo, educación, justicia y más. Sujetos a estrictas evaluaciones de conformidad y supervisión continua.
Riesgo limitado
IA que interactúa con humanos (chatbots, medios sintéticos) o genera contenido. Sujeta a obligaciones de transparencia — incluido el Art. 50. Aquí se sitúan la mayoría de las herramientas de contenido IA.
Riesgo mínimo
IA en juegos, filtros de spam y aplicaciones de bajo impacto similares. Sin obligaciones obligatorias bajo el Reglamento.
El Código de Práctica
El marco de implementación técnica
del Artículo 50.
El Código de Práctica no es la ley en sí — es la guía técnica autorizada de la Oficina de IA de la UE sobre cómo implementar la ley. Publicado a principios de 2025, define qué significa realmente el "marcado legible por máquina" en la práctica y establece el nivel técnico de cumplimiento.
El Código de Práctica es relevante porque rechaza las soluciones simples de una sola capa. Establece explícitamente que una marca de agua sola no es suficiente. Una credencial de contenido sola no es suficiente. Cada capa individual cubre una superficie de ataque diferente y una necesidad de auditoría diferente — y los reguladores esperarán todas ellas.
El Código también aborda el desafío emergente de los agentes de IA autónomos — sistemas que generan y distribuyen contenido sin intervención humana. Reconoce que las herramientas de cumplimiento tradicionales centradas en humanos no están diseñadas para la generación de contenido a escala de agentes.
Las autoridades supervisoras nacionales utilizarán el Código de Práctica como referencia al evaluar el cumplimiento. Las organizaciones que puedan demostrar adherencia a las cuatro capas estarán en una posición significativamente más sólida ante cualquier investigación de aplicación.
Principio 1
Multicapa, no monocapa
Ninguna medida técnica única constituye cumplimiento completo. El Código exige combinar marca de agua invisible, credenciales de contenido estructuradas, registro inmutable y verificación pública independiente.
Principio 2
Verificación independiente por diseño
El cumplimiento debe ser verificable por reguladores y auditores sin requerir la cooperación del operador. Los registros centralizados a los que solo el operador puede acceder no satisfacen este requisito.
Principio 3
Cobertura de sistemas autónomos
El Código extiende explícitamente las obligaciones de cumplimiento a los agentes de IA y los pipelines automatizados. Las organizaciones no pueden reclamar exención porque un humano no aprobó directamente cada contenido.
Artículo 50 — en detalle
Qué dice realmente el Artículo 50.
El Art. 50 es la disposición específica del EU AI Act que cubre las obligaciones de transparencia para el contenido sintético generado por IA. Es la disposición más directamente relevante para cualquier organización que use IA para generar texto, imágenes, audio o vídeo — y es ejecutable desde el 2 de agosto de 2026.
A quién aplica
Todos los proveedores y desplegadores de sistemas de IA que interactúan con personas físicas o generan contenido a escala. Sin exención por tamaño. Sin exención por sector.
Obligación principal
El contenido generado por IA debe marcarse en un formato legible por máquina detectable tanto por humanos como por sistemas automatizados. El marcado debe sobrevivir al postprocesamiento.
Obligaciones del desplegador
Los desplegadores deben revelar el contenido generado por IA a los usuarios finales y mantener registros de uso del sistema de IA para fines de auditoría, disponibles para las autoridades supervisoras nacionales.
Fecha de aplicación
2 de agosto de 2026. Las sanciones aplican desde el primer día.
Multas
Hasta €15.000.000 o el 3% de la facturación mundial anual total, lo que sea mayor. Aplica por infracción.
El Código de Práctica — requisitos técnicos
Cuatro capas. No una.
El Código de Práctica de la Oficina de IA de la UE exige explícitamente un enfoque multicapa. Las soluciones de marcado único no califican.
L1
Marca de agua invisible
Señal estadística incrustada en el momento de la generación. Sobrevive a compresión, recorte y reformateo. Detectable sin el original. Requerida: sí. Suficiente sola: no.
L2
Credencial de Contenido
Registro de metadatos estructurado (C2PA 2.1) que incluye: identificador del sistema de IA, marca de tiempo, identidad del desplegador, clasificación del contenido. Requerido para la divulgación a auditores.
