En el vasto y, a veces, caprichoso panteón de la mitología griega, Hermes destacaba. No era solo el ágil mensajero de los dioses, calzado con sus veloces sandalias aladas; era también el patrón del comercio, el dios de las fronteras, la elocuencia y, en una deliciosa ironía que sin duda la AEAT aprecia, el protector de los ladrones.
Con una precisión etimológica que roza la malicia, la AEAT ha bautizado a su sistema neurálgico de análisis de riesgos como HERMES.
Este HERMES moderno no lleva un pétaso alado, pero opera sobre la infraestructura Big Data de Zújar a una velocidad divina. No roba el ganado de Apolo, pero sí perfila contribuyentes con una astucia algorítmica notable, generando probablemente «perfiles de riesgo fiscal individualizados, predictivos y a gran escala».
Y, en su correlación más brillante, este HERMES ejerce de psicopompo: si el Hermes original guiaba las almas al Inframundo, este HERMES «recomienda» qué contribuyentes deben iniciar el inquietante descenso al mundo subterráneo de un procedimiento de inspección.
Pero aquí es donde la elocuencia (otra virtud del dios Hermes) entra en juego. ¿Es este sistema un dios autónomo, una verdadera IA capaz de inferir y predecir nuestro destino en el contexto tributario, como sugeriría el RIA de la UE?, ¿o es, como sostiene categóricamente la AEAT, un mero ábaco glorificado, un «tratamiento automatizado de datos a gran escala» que obedece ciegamente a sus amos humanos?
La respuesta a esta pregunta no es un mero debate terminológico para académicos ociosos. Es una cuestión fundamental sobre garantías jurídicas, transparencia y gobernanza. Bienvenidos al análisis sobre la verdadera naturaleza de HERMES: el debate sobre si estamos ante un dios de la IA o ante el truco de elocuencia mejor ejecutado por la Administración para generar una “potencial brecha regulatoria y de control”.
A continuación, desgranamos la información (contrastable) de los propios expedientes de contratación de los perfiles licitadores de la AEAT referidos a la última década en los que se revela (a fragmentos) la naturaleza de este dios de la mitología.
Este análisis, lejos de ser un mero ejercicio teorético, se vuelve indispensable ante el vibrante debate público que ha encendido el alcance de la reciente sentencia “BOSCO” del Tribunal Supremo (ROJ: 3826/2025) y sus implicaciones en el ámbito de la actuación de nuestras administraciones tributarias.
Permítanme, un debate donde la propia Administración, secundada por notables voces académicas, insiste con una elocuencia —digna del propio Hermes— en que su sistema estrella no utiliza IA y, por tanto, no debe ser considerado un Sistema de IA (SIA). Muy probablemente tengan razón, ellos conocen de primera mano el verdadero alcance de este posible SIA, ¿no?
Como académico crítico, discrepo. Muy probablemente me equivoque; pero los datos externos, contrastables y públicos apuntan, posiblemente, hacia otra dirección: ¿un gran sistema de sistemas?
HERMES[1] es descrito en los expedientes de licitación publicados en la plataforma de Contratación del Sector Público como el sistema central para “elaboración y obtención de los riesgos de los contribuyentes” usando Zújar (el gran data warehouse de la AEAT)[2] y Genio (para la presentación de resultados del perfilado).[3] Sirve para la generación de perfiles de riesgo fiscal individualizados, predictivos y a gran escala, que se integran en procesos de selección y tramitación (tiene integración con sistemas que valoran las solicitudes de los obligados tributarios con aprendizaje automático, por ejemplo, de alta en ROI, el sistema de IA de ayuda para la devolución de IVA, el posible SIA para la detección de fraude intracomunitario o también un nuevo proyecto de perfilado y marcaje denominado HERACLES)[4], lo que sugiere fuertemente el uso de modelos predictivos y machine learning para el cálculo y la puntuación de riesgos de los obligados tributarios.[5]
La complejidad inherente al análisis de riesgo tributario moderno a esta escala hace muy probable que supere las capacidades de sistemas basados únicamente en reglas o estadística simple.[6] La mención en los expedientes indicados a una “interfaz convivencial” también apunta a un sistema sofisticado, podría ser incluso la “herramienta de gestión de riesgos” mencionada en las directrices de los planes de control sin aludir explícitamente (2019 y 2023).
La importancia y funcionalidad de HERMES como sistema avanzado de análisis de riesgos y selección basado en Big Data ya fue destacada por la OCDE en su informe “Tax Administration 2019”.[7] Dicho informe lo describe como un paso clave hacia un sistema unificado de análisis de riesgo y selección, que explota las bases de datos de la AEAT, optimiza el uso de información internacional y genera perfiles para seleccionar contribuyentes para control.
Aunque la OCDE no lo califica explícitamente como IA, la funcionalidad descrita en las fuentes examinadas refuerza sólidamente la clasificación de “IA altamente probable” para este sistema neurálgico.[8]
No obstante, esta clasificación basada en el análisis funcional y el marco del RIA choca frontalmente con la posición oficial explícita de la AEAT. En intervenciones públicas, la AEAT ha negado categóricamente que HERMES y otras aplicaciones como TESEO sean considerados sistemas de inteligencia artificial bajo sus criterios internos. La AEAT mantiene que este sistema no se orienta a perfiles de contribuyentes sino a “colectivos de riesgos” u operaciones. [9] La justificación ofrecida se basa en que HERMES opera sobre riesgos definidos por humanos actuando como una interfaz de gestión, y que TESEO es una herramienta de visualización que ejecuta instrucciones sin aprendizaje autónomo.
