- Un sandbox regulatorio es un entorno de pruebas controlado donde se testean innovaciones bajo supervisión administrativa sin alterar de golpe la normativa general.
- En España se ha consolidado primero en el ámbito financiero y se ha extendido a sectores como la energía y la inteligencia artificial, con apoyo expreso de la UE.
- Los proyectos deben ser innovadores, estar suficientemente maduros y aportar valor al sistema y a los usuarios, siguiendo un procedimiento de admisión y pruebas muy pautado.
- Bien diseñados, los sandboxes refuerzan la seguridad jurídica, facilitan el cumplimiento y permiten ajustar las normas a partir de evidencias reales, minimizando riesgos para consumidores y competencia.
El término “sandbox regulatorio” se ha colado en el vocabulario jurídico, financiero y tecnológico para describir una herramienta clave a la hora de probar innovaciones sin desmontar todo el edificio normativo. En lugar de aprobar leyes a ciegas o frenar proyectos por miedo al riesgo, las Administraciones han empezado a habilitar “areneros” controlados donde las nuevas soluciones se testean con vigilancia muy estrecha.
En España, el concepto ha madurado a partir del ámbito financiero y hoy se extiende a energía, movilidad, protección de datos o inteligencia artificial. A la vez, la Unión Europea ha decidido apostar fuerte por este modelo, hasta el punto de exigir que cada Estado miembro ponga en marcha al menos un sandbox en materia de IA. Si te interesa lanzar un proyecto innovador, entender cómo se regula la IA o simplemente saber qué hace exactamente la Administración dentro de estos areneros, merece la pena conocer bien cómo funcionan.
Qué es exactamente un sandbox regulatorio
La imagen del arenero infantil ayuda mucho: un espacio delimitado, con reglas mínimas, en el que se puede experimentar sin destrozar el entorno real. Trasladado al mundo jurídico, un sandbox regulatorio es un entorno de pruebas supervisado por la Administración en el que se testean productos, servicios o modelos de negocio innovadores en condiciones casi reales, pero bajo un marco especial de control.
En el ámbito financiero y fintech, un sandbox es un banco de pruebas en el que se simula el comportamiento del producto con usuarios reales o en condiciones muy cercanas al mercado, de manera que se puedan detectar riesgos, fallos de diseño o incompatibilidades legales antes de una implantación masiva.
La ventaja es doble: por un lado, las empresas pueden acelerar su innovación sin asumir todo el riesgo regulatorio; por otro, los supervisores conocen de primera mano cómo encajan esas novedades en la legislación existente y qué ajustes normativos serían convenientes. No es una zona sin ley, sino un espacio con reglas propias y vigilancia intensa.
En informática, el término sandbox ya se utilizaba para referirse a entornos aislados donde se ejecutan programas potencialmente peligrosos sin comprometer al sistema principal. El sandbox regulatorio toma esa misma lógica: aislar el experimento para que, si algo falla, los daños estén acotados y se pueda reaccionar rápido.
Objetivos y beneficios de los sandboxes
Los sandboxes no son un capricho académico. Nacen como respuesta a un problema muy práctico: la normativa suele ir por detrás de la tecnología. Cuando aparece una aplicación disruptiva, el marco jurídico puede ser tan rígido o tan incierto que desincentiva la innovación, especialmente en sectores muy regulados como finanzas, energía o salud.
Según las guías del Ministerio de Ciencia e Innovación y distintos informes internacionales, un sandbox regulatorio persigue, entre otros, estos fines clave: facilitar la experimentación regulada, obtener información real sobre el funcionamiento de los proyectos, y adaptar las reglas para que no se conviertan en un freno injustificado.
Entre los beneficios más relevantes destacan la posibilidad de construir marcos normativos más flexibles y basados en evidencias; impulsar un emprendimiento innovador que de otra forma se iría a otras jurisdicciones; y reforzar la cooperación entre actores públicos y privados que normalmente solo se ven en un expediente sancionador o en una consulta puntual.