L3
Registro Inmutable
Hash SHA-256 del contenido en un registro inmutable. A prueba de manipulaciones. Verificable de forma independiente por las autoridades supervisoras nacionales sin cooperación del operador.
L4
Verificación Pública
Endpoint abierto para reguladores y auditores. Sin clave API. Sin cuenta. Devuelve informe de cumplimiento completo incluyendo las cuatro capas.
La brecha de cumplimiento
Por qué las herramientas existentes
dejan a las organizaciones expuestas.
La mayoría de las organizaciones ha oído hablar de C2PA, Google SynthID o Adobe Content Credentials. Son herramientas reales y útiles — pero fueron diseñadas antes de que se publicara el Código de Práctica, y ninguna de ellas por sí sola cumple el requisito de cuatro capas.
Brecha 1
Las herramientas monocapa no cubren el Código de Práctica completo
Google SynthID proporciona L1 (marca de agua). Adobe CAI proporciona L1 y L2 (marca de agua + credencial C2PA). Ninguna proporciona L3 (registro inmutable) ni L4 (API de verificación pública). Usarlas solas crea una brecha de cumplimiento que los reguladores identificarán.
Brecha 2
C2PA no fue construido para agentes autónomos
C2PA requiere un firmante humano con certificado X.509 y una app de creación compatible. Los agentes de IA que generan contenido de forma autónoma no tienen identidad legal, no pueden poseer certificados y operan a una escala para la que C2PA nunca fue diseñado.
Brecha 3
Los registros centralizados no satisfacen la verificación zero-trust
El Código de Práctica exige que los reguladores puedan verificar el cumplimiento sin necesidad de confiar en el operador. Un registro centralizado donde el operador controla la eliminación y modificación no cumple este requisito.
La solución
AI Act 50: construido específicamente
para cerrar la brecha.
AI Act 50 es la única plataforma diseñada desde cero para satisfacer las cuatro capas del Código de Práctica — incluyendo agentes autónomos, registro blockchain inmutable y verificación pública zero-trust. Una llamada API. Cobertura completa.
Completo
Las cuatro capas del Código de Práctica
Una sola llamada POST /v1/certify aplica marca de agua invisible, credencial C2PA 2.1, anclaje en blockchain BASE y API de detección pública simultáneamente. Sin cumplimiento parcial. Sin brechas.
Nativo para agentes
Construido para la economía de IA autónoma
Los agentes de IA certifican su contenido directamente usando el protocolo x402 — sin clave API, sin prerregistro, sin aprobación humana. El monedero es la identidad. Diseñado para generación de contenido a cualquier escala.
Zero-trust
Inmutable y verificable de forma independiente
Cada certificado está anclado en blockchain BASE. Cualquier regulador, auditor o cliente verifica vía GET /v1/verify — sin cuenta, sin clave API, sin confiar en AI Act 50. La blockchain es la autoridad.
FAQ
Preguntas frecuentes.
¿Aplica el Art. 50 al contenido generado por agentes sin revisión humana?
Sí. La obligación recae sobre el desplegador independientemente de si un humano revisa el contenido. Los agentes autónomos que publican contenido a escala están explícitamente en el ámbito de aplicación.
¿Es suficiente C2PA por sí solo?
No. C2PA cubre una capa. El Código de Práctica requiere cuatro. C2PA tampoco es compatible de forma nativa con agentes autónomos. AI Act 50 extiende C2PA con las tres capas que faltan.
¿Qué ocurre si solo generamos texto?
El Art. 50 cubre todo el contenido sintético generado por IA, incluido el texto. Los LLMs, herramientas de generación de contenido y agentes de IA están plenamente en el ámbito de aplicación.
¿Hay que marcar cada pieza de contenido?
La regulación exige que el contenido generado por IA sea marcado. El Código de Práctica apoya la interpretación de que cada contenido generado debe llevar un certificado.
¿Cómo demostramos el cumplimiento ante un regulador?
Comparta la URL pública de verificación. Cualquier autoridad supervisora puede verificar el certificado vía GET /v1/verify — sin necesidad de confiar en AI Act 50. La blockchain es la autoridad.
Cumplir ya
Agosto de 2026
está más cerca de lo que parece.
Gratis en testnet. Integración en 20 minutos. Prepare su stack antes de que comience la aplicación.