En enero de 2025, el Reglamento de Resiliencia Operativa Digital —conocido por su acrónimo en inglés, DORA— entró en plena aplicación en toda la Unión Europea, marcando un antes y un después en la forma en que bancos, aseguradoras y fintech abordan la ciberseguridad. Un año después, el sector financiero europeo hace balance de sus logros y los retos que aún quedan por resolver.
La conclusión principal es clara: DORA ha dejado de ser un ejercicio de cumplimiento en papel para convertirse en un catalizador de cambio operativo real. Y las entidades que no lo han entendido así están recibiendo un aviso urgente de los supervisores.
Qué es DORA y por qué importa
DORA (Digital Operational Resilience Act) es el marco regulatorio más ambicioso que Europa ha construido para garantizar que el sistema financiero pueda resistir, responder y recuperarse de incidentes relacionados con las tecnologías de la información y la comunicación (TIC). Aplica a más de 20.000 entidades en toda la UE: bancos, empresas de inversión, entidades de pago, plataformas de crowdfunding, aseguradoras y, muy especialmente, sus proveedores tecnológicos críticos.
Lo que hace a DORA singular no es solo su alcance, sino su enfoque: en lugar de limitarse a exigir planes de seguridad en un cajón, el reglamento obliga a las entidades a demostrar que sus controles funcionan bajo presión real. La supervisión se ha vuelto dinámica y las auditorías, más exigentes.
Los cinco pilares que estructuran el cumplimiento
La arquitectura de DORA descansa sobre cinco áreas interconectadas que toda entidad financiera debe dominar:
1. Gestión de riesgos TIC. Las entidades deben identificar, clasificar y mitigar continuamente los riesgos tecnológicos que afectan a sus operaciones. No basta con una evaluación anual; el marco exige revisiones periódicas y una cultura de vigilancia activa.
2. Clasificación y reporte de incidentes. Cuando se produce un ciberataque o una interrupción grave, el reloj empieza a correr. DORA establece plazos estrictos para notificar a los supervisores —las primeras 4 horas para la notificación inicial— y exige informes detallados sobre causa, impacto y medidas adoptadas.
3. Pruebas de resiliencia operativa digital. Las entidades de mayor tamaño deben someterse a ejercicios avanzados de prueba de penetración (TLPT) realizados por equipos externos especializados. El objetivo: descubrir vulnerabilidades antes de que lo hagan los atacantes.
4. Gestión de riesgos de terceros. Aquí reside uno de los puntos más complejos. Las entidades deben mapear todos sus proveedores TIC críticos, exigir contractualmente determinados estándares de seguridad y demostrar que tienen planes de contingencia si un proveedor falla. Los grandes cloud providers y plataformas SaaS se han convertido en protagonistas involuntarios de esta regulación.
5. Compartición de información sobre amenazas. DORA fomenta —y en algunos casos obliga— a que las entidades compartan información sobre ciberamenazas con el ecosistema sectorial. La lógica es simple: un banco que detecta un nuevo patrón de ataque tiene el deber ético (y ahora también regulatorio) de alertar al sistema.
Un año de cumplimiento: lo que ha funcionado y lo que cuesta
Según los análisis publicados por KPMG y otras consultoras especializadas, las entidades han avanzado significativamente en los inventarios de activos TIC y en la mejora de sus marcos contractuales con terceros. Sin embargo, la gestión dinámica del riesgo de proveedores sigue siendo el talón de Aquiles del sector.
El problema es estructural: muchas entidades financieras tienen decenas o incluso cientos de proveedores tecnológicos. Saber en tiempo real cuáles son críticos, qué nivel de acceso tienen a los sistemas, y qué ocurriría si uno de ellos sufriera un ataque o cerrara, es un ejercicio de complejidad enorme. Las fintech, por su naturaleza cloud-native, presentan a veces una exposición mayor que los bancos tradicionales, aunque también cuentan con la ventaja de arquitecturas más modernas y auditables.
Otro reto es el talento. La demanda de profesionales en ciberseguridad financiera ha disparado los salarios y la competencia por los perfiles especializados. Las entidades más pequeñas —muchas fintech entre ellas— encuentran difícil competir con los grandes bancos o con las propias empresas de tecnología para atraer a los expertos que DORA requiere.
Las sanciones ponen el listón muy alto
Las consecuencias de no cumplir con DORA son severas. Las autoridades nacionales competentes pueden imponer multas de hasta el 1% de la facturación global diaria durante períodos prolongados. En casos extremos, los directivos pueden enfrentar responsabilidad personal, incluyendo sanciones penales.
Pero más allá de las multas, el verdadero riesgo reputacional es enorme. Un incidente grave mal gestionado —o una auditoría que demuestre controles inadecuados— puede traducirse en pérdida de licencias, exclusión de licitaciones o simplemente en la pérdida de confianza de clientes e inversores.
El impacto sobre el ecosistema fintech europeo
Para las startups y scaleups del sector, DORA representa tanto una carga como una oportunidad. La carga es obvia: cumplir con un marco regulatorio tan exigente requiere inversión en personas, procesos y tecnología que muchas empresas jóvenes no tienen disponible de inmediato.
Pero la oportunidad es real. Las entidades financieras establecidas, sometidas a DORA, necesitan proveedores que ya lleguen con el estándar integrado. Las fintech que puedan acreditar su resiliencia operativa —y ofrecer herramientas que ayuden a otros a conseguirla— tienen una ventaja competitiva creciente en el mercado europeo.
De hecho, ha surgido toda una categoría de soluciones "RegTech for DORA": plataformas que automatizan el mapeo de riesgos de terceros, herramientas de reporte de incidentes en tiempo real y servicios de pruebas de penetración especializados en el sector financiero. El mercado se está adaptando con rapidez.
Hacia una Europa más resiliente
DORA llega en un contexto donde los ciberataques al sector financiero no paran de crecer. Según el Foro Económico Mundial y Accenture, la IA generativa está amplificando la sofisticación de las amenazas: desde deepfakes de CEOs solicitando transferencias urgentes hasta malware que muta su firma para evadir antivirus tradicionales.
En este escenario, la resiliencia operativa no es un lujo regulatorio: es una condición de supervivencia. DORA, con todas sus exigencias y complejidades, apunta en la dirección correcta. El sector financiero europeo tiene ahora un marco común para construir algo que antes era fragmentado y voluntario.
El año que viene traerá las primeras sanciones públicas de calado. Y con ellas, la señal definitiva de que Europa habla en serio cuando dice que la ciberseguridad financiera es una prioridad estratégica.