Además, el sandbox permite analizar en vivo cómo afectan las nuevas tecnologías a la seguridad, la protección de los consumidores y los nuevos riesgos: fraudes, ciberataques, uso indebido de datos, sesgos algorítmicos, etc. En lugar de teorizar, el regulador ve qué pasa cuando el modelo interactúa con usuarios reales.
Para las empresas participantes hay un efecto colateral muy poderoso: haber sido seleccionado en un sandbox oficial suele aumentar la credibilidad ante inversores, socios y clientes, porque transmite la idea de que el proyecto ha pasado un filtro técnico y jurídico exigente.
Quién puede participar en un sandbox regulatorio
En el modelo español, el acceso al sandbox financiero y a los espacios controlados de pruebas en otros sectores está abierto a un abanico bastante amplio de actores. Pueden presentar proyectos personas físicas, empresas privadas, centros de investigación y entidades públicas, de forma individual o en consorcio.
La lista típica de candidatos incluye compañías tecnológicas, entidades de crédito, aseguradoras, administradores de crédito, asociaciones sectoriales, universidades, centros de I+D y otras organizaciones que impulsen soluciones con un claro componente innovador aplicable al sistema regulado de que se trate (financiero, eléctrico, IA, movilidad, etc.).
En el sandbox de IA previsto por el Reglamento europeo y anticipado en España mediante el Real Decreto 817/2023, el foco se pone especialmente en pymes y startups. El propio Reglamento europeo de Inteligencia Artificial (IA Act) obliga a darles prioridad de acceso y a simplificar los trámites, consciente de que el coste de cumplimiento pesa mucho más en organizaciones pequeñas.
Además, estos sandboxes están abiertos a proyectos en los que colaboran varios tipos de actores: por ejemplo, un proveedor de tecnología de IA y una Administración pública que va a desplegar el sistema. El reglamento europeo permite expresamente que proveedor y usuario público entren juntos en el entorno de pruebas para testar, bajo supervisión, el cumplimiento de los requisitos legales.
Requisitos de los proyectos para acceder al sandbox
Que el acceso esté abierto no significa que todo valga. Cada sandbox establece una serie de criterios que actúan como filtro para seleccionar qué iniciativas pasan a la fase de pruebas. En el caso del sandbox financiero español, los proyectos deben presentar una solicitud en modelo oficial, una memoria explicativa del producto o servicio y la documentación que acredite el cumplimiento de los requisitos legales, como los del artículo 5 de la Ley 7/2020.
Entre las condiciones habituales se exigen elementos como: que la solución incorpore innovación tecnológica aplicable al sector financiero u otro sector regulado; que el desarrollo esté lo bastante maduro como para realizar test reales (al menos un producto mínimo viable); y que aporte valor al cumplimiento normativo, a la protección del usuario o a la eficiencia del sistema.
En el sandbox de IA, además, el proyecto debe encajar en la lógica del Reglamento europeo: suele tratarse de sistemas de IA catalogados de “alto riesgo” (por ejemplo, en servicios financieros, sanidad, empleo, administración de justicia, control fronterizo, etc.), donde los requisitos de documentación, gestión de riesgos, calidad de datos, supervisión humana y ciberseguridad son especialmente exigentes.
Otro criterio relevante es el posible impacto positivo sobre el mercado y el interés general: se valora que el proyecto mejore la competencia, incremente la calidad de los servicios, reduzca costes o introduzca mecanismos de supervisión más eficaces. También se pondera la capacidad del equipo promotor y la claridad con la que se hayan identificado los riesgos y las medidas de mitigación.
En términos formales, las convocatorias suelen fijar plazos de admisión, criterios de puntuación, mínimos de nota y, a veces, requisitos específicos como la participación obligatoria de una pyme o empresa emergente en el consorcio, algo que ya se ha visto en la primera convocatoria del sandbox español de IA.
