Julio San José, de Alvarez & Marsal, expone los posibles riesgos que tiene la implantación de esta regulación en el sector financiero. ¿Conseguirá el objetivo previsto?
Julio San José, Managing Director de Global Cyber Risk Services de Alvarez & Marsal.
El pasado 17 de enero de 2025 marcó un hito significativo para el sector financiero europeo con la plena aplicación del Reglamento sobre la Resiliencia Operativa Digital (DORA). Esta normativa llega en un momento crítico donde la digitalización y las ciber amenazas crecen exponencialmente.
Ya hay entidades financieras que declaran estar preparadas y conformes con DORA. Sin embargo, estas afirmaciones tempranas despiertan cierto escepticismo. La heterogeneidad del sector financiero europeo, con entidades de diversos tamaños y niveles de madurez digital, junto con la disparidad en la capacidad y enfoque de los distintos supervisores nacionales, plantea dudas sobre si DORA logrará su objetivo transformador o quedará reducida a un mero ejercicio de cumplimiento normativo.
Posibles riesgos
Uno de los principales riesgos es que las organizaciones adopten un enfoque de mínimos, limitándose a marcar casillas en una lista de verificación sin realizar los cambios profundos que la normativa pretende impulsar. La verdadera resiliencia operativa digital requiere una transformación que va mucho más allá de la implementación de soluciones tecnológicas. Persiste además un error común en el sector: considerar la resiliencia digital como un desafío puramente tecnológico. Esta visión simplista ignora que la verdadera fortaleza operativa reside en la integración de la gestión de riesgos digitales en todos los niveles de la organización, comenzando por los órganos de gobierno. Los consejos de administración deben desarrollar una comprensión profunda de los riesgos tecnológicos, algo que actualmente dista de ser una realidad en la mayoría de las entidades.
La disparidad en la supervisión también genera preocupación. Mientras algunos reguladores nacionales cuentan con equipos especializados y recursos abundantes, otros pueden carecer de la capacidad técnica necesaria para evaluar efectivamente el cumplimiento de DORA. Esta asimetría podría crear vulnerabilidades en el sistema financiero europeo, precisamente lo que la normativa pretende evitar.
Objetivo: fortalecer la resiliencia del sector financiero
El éxito de DORA dependerá en gran medida de cómo las autoridades supervisoras interpreten y apliquen la normativa. Un enfoque excesivamente burocrático podría llevar a las entidades a centrarse en el cumplimiento formal más que en la mejora real de su resiliencia operativa. Por el contrario, una supervisión inteligente y orientada a resultados podría catalizar la transformación necesaria en el sector. Las entidades financieras se enfrentan ahora a decisiones críticas. Pueden optar por el camino fácil del cumplimiento mínimo o aprovechar DORA como una oportunidad para fortalecer genuinamente su capacidad de resistir y recuperarse de incidentes operativos. La segunda opción, aunque más exigente, es la única que garantiza la supervivencia a largo plazo en un entorno cada vez más digitalizado y amenazado.
La verdadera prueba de DORA no llegará con las primeras inspecciones supervisoras, sino con la ocurrencia de incidentes operativos significativos. Solo entonces podremos evaluar si la normativa ha conseguido su objetivo de fortalecer la resiliencia del sector financiero europeo o si, por el contrario, nos hemos quedado en la superficie del problema. DORA no es solo una normativa; es una oportunidad única. Pero su éxito dependerá de que las entidades financieras asuman la resiliencia digital como una prioridad estratégica y de que los supervisores impulsen un cambio real. Estamos ante el inicio de un camino lleno de desafíos. El tiempo dirá si hemos aprovechado esta oportunidad para fortalecer verdaderamente la resiliencia del sector financiero europeo o si nos hemos conformado con otro ejercicio burocrático más. La pregunta es: ¿estamos dispuestos a recorrerlo hasta el final o nos quedaremos atrapados en la comodidad de lo superficial? El tiempo será nuestro juez.