Esta discrepancia es fundamental. Sugiere que la AEAT aplica una definición operativa de IA significativamente más restrictiva que la del RIA, posiblemente centrada exclusivamente en sistemas con aprendizaje automático explícito o de alta autonomía decisional.
Las implicaciones de esta exclusión interna son de calado: sistemas con un impacto potencial muy relevante en la selección y control de los contribuyentes podrían quedar fuera del ámbito de aplicación de la propia Estrategia de Inteligencia Artificial de la Agencia Estatal de Administración Tributaria (EIAAT) y de sus correspondientes mecanismos de gobernanza, transparencia y control específicos, generando una potencial brecha regulatoria y de garantías.
La mayoría de la doctrina científica mantiene una postura distinta (a la oficial), describiendo HERMES como la herramienta desarrollada por la AEAT para, apoyándose en la información masiva contenida en el data warehouse Zújar y mediante algoritmos basados en machine learning, elaborar perfiles de riesgo fiscal y clasificaciones de contribuyentes que sirven de apoyo fundamental en la selección de aquellos que serán objeto de procedimientos de inspección. Es decir, se caracteriza por ser un modelo predictivo que actúa (en el mejor de los casos) como sistema de soporte a la decisión humana en la planificación y ejecución del control tributario.[10]
¿Es un SIA o no?
Como hemos indicado, tecnológicamente, aunque la AEAT sostiene oficialmente que HERMES no emplea IA, ni es un SIA (argumentando que los riesgos son definidos por humanos y requieren validación posterior), el análisis funcional basado en las fuentes externas y los expedientes de contratación nos permite concluir que es altamente probable el uso del aprendizaje automático para el cálculo y la puntuación de riesgos.
Esta inferencia se basa en la complejidad inherente al análisis de riesgo tributario moderno a gran escala, la naturaleza predictiva de su función, y la necesidad de procesar y encontrar patrones en volúmenes masivos de datos; capacidades que difícilmente se alcanzarían solo con reglas humanas estáticas.
Para calificar jurídicamente si nos encontramos ante un SIA es imperativo valorar los siete elementos de la definición del artículo 3.1) del RIA. Todo ello en línea con las Directrices de la Comisión Europea de 2025[11] sobre la interpretación de este concepto:
1.- ¿Está basado en máquinas? Sí. Claramente requiere hardware y software para operar sobre Zújar, procesar datos masivos, ejecutar sus algoritmos (sean reglas complejas y/o aprendizaje automático) y generar los informes o perfiles de riesgo.
2.- ¿Tiene distintos niveles de autonomía? Sí. HERMES procesa de forma autónoma la información de Zújar para calcular/asignar riesgos a los contribuyentes según su lógica interna (reglas y/o modelos de aprendizaje automático). Aunque fuéramos al extremo de que la definición del riesgo pueda tener un origen completo humano y la selección final sea validada, el proceso de evaluación y cálculo del riesgo para cada contribuyente (o grupo de obligados tributarios) a partir de los datos es autónomo y se basa en la inferencia con técnicas de IA.
3.- ¿Capacidad de adaptación? Sí (altamente probable, funcionalmente).
Este criterio es facultativo, a diferencia de lo que parece que indica la definición de sistema de IA empleada por la AEAT en su Estrategia de 2024. Es decir, un sistema puede tener, aunque no necesariamente, capacidades de adaptación de autoaprendizaje tras el despliegue. La capacidad de aprender automáticamente, descubrir nuevos patrones o detectar relaciones más allá del entrenamiento inicial es una condición, insisto, facultativa. Esta cuestión ha quedado clarificada en la corrección de errores del RIA publicada en el DOUE el 9/10/2025 (2025/90802), apartado 23) de las directrices. Ya lo entendía así la Comisión Europea en febrero de este mismo año, cuando publicó la guía de interpretación sobre qué es un SIA citada más arriba. Volvamos.
Si bien la AEAT lo niega implícitamente al no clasificarlo como IA, la función de análisis de riesgo predictivo a gran escala y la capacidad de adaptarse a nuevos riesgos y fuentes de información externas (mencionado por la OCDE y probado mediante el estudio de las licitaciones públicas) sugieren fuertemente la necesidad de mecanismos de adaptación, muy probablemente a través de aprendizaje automático propio y de integración con otros proyectos (ROI, etc.) o, como mínimo, mediante la actualización algorítmica basada en resultados, lo que cumpliría el criterio del RIA (“puede mostrar capacidad de adaptación”).
4.- ¿Objetivos explícitos e implícitos? Sí. Objetivos explícitos, por ejemplo, sistematizar la gestión de riesgos, elaborar/obtener riesgos fiscales, generar perfiles/informes de riesgo, apoyar la selección para control. Objetivos implícitos: mejorar la eficiencia y efectividad del control tributario, focalizar recursos en áreas de mayor riesgo, aumentar la recaudación y disuadir el incumplimiento.
5.- ¿Capacidad de inferir? Sí. La tarea de evaluar el riesgo tributario de un contribuyente (o colectivo) a partir de la integración y análisis de múltiples variables y datos masivos es un proceso inferencial. El sistema infiere un nivel de riesgo (una probabilidad o clasificación) basándose en los patrones, correlaciones o reglas (complejas y/o aprendidas por aprendizaje automático como parece ser el caso) que aplica a los datos. Va más allá de la mera consulta o cálculo directo.
