DORA, en claro: la ley que protege a las finanzas de las averías y los ciberataques
4
Mín
•
06.07.2026
En resumen: DORA obliga a los bancos, las aseguradoras y los demás actores financieros, así como a sus proveedores tecnológicos, a seguir funcionando incluso en caso de avería informática o ciberataque. La ley ya está en vigor desde enero de 2025, y 2026 marca el inicio de los controles.
¿Qué es DORA exactamente?
DORA es una ley europea: el Reglamento (UE) 2022/2554. Su nombre completo, «Digital Operational Resilience Act», significa simplemente «ley sobre la capacidad de resistencia de los sistemas digitales».
La idea cabe en una frase: cuando un banco o una aseguradora depende de la informática para funcionar, una avería o un ciberataque deja de ser un simple problema técnico y se convierte en un riesgo para todo el sistema financiero. DORA impone, por tanto, reglas comunes para evitar estos incidentes, reaccionar rápido cuando ocurren y seguir atendiendo a los clientes.
Dos cosas para recordar:
- La ley es aplicable desde el 17 de enero de 2025. Se aplica directamente, sin pasar por una ley nacional.
- Afecta a una veintena de tipos de actores financieros (bancos, aseguradoras, proveedores de pago, fintechs, gestores de fondos), y también a sus proveedores de tecnología.
A quién afecta (y por qué va más allá de los bancos)
El punto que a menudo se malinterpreta: DORA no se detiene en las instituciones financieras. También se aplica a sus proveedores informáticos. Un editor de software que vende sus servicios a un banco se convierte, a ojos de la ley, en un eslabón de su solidez. Debe, por tanto, poder cumplir las mismas exigencias: seguridad, disponibilidad, derecho de supervisión del cliente.
Dicho de otro modo: si usted proporciona tecnología al sector financiero, DORA también le afecta, aunque no sea un banco.
Lo que DORA exige, en 5 puntos
1. Gestionar los riesgos informáticos
Cartografiar sus herramientas, identificar los puntos sensibles, prever un plan para seguir funcionando en caso de imprevisto grave. La responsabilidad llega hasta la dirección.
2. Notificar los incidentes graves
Todo incidente informático importante debe ser notificado a las autoridades, en plazos y en un formato idénticos en toda Europa.
3. Poner a prueba su solidez
Los actores más importantes deben someter sus defensas a verdaderas simulaciones de ataque, al menos una vez cada tres años.
4. Supervisar a sus proveedores informáticos
Es el punto más estructurante. Los contratos con los proveedores deben prever garantías claras: seguridad, derecho de auditoría, control de la subcontratación, localización de los datos, posibilidad de cambiar de proveedor. Los proveedores considerados más críticos son incluso supervisados directamente a nivel europeo.
5. Compartir la información sobre las ciberamenazas
DORA anima a los actores financieros a intercambiar entre ellos sobre las amenazas para defenderse mejor de forma colectiva.
¿En qué punto estamos en 2026?
La ley lleva aplicándose desde hace unos dieciocho meses. En Francia, la ACPR ha pasado del acompañamiento a los controles reforzados. Los proyectos en curso: mantener al día el registro de sus proveedores informáticos, designar a los proveedores críticos y lanzar las pruebas de seguridad para los actores más grandes.
El punto clave: conocer bien a sus proveedores
DORA recuerda una evidencia: un banco solo es sólido si sus proveedores también lo son. Esto obliga a las instituciones a evaluar mejor a las empresas con las que trabajan.
Es exactamente la lógica del Know Your Supplier (KYS) y, más ampliamente, del KYB: verificar una empresa, a sus dirigentes y su fiabilidad antes y durante la relación, gracias a una puntuación de confianza empresa.
Cuánto cuesta el incumplimiento
Las sanciones son elevadas. Una institución financiera se arriesga a hasta el 2 % de su volumen de negocio anual mundial. Un proveedor crítico puede ser sancionado cada día que no esté en regla, hasta el 1 % de su volumen de negocio diario medio, durante seis meses. Más allá de la multa, lo que está en juego es la confianza de los clientes.
DORA y la lucha contra el fraude
Seguir operativo y luchar contra el fraude son el mismo combate: recorridos de clientes fiables y disponibles. Un sistema de identidad y detección de fraude que se cae es una puerta abierta a los defraudadores. Asegurar estos recorridos sirve, por tanto, tanto al cumplimiento de DORA como a la protección contra el fraude.
Su checklist DORA
Va por buen camino si puede responder «sí» a cada punto:
- La lista de sus proveedores informáticos está al día.
- Sus contratos con proveedores prevén las garantías DORA (auditoría, seguridad, reversibilidad).
- Sabe detectar y notificar un incidente informático importante.
- Sus pruebas de seguridad están planificadas.
- Evalúa la fiabilidad de sus proveedores y clientes empresa (KYS / KYB).
En conclusión
DORA convierte la solidez informática en una obligación legal, y ya no en una simple buena práctica. Y envía un mensaje claro a todo el ecosistema: conocer a sus proveedores, asegurar sus recorridos y guardar un rastro de sus decisiones ya no es opcional. Buena noticia: son reflejos que protegen también contra el fraude.
Fuentes: Reglamento (UE) 2022/2554 (DORA), Diario Oficial de la Unión Europea; ACPR, expediente DORA.
Evalúe a sus proveedores, fiabilice sus recorridos
Meelo ayuda a los actores financieros a conocer y evaluar a sus proveedores y clientes empresa (KYB, puntuación de confianza, Know Your Supplier), y a asegurar sus recorridos de identidad y antifraude. Una decisión en 2 a 5 segundos, documentada y auditable.

%20(1).jpg)
.png)
.jpg)