Cómo es el procedimiento de acceso y funcionamiento
El ciclo de vida de un proyecto dentro de un sandbox regulatorio sigue una estructura relativamente común, aunque con matices según el sector y la norma habilitante. En el sandbox financiero español, la Secretaría General del Tesoro establece ventanas semestrales para la presentación de solicitudes, que solo pueden registrarse dentro de los 30 días previos a la fecha límite de cada convocatoria.
Tras el cierre del plazo, la autoridad competente analiza las propuestas, verifica que cumplen los criterios de admisibilidad y realiza una evaluación cualitativa basada en innovación, madurez del proyecto, impacto esperado, beneficios para los usuarios y aportación al sistema regulatorio o supervisor. De ese análisis sale la lista de proyectos admitidos, que se publica en la sede electrónica correspondiente.
Una vez seleccionados, se abre una fase clave: la negociación y firma del protocolo de pruebas o plan de actuación. Ese documento, que tiene naturaleza próxima a una autorización administrativa más que a un contrato bilateral, recoge con bastante detalle el alcance de los ensayos, la duración, el número y perfil de usuarios implicados, los límites técnicos, las garantías y las obligaciones tanto del promotor como del supervisor.
Durante el periodo de pruebas, el proyecto opera en un entorno controlado, a veces con usuarios reales y en condiciones cercanas al mercado, pero siempre bajo supervisión directa de la Administración. Se monitorizan resultados, incidentes, cumplimiento de requisitos normativos y cualquier impacto sobre los derechos de consumidores o terceros. La autoridad conserva la facultad de suspender o terminar anticipadamente el experimento si detecta riesgos para la salud, la seguridad, la estabilidad financiera o los derechos fundamentales.
Finalizado el piloto, la Administración elabora un informe de salida o memoria de resultados. En el sandbox de IA, el Reglamento europeo prevé expresamente que ese informe pueda utilizarse para facilitar las evaluaciones de conformidad y servir de referencia en eventuales actuaciones de vigilancia del mercado, reduciendo incertidumbres y plazos para los promotores.
Si el proyecto no resulta admitido al sandbox, la decisión de inadmisión se notifica a los interesados. En el caso español, la resolución agota la vía administrativa, aunque cabe recurso de reposición o contencioso-administrativo en los plazos que fija la legislación de procedimiento administrativo y la Ley de la Jurisdicción Contencioso-Administrativa.
Qué pasa después del sandbox: autorizaciones y licencias
Participar en un sandbox no otorga, por sí solo, carta blanca para operar en el mercado. Incluso si el proyecto ha superado con éxito todas las pruebas, las actividades sometidas a autorización administrativa siguen necesitando licencia o autorización formal una vez concluido el piloto.
El valor añadido reside en que, tras el paso por el sandbox, el supervisor conoce en profundidad el proyecto, lo que suele traducirse en procedimientos de autorización más ágiles y en una menor probabilidad de sorpresas normativas. Sin embargo, la empresa debe preparar su expediente ordinario de autorización como cualquier otro operador del mercado.
En muchos sectores regulados, especialmente donde hay normativa europea armonizada, el margen para conceder exenciones temporales de requisitos es limitado. Por eso algunos sandboxes se centran menos en dispensas legales y más en ofrecer acompañamiento y seguridad jurídica: si el promotor sigue las indicaciones que le va dando la Administración durante el piloto, reduce drásticamente el riesgo de sanciones futuras por incumplimiento.
En paralelo, las autoridades aprovechan los resultados del sandbox para proponer reformas regulatorias: modificar normas que se han revelado obsoletas, aclarar conceptos jurídicos indeterminados, elaborar guías de cumplimiento o ajustar requisitos técnicos que no encajan bien con la realidad de los nuevos modelos de negocio.
El sandbox financiero español: origen y funcionamiento
El primer gran sandbox regulatorio español vio la luz en el sector financiero con la Ley 7/2020, de 13 de noviembre, para la transformación digital del sistema financiero. Su creación respondía a una tendencia internacional iniciada en 2015 por la Financial Conduct Authority británica, que había puesto en marcha un sandbox pionero para atraer empresas fintech y probar modelos innovadores bajo su supervisión.