6.- Tipos de salidas que genera. Genera principalmente:
- Predicciones. Las puntuaciones o clasificaciones de riesgo son inherentemente predictivas sobre la probabilidad de incumplimiento o la existencia de irregularidades.
- Recomendaciones. Los perfiles de riesgo y las listas de contribuyentes (o grupos de colectivos) identificados como de alto riesgo actúan como recomendaciones clave para la selección de actuaciones de control.
- Contenido. Informes de riesgo estandarizados (mencionado por la OCDE).
7.- ¿Influencia en entornos? Sí. La influencia de HERMES es sustancial:
- Virtual. Asigna puntuaciones/perfiles de riesgo a los contribuyentes en los sistemas de la AEAT, influye en la priorización de tareas, se integra e intercambia datos con otros sistemas (por ejemplo: ROI, REDEME, etc.).
- Físico. Es un factor determinante (posiblemente el principal) en la selección de qué contribuyentes serán objeto de procedimientos de comprobación e investigación, lo que tiene un impacto directo y significativo en la esfera jurídica y económica de las personas y empresas seleccionadas.
Desde la perspectiva del análisis funcional desarrollado en esta investigación, basado en su rol central en la evaluación compleja y predictiva de riesgos a gran escala, su operativa masiva, la alta probabilidad de uso de aprendizaje automático inferido de fuentes internas y externas, así como su influencia determinante en la selección para control, HERMES cumpliría con los siete criterios del artículo 3.1 del RIA y debería ser clasificado como un SIA.
No obstante, es imprescindible señalar la contradicción con la postura oficial explícita de la AEAT, que lo excluye de su definición de IA. Esta discrepancia evidencia una posible interpretación restrictiva por parte de la AEAT de dicho concepto como se desprende de su EIAAT y genera una potencial brecha en la aplicación de la gobernanza y las garantías específicas internas sobre IA a uno de los sistemas analíticos más influyentes en el ámbito del control tributario.
Ahora que nos encontramos en el punto álgido, es el momento de analizar una de las muchas contradicciones respecto de la política de IA publicada en su web (advierto que parafraseo hoy, pero esta publicación en su web muta tanto como algunos criterios administrativos). La AEAT afirma expresamente:
«En cuanto a la fase de selección de contribuyentes, existen herramientas de análisis masivo, que no son IA, y que ayudan a los funcionarios en las tareas de análisis de riesgos previas a los procedimientos de control, siendo su uso limitado al tratamiento automatizado de datos que, en todo caso, deben ser valorados por los funcionarios junto con el resto de la información obtenida, antes de tomar una decisión respecto de una actuación de comprobación inspectora.»
Esta clasificación interna choca frontalmente con la evidencia y el análisis funcional. Sistemas como HERMES, descrito por la AEAT como sistematizador de riesgos y por la OCDE como clave en la selección, realiza una evaluación compleja de riesgos que, por su naturaleza predictiva, su integración con otros sistemas, y su impacto en la selección, difícilmente puede reducirse a un simple “tratamiento automatizado de datos” sin componente inferencial propio de la IA bajo el RIA.[12]
No sólo HERMES, el proyecto MIDAS y otros muchos (del que hay rastro empíricamente contrastable desde 2016), con su uso explícito de aprendizaje automático para “estimar riesgos” y “detectar fraude” expresamente prevista en la licitación pública, contradice directamente la idea de que las herramientas de selección “no son IA”.
Spoiler: este sistema (MIDAS) emplea técnicas como regresión logística, árboles de decisión y clustering con el objetivo de “estimar el riesgo”, crear “sistemas predictivos” y aplicarlo a “detección del fraude, análisis económico (…) o ayuda a la toma de decisiones” (p. ej. riesgo impago aplazamientos). Y se vincula, al menos en lo que permite la trazabilidad de los expedientes de contratación, a los “análisis de redes para recaudación” y “los riesgos de patrimonios relevantes”.
Hay más, como los modelos específicos de aprendizaje automático de 2024 para IRPF/Aduanas, el software de análisis de Criptoactivos o las herramientas OSINT/RIFA y TNA. Todos ellos podrían contribuir con análisis sofisticados (predictivos, clustering, detección anomalías y análisis de redes). El proceso que culmina en la propuesta a selección de grupos o contribuyentes, yendo mucho más allá de un mero “tratamiento automatizado”.
La afirmación de que estas herramientas solo “ayudan” y deben ser “valoradas” por los funcionarios, a mi juicio, busca minimizar el concepto de influencia sustancial relevante para el RIA (artículo 6.3); o quizás se fundamente en un discurso que busque fomentar el control “humano” en todo momento. Una estrategia comunicativa dirigida. A mi juicio, muy poco acertada. Poco creíble.
Un sistema que procesa millones de datos y presenta una lista priorizada de contribuyentes de alto riesgo ejerce, previsiblemente, una influencia determinante en la decisión final, aunque formalmente la tome un humano. La efectividad de esa valoración humana frente a la complejidad y aparente objetividad del sistema es cuestionable y no elimina la influencia de la salida generada por el SIA. Lean sobre el sesgo de automatización y cómo nos influye.
En definitiva, esta aseveración de la AEAT se sustenta en su definición interna y restrictiva de IA, permitiéndole mantener las herramientas más potentes de selección y análisis de riesgos fuera del marco de gobernanza específico de la EIAAT.
Tengo mis dudas (posiblemente infundadas) sobre si es este marco de gobernanza es efectivo o una panacea de blanqueamiento público en un discurso ensayado para dar apariencia de normalidad y control. Centrando el uso de la IA en la asistencia al contribuyente. Esta es una cuestión interna que actualmente no es comprobable.
