En un entorno cada vez más digitalizado, donde las finanzas dependen en gran medida de tecnologías avanzadas, la seguridad y la confianza de los usuarios son aspectos fundamentales. De ahí la creación del nuevo Reglamento sobre la resiliencia operativa digital del sector financiero, más conocido como DORA, y que entró en vigor el 17 de enero de 2025. Esta normativa clave de la Unión Europea, el Reglamento UE 2022/2554, busca mejorar la resiliencia operativa digital de las instituciones financieras para proteger a los usuarios de dicho sector frente a riesgos asociados a las TIC y a interrupciones operativas.
DORA está estructurada en cinco pilares: gestión y gobernanza de las TIC, notificación de incidentes, pruebas de resiliencia operativa, gestión de riesgos de terceros e intercambio de información. Asimismo, su objetivo es crear un marco robusto de fortaleza digital capaz de garantizar que las instituciones financieras y proveedores gestionen de manera eficiente la operatividad financiera. Su funcionamiento se basa en la seguridad y continuidad ante las adversidades con sistemas y protocolos claros capaces de responder, prevenir y detectar ciberamenazas.
Con DORA, las entidades financieras realizan auditorías de sus proveedores
Gracias a DORA, las plataformas digitales, como aplicaciones bancarias, servicios de pago y sistemas de inversión, serán más seguras y confiables para los usuarios. La cooperación entre entidades financieras y reguladores facilita compartir información además de dar una respuesta rápida y eficaz a posibles ataques, minimizando su impacto en los usuarios. También introduce un marco regulatorio que supervisa a proveedores críticos, por lo que garantiza el cumplimiento de los más altos estándares de seguridad con el fin de proteger al usuario final de posibles fallos que podrían surgir por la dependencia excesiva de terceros.
DORA, entre otras cuestiones, obliga a las entidades financieras a realizar auditorías periódicas de sus proveedores y a establecer mecanismos capaces de mitigar riesgos asociados a la subcontratación. Asimismo, les exige notificar los incidentes graves relacionados con las TIC a las autoridades financieras competentes, mejorando así la capacidad de respuesta y la transparencia.
En definitiva, todos los participantes del ecosistema financiero salen fortalecidos, las entidades aprenden de los errores, refuerzan sus sistemas e innovan en este entorno sin comprometer la seguridad, beneficiando a los usuarios. Las nuevas tecnologías aseguran un enfoque centrado en la protección de datos y en la confianza; además, impulsan la competencia del sector con incentivos para que las empresas ofrezcan mejores prácticas y servicios más seguros y eficientes.
Esta normativa representa, sin duda, un avance significativo para mejorar la seguridad y la resiliencia del sector financiero en la Unión Europea. Con su puesta en marcha, los usuarios finales se benefician de una mayor protección frente a ciberamenazas con una mayor transparencia, servicios más confiables, supervisión de proveedores externos, innovación responsable, reducción de costes y mayor estabilidad financiera. Esto permite una respuesta coordinada a las diferentes amenazas e impulso a la conectividad.
La cruz del Reglamento
Dicho Reglamento exige pruebas periódicas de resiliencia operativa para que las plataformas digitales puedan soportar interrupciones y los usuarios dispongan de un acceso continuo y confiable a sus servicios financieros. Incluso durante situaciones inesperadas o de crisis, las entidades financieras continúan operando. En caso de producirse un ciberataque masivo, los clientes podrán seguir utilizando servicios esenciales como transferencias o pagos sin interrupciones significativas.
La adopción de esta nueva normativa por parte del sector financiero tiene un impacto positivo que trasciende más allá del propio sector al contribuir a una sociedad más segura y tecnológicamente avanzada. Pero es inevitable, llegados a este punto, plantear la otra cara de DORA, su cruz, la más controvertida que son los posibles efectos negativos para los usuarios:
- El cumplimiento de los requisitos normativos generará mayores costes operativos a las instituciones. ¿Quién se hará cargo de esos costes? ¿Serán trasladados a los usuarios?
- La regulación financiera y el cumplimiento normativo por parte de las instituciones, ¿frena el desarrollo de nuevas tecnologías financieras accesibles para los usuarios al estar las instituciones más preocupadas de cumplir la normativa?
- ¿Cómo van a cumplir las exigencias de DORA las instituciones financieras más pequeñas? ¿Podría ser el final de la competencia? En ese caso, los usuarios tendrían menos opciones.
- La comunicación: ¿transparencia de responsabilidades o confusión de los usuarios en cuanto a sus derechos?
La nueva regulación plantea muchos interrogantes. A la hora de pedir un préstamo, ¿aleja o acerca a los usuarios mayores?, ¿caminamos hacia un sistema más inclusivo?, ¿será el usuario final quien pague económicamente un sistema financiero más seguro y fuerte? En definitiva, las dos caras de una ley que apuesta por la seguridad y fortaleza del sistema financiero, los beneficios y posibles perjuicios para los usuarios finales.