En Reino Unido, ese sandbox permitió a numerosas empresas: evaluar la viabilidad de sus modelos de negocio con clientes reales, analizar el funcionamiento de sus tecnologías en el mercado, depurar estrategias comerciales y, sobre todo, perfilar mecanismos de protección del consumidor adecuados a los nuevos servicios financieros digitales.
En España, la Ley 7/2020 confía la gestión del sandbox financiero a la Dirección General del Tesoro y Política Financiera, que coordina con los supervisores sectoriales (Banco de España, CNMV, DGSFP, etc.) la selección y seguimiento de los proyectos. Se trabaja con convocatorias periódicas y un esquema de evaluación detallado.
Para ser admitidos, los proyectos deben demostrar un componente tecnológico aplicable al sistema financiero, haber alcanzado al menos el nivel de producto mínimo viable y aportar un claro valor añadido en términos de eficiencia, calidad del servicio, protección del usuario o mejora de la regulación y la supervisión.
Una vez dentro, se sigue la secuencia clásica: protocolos de prueba, periodo de ensayos con garantías, evaluación final y, en su caso, salto al mercado. La experiencia española, analizada en informes del Banco de España, muestra proyectos tan variados como cámaras de compensación basadas en blockchain e inteligencia artificial, plataformas de liquidación en tiempo real con tokens digitales o pasarelas que permiten pagar en comercios con criptoactivos.
También se han impulsado iniciativas como un fondo de inversión tokenizado de renta fija a corto plazo, en el que las participaciones se registran en una red blockchain privada para agilizar y securizar operaciones. Todos estos ejemplos ilustran cómo el sandbox permite probar, con límites y garantías, soluciones que de otra forma tardarían años en obtener luz verde.
Sandboxes y regulación de la inteligencia artificial
El auge de la IA ha llevado el concepto de sandbox un paso más allá. El Reglamento europeo de Inteligencia Artificial obliga a los Estados miembros a implantar al menos un sandbox específico en materia de IA, operativo a escala nacional. La idea es clara: permitir que proveedores y usuarios de sistemas de alto riesgo experimenten, junto con las autoridades, la aplicación práctica de los requisitos del Reglamento.
España ha sido especialmente activa en este terreno, colaborando con la Comisión Europea en el diseño de un Sandbox Regulatorio de IA y aprobando un Real Decreto (817/2023) que establece un entorno controlado de pruebas para anticipar el cumplimiento de la futura normativa, incluso antes de que el Reglamento entre plenamente en vigor.
En este sandbox de IA no se trata tanto de eximir de normas como de probar cómo se implementan en la práctica los requisitos del Reglamento: gestión de riesgos, gobernanza de datos, documentación técnica, trazabilidad, explicabilidad de modelos, supervisión humana eficaz y controles de ciberseguridad. Los resultados se plasman en directrices y guías que ayudan a las empresas, sobre todo a pymes y startups, a aterrizar esos conceptos en sus desarrollos y a proteger la inteligencia artificial.
El Reglamento de IA también contempla que estos sandboxes refuercen la cooperación europea, permitiendo que varios Estados miembros participen conjuntamente, que intervenga el Supervisor Europeo de Protección de Datos cuando sea preciso y que exista un intercambio sistemático de información y buenas prácticas a través del Consejo de IA.
Junto a los sandboxes públicos, el Reglamento abre la puerta a sandboxes privados, esto es, pruebas limitadas con grupos reducidos de usuarios, siempre que cuenten con el visto bueno de la autoridad de vigilancia del mercado y respeten una serie de garantías. No ofrecen las mismas ventajas que el sandbox regulatorio (en especial, en materia sancionadora), pero sí añaden flexibilidad para iterar productos.
Extensión a otros sectores y niveles de gobierno
El uso de sandboxes ya no se limita a las finanzas o a la IA. Diversas normas europeas, estatales, autonómicas y locales han empezado a incorporar bancos de pruebas regulatorios para abordar innovaciones en sectores como energía, salud, datos o movilidad urbana compleja.