Sin embargo, el discurso (a mi juicio) contradice la evidencia funcional y contractual analizada, que apunta al uso extensivo de técnicas asimilables a la IA (bajo el RIA) en estas fases cruciales (no sólo en selección, también en los procedimientos [como soporte]), reforzando la tesis de una transparencia selectiva y una potencial brecha en la aplicación efectiva de garantías frente a los sistemas analíticos más influyentes.
Esto consolida la tesis de una transparencia selectiva y una estrategia más de posicionamiento (efectista) que de regulación operativa integral (efectiva), con las consiguientes implicaciones para la protección de los derechos del contribuyente frente a estas tecnologías avanzadas.
¿Posibles problemas jurídicos tangibles? Quizás para otra publicación. Por hacer otro adelanto, sobre HERMES y SIAs parejos: (i) la aparición de sesgos históricos (Garbage In, Gospel Out), discriminación por correlación (Proxy Discrimination). Esta problemática está vinculada con la posible vulneración del artículo 14 de la CE; (ii) datos inferidos, como la «puntuación de riesgo» de la que el interesado no tiene conocimiento; el profiling vinculado a la decisión automatizada y sus consecuencias respecto del artículo 22 del RGPD; la limitación de derechos de facto, como el derecho de acceso a la información personal (al no obtener información sobre actuaciones previas que no se integran en el expediente); los deberes de información de las administraciones públicas; la reutilización masiva de datos (purpose drift) y su posible afectación al principio de limitación de la finalidad para entrenar los propios sistemas o en otros contextos; estas situaciones afectan posiblemente al artículo 18.4 de la CE, etc., ¿afectación también al derecho a la tutela judicial efectiva?
Siguiendo la STS sobre el asunto BOSCO, el fj.7 expresa: “…el acceso al código fuente posibilita la comprobación de la conformidad del sistema algorítmico con las previsiones normativas que debe aplicar, pues la motivación – parametrizada- de la decisión administrativa que tiene lugar, reside en el diseño de los parámetros que determinan ese código fuente.”
A mi juicio, el Tribunal extrae una consecuencia lógica: si el proceso de toma de decisiones que lleva a la motivación final es secreto, el derecho a la tutela judicial efectiva (art. 24 de la CE) y el control de legalidad (art. 106 de la CE) se anulan. El acceso al código deja de ser una cuestión de curiosidad técnica para convertirse en una garantía procedimental esencial.
Me pregunto si la misma problemática jurídica podría plantearse, en algunos casos, respecto de SIAs como el que gestiona las altas en ROI, ¿puede contener sesgos históricos el SIA que propone actuaciones ante un alta en ROI?, ¿nos perfila con cada alta sin nuestro conocimiento?
La doctrina Bosco es un primer paso esencial, pero insuficiente para garantizar la transparencia efectiva de los SIA complejos. Sin embargo, esta doctrina podría ser de difícil aplicación práctica si no se acompaña de una obligación legal y técnica de diseñar sistemas explicables. Identificar el código como motivación es un avance conceptual, pero si el código es ininteligible o el sistema opaco por diseño, el derecho a conocer la motivación se vuelve ilusorio.[13]
Esta STS invita a la reflexión en el contexto tributario. Lo sé. Hay un conflicto entre la interpretación de la efectividad del acceso al código fuente y la motivación en un SIA. No obstante, este pronunciamiento no es el punto final, sino el punto de partida.
HERMES es probablemente un SIA para la selección de los contribuyentes, en el marco de las herramientas amparadas por el artículo 170.7 del RGAT. Estas son actuaciones previas al inicio de los procedimientos. Per se no son actos administrativos, ¿o sí deberían asimilarse (y motivarse) porque las actuaciones de selección pueden afectar sustantivamente a algunos contribuyentes (mediante la limitación de subjetiva de sus derechos o la afectación a los intereses legítimos)?
Hilemos más fino, ante un “caso imaginario”, en el que se produce la vigilancia de los obligados tributarios en redes sociales y plataformas de acceso restringido, mediante avatares (de la AEAT), para determinar (por ejemplo) si hay indicios suficientes para regularizar su situación tributaria a la luz de su “posible” residencia fiscal en España, que arroja posteriormente una alta puntuación de riesgo y, en consecuencia, (según HERMES u otro SIA conexo) se justifica la propuesta para el inicio de un procedimiento inspector.
Como sabrán, algún derecho fundamental debería garantizar el acceso a estas informaciones (p. ej. como exige la legislación de desarrollo del artículo 18.4 de la CE). Aunque en la práctica no se faciliten (seguramente será mi imaginación, fruto de privación de sueño regular desde hace ya 11 meses).
Al final, el dios Hermes no solo era el mensajero; era el dios de las fronteras. El HERMES de la AEAT parece haber heredado precisamente esa función: con una elocuencia divina, difumina la frontera entre una “herramienta de big data” y un sistema de IA; entre la transparencia debida y la opacidad conveniente. El problema es que, en esa “potencial brecha de incertidumbre legal y de control jurídico” que se crea, quedamos a la deriva los contribuyentes.
(Project: 101175282: ERASMUS-JMO-2024-HEI-TCH-RSCH) financiada por la Unión Europea y del Proyecto de I+D+I, referencia: PID2022-139650OB-100: “Administración electrónica, inteligencia artificial y tributos”, financiado por MCIN/ AEI/10.13039/501100011033/ y “FEDER, UE”).
