Por Valentina Borgia, Senior Consultant & Growth Manager en Formalize
DORA está a punto de cumplir un año y la pregunta sigue en el aire: ¿es realmente necesaria?
DORA existe para evitar un “efecto dominó”. El mundo financiero está tan interconectado que si un pequeño proveedor de servicios en la nube falla, podría paralizar las transacciones de millones de personas. El objetivo de DORA es alinear nuestra ciber-resiliencia con las amenazas del entorno digital actual, donde dependemos profundamente del sector financiero y donde el tiempo de inactividad no es negociable.
¿Dónde trazamos la línea?
DORA fue claramente diseñada pensando en grandes bancos con muchos recursos. Pero para las entidades más pequeñas, la realidad es distinta. Aunque existen normas “simplificadas” para las empresas de menor tamaño, demostrar que se cumple con los requisitos para acogerse a ellas suele implicar casi tanto trabajo como aplicar el marco completo.
Esto está dejando a muchos responsables de cumplimiento en bancos pequeños completamente saturados. A menudo deben gestionar al mismo tiempo DORA, el Reglamento General de Protección de Datos (RGPD) y los controles de prevención de blanqueo de capitales.
Entonces, ¿podríamos haberlo hecho de otra manera? ¿Deberíamos permitir que los bancos más pequeños sigan reglas más sencillas?
La trampa en forma de U
Resulta tentador decir que los bancos pequeños deberían quedar exentos. Pero podría ser una idea arriesgada.
Una investigación reciente de la Office of Financial Research (OFR) revela una relación en “forma de U” entre el tamaño de una empresa y su nivel de preparación en ciberseguridad.
Figura: Tamaño de entidades financieras y su nivel de preparación frente a ciberataques
Análisis completo: Cyberattacks and Firm Size: The Vulnerability of Mid-Size Firms (OFR, 2025)
¿Por qué se aprecia esa caída en el medio? Los atacantes buscan el mayor retorno de la inversión posible. Los bancos medianos son su mejor opción: tienen suficiente dinero como para resultar atractivos, pero no cuentan con sistemas avanzados de seguridad como los más grandes. Su ciberseguridad simplemente no crece al mismo ritmo que su nivel de riesgo.
Esto dificulta que las autoridades establezcan estándares diferenciados, ya que podrían, sin querer, señalar a las empresas de tamaño medio.
¿Cómo cerramos la brecha?
No podemos rebajar los estándares, pero tampoco podemos esperar que equipos pequeños gestionen estos riesgos con la carga de trabajo actual.
El cumplimiento normativo debe ser escalable. Hoy en día, los reguladores han proporcionado las normas, pero no las herramientas para cumplirlas. Esto deja al sector solo ante el reto de resolver el problema. La solución no pasa simplemente por contratar a más personas, sino por contar con mejor tecnología.
Dado que los reguladores no han facilitado el software ni una hoja de ruta clara, el futuro del cumplimiento estará marcado por la innovación: el uso de la automatización y de tecnologías avanzadas para hacer lo que las hojas de cálculo manuales ya no pueden.