En el ámbito eléctrico, por ejemplo, se ha regulado un banco de pruebas para fomentar la investigación y la innovación en el sector, con proyectos que exploran nuevas formas de gestión de redes, almacenamiento o autoconsumo. En paralelo, algunas ciudades como Madrid, Valencia o Zaragoza han aprobado ordenanzas que permiten testear soluciones urbanas innovadoras (movilidad, sensores, servicios digitales) bajo un régimen especial.
A nivel autonómico, comunidades como Galicia, Asturias o Extremadura han habilitado marcos normativos para configurar sandboxes específicos de IA ligados al uso de algoritmos en sus propias Administraciones. La idea es poder probar sistemas antes de su implantación definitiva en trámites de educación, servicios sociales, gestión interna o toma de decisiones automatizadas.
En estos casos, el sandbox tiene una doble vertiente: es una herramienta de fomento e impulso de la innovación y, al mismo tiempo, un mecanismo de control interno que exige superar una fase de pruebas o contar con determinados informes antes de contratar o desplegar sistemas de IA en la Administración.
También se han visto ejemplos en materia de protección de datos, como el sandbox impulsado por la autoridad francesa de protección de datos (CNIL) para analizar proyectos de IA en servicios públicos, o el sandbox europeo de blockchain que coordina distintas pruebas transfronterizas con supervisión conjunta.
En todos estos niveles, el reto es similar: diseñar entornos de prueba lo bastante flexibles para no ahogar la innovación, pero con garantías suficientes para no convertirlos en un atajo regulatorio injustificado o en un coladero de riesgos para los ciudadanos.
Desafíos, riesgos y claves de diseño de un buen sandbox
Que los sandboxes estén de moda no significa que estén exentos de problemas. Desde la doctrina y las autoridades de competencia se han señalado riesgos como la posible captura del regulador (una excesiva cercanía con los operadores puede sesgar su criterio), la creación de ventajas competitivas injustificadas para quienes acceden al sandbox o incluso una “carrera a la baja” entre jurisdicciones para atraer proyectos relajando demasiado los estándares.
También preocupa la compatibilidad con el principio de igualdad y el Derecho de la competencia. En la práctica, el encaje suele ser correcto siempre que los criterios de selección sean objetivos, transparentes y razonables, y que no haya trasvases directos de fondos públicos que puedan constituir ayudas de Estado encubiertas.
Otra cuestión delicada es cómo equilibrar el incentivo que supone participar en el sandbox con la protección de consumidores y terceros. Algunos autores defienden que deberían establecerse regímenes de responsabilidad civil atenuados para no desincentivar la participación, mientras que otros subrayan que los derechos de los usuarios no deberían debilitarse por el hecho de que un proyecto sea “innovador”.
Desde el punto de vista práctico, muchos sandboxes se juegan su éxito en detalles aparentemente prosaicos: recursos humanos y materiales suficientes en la Administración, procedimientos de admisión claros pero ágiles, sistemas de seguimiento bien organizados y, sobre todo, una verdadera cultura de aprendizaje regulatorio y rendición de cuentas mediante informes públicos.
Cuando estas piezas encajan, el sandbox se convierte en una herramienta muy potente: permite a las empresas experimentar con menos miedo al error jurídico, da al regulador una visión privilegiada de la frontera tecnológica y abre la puerta a reformar las normas con datos reales encima de la mesa, evitando que la ley se convierta en un muro infranqueable para la innovación.
En conjunto, los sandboxes regulatorios se han consolidado como un instrumento clave para probar y ajustar innovaciones en sectores fuertemente regulados como las finanzas o la inteligencia artificial, conectando a empresas y autoridades en un diálogo estructurado, temporal y supervisado. Bien diseñados, ofrecen un equilibrio razonable entre impulso a la innovación, protección de los usuarios y capacidad de adaptación de las reglas del juego; mal configurados, corren el riesgo de convertirse en un privilegio opaco para unos pocos o en una vía de escape de obligaciones esenciales.