BIBLIOGRAFÍA
ALDEA GAMARRA, A., 2024. La segmentación de contribuyentes en el contexto del cumplimiento cooperativo mediante las ciencias de datos y la inteligencia artificial. En: SANZ GÓMEZ, R. J. (dir.). El control masivo del cumplimiento de las obligaciones tributarias. Dykinson.
CAMPOS MARTÍNEZ, Y. A., 2024 La gobernanza de los datos tributarios digitales en la aplicación de las herramientas de inteligencia artificial. En: COLLADO YURRITA, M. A., ROMERO FLOR, L. M. y NOCETE CORREA, F. J. (dirs), La Digitalización Tributaria. Problemas y oportunidades. Atelier.
GÓMEZ REQUENA, J. Á., 2025. La digitalización de las relaciones tributarias en el desarrollo de un sistema tributario inteligente. Atelier.
MALVÁREZ PASCUAL, L.A., 2022. Las actividades de investigación previas a un procedimiento de inspección tributaria. Una propuesta de marco jurídico para mejorar los mecanismos de selección de los sujetos inspeccionados. Revista Española de Derecho Financiero [en línea], núm. 196. Disponible en: Aranzadi Digital.
MALVÁREZ PASCUAL, L.A., 2023. El uso del Big Data y la inteligencia artificial en la planificación de las actuaciones inspectoras. En: PITA GRANDAL, A. M.; MALVÁREZ PASCUAL, L. A. y RUIZ HIDALGO, C. (dirs.). La digitalización en los procedimientos tributarios y el intercambio automático de información. Aranzadi.
MARTÍN LÓPEZ, J., 2022. Inteligencia artificial, sesgos y no discriminación en el ámbito de la inspección tributaria. Crónica Tributaria, n.º 182, DOI: 10.47092/CT.22.1.2.
OLIVER CUELLO, R., 2021. Big data e inteligencia artificial en la Administración tributaria. IDP. Revista de Internet, Derecho y Política [en línea]. Octubre 2021, n.º 33. Disponible en: doi:10.7238/idp.v0i33.381275.
OLIVER CUELLO, R., 2024. La estrategia de Inteligencia Artificial de la Agencia Tributaria. Nueva Fiscalidad. 2024, n.º 4, DOI: 10.14679/3911.
PÉREZ BERNABEU, B., 2024. Inteligencia Artificial y Administración tributaria a la luz del principio de legalidad: hacia un marco jurídico garantista. Revista Española de Derecho Financiero. 2024, núm. 204.
PÉREZ POMBO, E. V., 2024. ¿Es legítimo y aceptable el uso de la inteligencia artificial por parte de la Administración tributaria? En: HINOJOSA TORRALVO, J. J. y SÁNCHEZ-ARCHIDONA HIDALGO, G. (dirs.). Inteligencia artificial, cumplimiento voluntario, y los derechos y garantías de los contribuyentes.
SÁNCHEZ-ARCHIDONA, G., 2023. El sistema de relaciones entre la Administración tributaria y los contribuyentes en la era de la inteligencia artificial y del cumplimiento voluntario. Aranzadi/Civitas.
VEGA PEDREÑO, I., 2024. Consideraciones en torno a la transparencia y motivación de las actuaciones tributarias fundamentadas en inteligencia artificial: un camino por recorrer. En C. García Novoa & F. Hernández Rodríguez (dirs.), & P. Durán Santomil, J. M. Maside Sanfiz, & M. R. Torres Carlos (coords.), Estudios sobre inteligencia artificial y economía digital. Aranzadi/Civitas.
Notas a pie:
[1] Expedientes de contratación pública 20840014900, 21840067100, 22840027900, 23840000800 y 24840066800.
[2] La centralidad y escala de Zújar como pilar del ecosistema de datos de la AEAT ha sido confirmada por fuentes directas de la propia AEAT. Ha sido descrito como una “herramienta de análisis de datos” dotada de un “visor muy potente” que integra la información de aproximadamente 2000 bases de datos distintas, permitiendo a los funcionarios realizar consultas complejas y personalizadas, cruzar variables, generar tablas o agrupar colectivos, siempre asociando la información al NIF del contribuyente. La magnitud del procesamiento que habilita Zújar se ilustra con la afirmación de que replicar manualmente sus análisis requeriría “miles de funcionarios”, subrayando su rol indispensable en el manejo del Big Data tributario. Véanse los expedientes: 16840006900, 18840060100, 18840149000, 21840011300, 21840067100, 22840027900, 23840000800 y 24840066800
[3] Herramienta de reporting avanzado sobre Zújar/Teseo. Permite lógica compleja, pero no se describe que use IA para la generación de informes. Podría incorporar IA para sugerir informes o análisis.
[4] Mencionada en el expediente 23840000800 y 24840066800. Sobre la calificación del sistema ROI (como SIA) véase el análisis previo: https://zenodo.org/records/14900116. Expediente 17840060500.
[5] La función de estos sistemas, centrada en la gestión de riesgos y el perfilado de contribuyentes, se alinea con las técnicas de segmentación basadas en ciencia de datos e IA que describe Aldea Gamarra (2024: pp. 100-106), utilizadas para categorizar a los obligados según su probabilidad de incumplimiento y adaptar las actuaciones de control.
[6] Expediente 20840014900.
[7] P. 51.
[8] Análisis predictivo de riesgo a gran escala con capacidad de adaptación, complejidad del análisis de riesgos/grafos, potencial predictivo y necesidad de manejar patrones complejos.
[9] Véase De la Lastra, G. (2024, 8 de noviembre). [Ponencia sobre la Estrategia de IA de la AEAT]. Reflexiones sobre la Estrategia de Inteligencia Artificial de la Agencia Tributaria, Madrid, España. https://www.youtube.com/watch?v=OZVWax2OKoE : 00:16:40, 00:17:39.
[10] Sin ser exhaustivos: Campos Martínez (2024); Gómez Requena (2025: pp. 108-111); Malvárez Pascual (2022: p.9) (2023: pp.131-132); Martín López (2022: pp. 56-63); Oliver Cuello (2021: p.4) (2024: pp.19-53); Pérez Bernabeu (2024); Pérez Pombo (2024); Sánchez-Archidona (2023:pp.35-37); y Vega Pedreño (2024: pp. 226-229).
[11] Véase https://digital-strategy.ec.europa.eu/es/library/commission-publishes-guidelines-ai-system-definition-facilitate-first-ai-acts-rules-application. Es cierto que en el apartado 7) se indica que las presentes directrices no son vinculantes y que es, en última instancia el TJUE quien puede interpretar el concepto de SIA.
[12] Véase De la Lastra, G. (2021, 1-2 de julio). [Ponencia sobre el uso del Big Data en la AEAT]. Jornadas “Prevención en la lucha contra el fraude fiscal en la época del Big Data”, Málaga, España. https://www.youtube.com/watch?v=AXrxOZfdDoA : 00:08:27.
[13] Una justificación, incluso detallada, podría reflejar correctamente la normativa aplicada, pero omitir errores específicos de implementación, casos límite mal gestionados por el código o el SIA, o sesgos, que solo un análisis del algoritmo o los factores de determinación de la decisión del SIA podría revelar.
Hacienda sigue pisoteando los derechos de los contribuyentes y cada vez con más fuerza.
Lo más curioso es que se centra en ir contra los contribuyentes revisando cualquier desliz, y ni se preocupa en buscar a todos aquellos que sin ser contribuyentes evaden sus obligaciones con economías completamente sumergidas que escapan a cualquier control.
Más trabajo de personas inteligentes fuera de sus despachos y menos trabajos analíticos de datos que son incompletos y por tanto erróneos.
Estoy cansado de ver negocios que mueven muchos euros y que ganan muchísimo por no cotizar y por no pagar ni un solo impuesto.
Muchas gracias por este excelente artículo.
Tras leerlo, he sentido curiosidad por saber qué podría contestarnos una IA a la pregunta siguiente: «Eres un experto jurista tributario, asesor de empresas y de contribuyentes, habituado a «pelearte» con la agencia tributaria. Quiero que analices este artículo https://fiscalblog.es/ia-o-elocuencia-divina-el-dilema-de-hermes-en-la-aeat/ y toda la información que puedas sacar consultando todas las bases de datos disponibles y me elabores un plan/antídoto para escapar a las predicciones de HERMES.» La respuesta de Gemini ha sido la siguiente:
«He analizado la cuestión que plantea. Como jurista tributario acostumbrado a la «batalla» con la Administración, entiendo perfectamente su preocupación. El artículo de Fiscalblog que menciona (y que conozco, al igual que la herramienta que describe) toca un punto clave: el «dilema de Hermes» no es tecnológico, es jurídico.
La Agencia Tributaria (AEAT) ha invertido ingentes recursos en herramientas de Big Data e Inteligencia Artificial, siendo HERMES (Herramienta de Explotación y Rastreo de Modelos de Ocultación de Ingresos) su punta de lanza para la selección de contribuyentes a inspeccionar.
Aquí tiene mi análisis y el «antídoto» que solicita.
Análisis de HERMES: Qué es y Qué No Es
Primero, hay que desmitificar a HERMES. No es un oráculo divino, como sugiere el artículo. Es un modelo predictivo de machine learning.
Qué SÍ es: Es un algoritmo de análisis de riesgo. Se alimenta de una cantidad masiva de datos que la AEAT ya posee: declaraciones (IVA, IS, IRPF), datos del SII (Suministro Inmediato de Información), operaciones con terceros (Modelo 347), datos bancarios (Modelo 173, requerimientos puntuales), titularidades catastrales y, crucialmente, datos de intercambio internacional (CRS, FATCA, DAC6).
Cómo funciona: HERMES no busca (al menos no primariamente) el fraude directo y evidente. Busca anomalías estadísticas y patrones de comportamiento. Compara a un contribuyente (empresa o persona) con lo que el algoritmo considera «normal» para su sector, volumen de facturación, ubicación y estructura.
Qué NO es: HERMES no es un Inspector de Hacienda. No emite actas de liquidación. Es una herramienta de selección. Su función es decirle al Inspector (humano) dónde mirar.
El «dilema» que plantea el blog es que la AEAT utiliza una probabilidad estadística (una inferencia) como motivo de inicio de una inspección, pero la Ley General Tributaria (LGT) exige hechos ciertos y pruebas para liquidar y sancionar.
Nuestro campo de batalla está exactamente en esa brecha: entre la inferencia de la IA y el hecho probado que exige la Ley.
El Antídoto: Plan de Actuación en Dos Fases
Para «escapar» a las predicciones de HERMES, el plan no es ser invisible (eso es imposible), sino ser estadísticamente irrelevante o, si se es señalado, estar preparado para desmontar la inferencia del algoritmo.
Fase 1: Prevención y Cumplimiento Proactivo (El «Camuflaje de Datos»)
El objetivo aquí es no activar las alertas del algoritmo. HERMES busca outliers (valores atípicos). Debemos evitar ser uno.
Coherencia Absoluta de Datos (Trazabilidad Total): HERMES es una gigantesca máquina de cruzar datos. La primera bandera roja es la incoherencia.
Acción: Asegurar una consistencia milimétrica entre el Modelo 303 (IVA), 347 (Terceros), 190 (Retenciones), 349 (Intracomunitarias) y el Impuesto de Sociedades (Modelo 200).
Acción: En el caso de personas físicas (socios, administradores), la coherencia debe existir entre sus gastos declarados (o signos externos de riqueza que la AEAT pueda conocer) y sus ingresos (nómina, dividendos, etc.).
Acción: Revisar que el SII (si aplica) esté perfectamente alineado con las autoliquidaciones. Un desfase es una alerta automática.
Benchmarking Sectorial (Evitar la Anomalía): HERMES compara sus ratios financieros con los de su sector (su código CNAE).
Acción: Conocer los márgenes brutos, márgenes netos, ratios de gastos de personal y gastos de explotación medios de su sector.
Acción: Si su empresa se desvía significativamente (p.ej., declara un margen del 3% cuando la media del sector es del 20%), HERMES lo marcará como riesgo de ocultación de ventas.
Antídoto: Si existe una desviación real y justificada (p.ej., política de precios de penetración, año de lanzamiento, estructura de costes atípica), debe tenerla documentada ex ante. Prepare un argumentario económico que justifique por qué su empresa no es como las demás.
Minimización de Operaciones de «Riesgo Algorítmico»: Hay operaciones que la IA está programada para ver como «sospechosas».
Saldos de Caja (Cuenta 570): Saldos de caja elevados o movimientos de caja recurrentes son la mayor bandera roja de economía sumergida. Antídoto: Bancarizar al máximo. Cualquier saldo de caja debe ser testimonial o estar perfectamente justificado (p.ej., arqueos diarios firmados en un negocio minorista).
Operaciones Vinculadas: Operaciones entre el socio y la sociedad, o entre empresas del mismo grupo, son analizadas al detalle. Antídoto: Disponer siempre de la documentación de precios de transferencia (incluso en los casos de documentación simplificada), con contratos que soporten la realidad del servicio y valoraciones de mercado.
Gastos «Personales» en la Sociedad: HERMES busca patrones de gastos (gasolineras en fin de semana, restaurantes, viajes) que no se corresponden con la actividad. Antídoto: Una política de gastos de representación y dietas férrea, clara y documentada.
Fase 2: Defensa y Reacción Jurídica (El «Contrainterrogatorio» al Algoritmo)
Si la Fase 1 falla y HERMES lo selecciona, se inicia la inspección. Aquí es donde nos «peleamos» legalmente.
Exigencia de Motivación (Atacar la «Caja Negra»): El contribuyente tiene derecho a conocer por qué se le inspecciona. La AEAT no puede basar una liquidación en «el ordenador dice que usted es un riesgo».
Acción: En el procedimiento inspector, solicitar formalmente la exposición de los criterios objetivos que han llevado a su selección y a la propuesta de regularización.
Acción: Si la motivación se basa en «ratios sectoriales» de los que usted difiere, exija que la AEAT aporte la fuente de dichos ratios (de dónde los obtiene, qué muestra ha utilizado). La carga de la prueba de que sus ratios son «anómalos» recae en la Administración.
Inversión de la Presunción (Hechos vs. Inferencias): El core del asunto. El algoritmo de HERMES genera una presunción (una probabilidad estadística), pero no una prueba de fraude.
Acción: La defensa debe basarse en que la Ley General Tributaria (Art. 105 y 108) exige que la Administración pruebe los hechos constitutivos de la obligación tributaria. Una estadística no es un hecho.
Acción: Aportar la prueba en contrario (carga probatoria). Si HERMES presume que usted oculta ventas porque su margen es bajo (Fase 1), usted debe aportar la probanza (documentación) que justifica ese margen bajo: facturas de compra elevadas, una guerra de precios en su sector, costes de inicio, etc.
Cuestionar la Idoneidad del Modelo (El «Fitness» del Algoritmo): Esta es la defensa más avanzada.
Acción: Cuestionar si el «sector» con el que HERMES le compara es realmente homogéneo. Ejemplo: No se pueden aplicar los mismos ratios a una consultora boutique de alta especialización (pocos clientes, márgenes altos) que a una consultora de volumen (muchos clientes, márgenes bajos), aunque ambas compartan el mismo CNAE genérico.
Acción: Debemos demostrar que el input del algoritmo es erróneo o incompleto, y que las conclusiones que extrae no son aplicables a la realidad específica de su negocio.
Conclusión
El «antídoto» contra HERMES no es un truco, es una combinación de prevención documental rigurosa y estrategia procesal asertiva. La IA es una herramienta poderosa para encontrar indicios, pero sigue estando sujeta al imperio de la Ley y al derecho de defensa.
La mejor defensa es el orden: coherencia contable, justificación documental de cada decisión empresarial y conocimiento profundo de su propio sector para defender por qué su negocio es como es.»
Coincido contigo no hace mucho publique esto en LinkedIn:¿Conoces el caso BOSCO?
Probablemente no. Pero debería preocuparte.
¿Qué es BOSCO? Un algoritmo. Un sistema que decide quién accede o no al bono social eléctrico. Durante años funcionó en la sombra. Hacienda se negó a explicar cómo decidía. Argumentó «propiedad intelectual» y «seguridad nacional». El Tribunal Supremo dijo no en septiembre de 2025. La sentencia 1119/2025 fue tajante: si una máquina decide sobre tus derechos, tienes derecho a saber cómo funciona. Eso parece obvio. Pero no es lo que sucede.
¿Por qué importa BOSCO? Porque el tribunal detectó errores sistemáticos que solo eran visibles accediendo al código fuente. Sin transparencia, esos errores permanecían ocultos. Durante años, personas fueron denegadas sin justificación. Nadie lo sabía. Una máquina lo hacía, y nadie podía auditar. El Supremo estableció un precedente: cualquier decisión automatizada que afecte derechos debe ser auditable. No hay excepción.
¿Y qué tiene que ver BOSCO contigo? Todo. Hacienda utiliza sistemas automatizados para seleccionar a quién inspeccionar, a quién enviar requerimientos. Estos sistemas analizan perfiles de contribuyentes, cruzan datos de múltiples fuentes. Te llega una carta. Te pide documentación. Explique esto. Aclare aquello. Pero ¿por qué la tuya y no la del vecino? Nunca lo sabes. La respuesta es: un algoritmo decidió.
¿Qué criterios usan esos sistemas? Nadie los publica. El artículo 85 del Reglamento de Inspección exige solo nombrar la herramienta, no explicar cómo funciona. Tributaristas españoles advierten: esto recuerda a «Minority Report»: condena preventiva sin cara visible. Seleccionado sin saber por qué. Requerido sin justificación. Obligado a probar tu inocencia.
¿Hacienda tiene garantías? Dirá que sí: supervisión humana, personas revisando cada decisión. El Real Decreto 817/2023 lo exige. Pero ¿quién verifica esa supervisión?
La Agencia Española de Supervisión de IA carece de poder coercitivo. Y más importante: inspectores revisan después de que el sistema ya seleccionó. El daño ya está hecho. Cargas administrativas innecesarias. Plazos cortos. Incertidumbre. La garantía es póstuma.
¿Qué pasa cuando llega tu requerimiento? Cumples. ¿Qué otra opción tienes? Pero aquí está la pregunta que falta: ¿por qué no exiges lo mismo que el Tribunal Supremo exigió a BOSCO? Que alguien con nombre y cargo explique por qué fuiste seleccionado. Que publique criterios. Que muestre qué datos activaron la actuación. Que permita auditar sesgos. Eso no encorseta a Hacienda. La robustece.
¿Qué dice el derecho? El Tribunal Supremo en BOSCO. El Reglamento europeo de IA. La Constitución. Todos dicen lo mismo: decisiones automatizadas, transparencia obligatoria. Pero entre lo que dice la ley y lo que hace Hacienda hay un abismo.
¿Qué haces cuando llegue tu próximo requerimiento? ¿Aceptas «el sistema decidió»? ¿O preguntas quién? ¿Exiges criterios? ¿Pides acceso a los datos que te señalaron? Eso es corresponsabilidad. No es un pulso. Es democracia. Hacienda debe hablar claro. Y tú debes exigirlo con educación y firmeza. La modernidad no es velocidad de cálculo. Es explicabilidad de decisiones. Esa es la única transformación digital que importa.
«¿Cuál es tu respuesta? Comenta: ¿Hacienda te ha requerido alguna vez sin justificación clara?»
Buenos días, un artículo muy interesante. Pero digo yo que a HERMES le «nutrirán» (técnicos en la materia) con conceptos de fraude basados en la experiencia, para que pueda detectar posibles casos de fraude, casos que serán analizados por personas físicas de Hacienda antes de iniciar una inspección. De este modo la decisión sobre iniciar una inspección será tomada por personas físicas, no IA. Si además HERMES es capaz de generar criterios de riesgo de fraude por si mismo, más posibles inspecciones que valorar. Y digo yo, quizás me equivoque, que HERMES acertará bastante en sus predicciones. Ergo el sesgo vendrá determinada por los hechos analizados por HERMES, no por su análisis por HERMES, sesgo que sería seguramente el mismo si HERMES no existiera -ya hace 2.000 años los inspectores se guiarían por su intuición, conocimientos, información concreta de datos…-.
Hola,
estoy leyendo el artículo y estoy un poco asombrado. A ver, yo creo que a veces se pierde un poco la cabeza por no conocer la situación interna de lo que se habla.
Para empezar, nadie sabe en la AEAT para qué vale Hermes. Me imagino que será un artilugio de las UPS. Pero la selección en la práctica se sigue haciendo a mano. Porque hay que mirar a los obligados tributarios. Por la sencilla razón de que un error en carga implica que se pierda muchísimo tiempo. Y se moleste a un contribuyente innecesariamente.
Teseo no vale para nada. Puede tener alguna aplicación muy concreta. Pero yo hago lo que hace Teseo a mano. Por motivos bastante obvios.
Y los Zújar son simples tablas dinámicas. Los técnicos de hacienda -que hacen las tres cuarteas partes de la inspecciones que se hacen ahora mismo en España, lo digo por algún comentario- y los inspectores que hacen inspecciones lo usan como tal.
De hecho, hay no poca gente en inspección que no sabe usarlo. Y con tablas cruzadas ya no digamos.
A veces, uno lee artículos -lo digo por varias cosas que he leído últimamente-, que se dedican a describir su trabajo y el de sus compañeros, y parece poco menos que eres el hombre biónico, en un misión más propia de Star Trek.
Y la cosa es bastante más pedestre.