DORA 2026: verificación documental en el sector financiero
Reglamento de Resiliencia Operativa Digital (DORA, Reglamento 2022/2554): riesgo TIC, pistas de auditoría, supervisión de terceros. Guía de cumplimiento para verificación documental.
Resumir este artículo con
ChatGPT
Claude
Perplexity
Gemini
GrokEl Reglamento de Resiliencia Operativa Digital -- Reglamento (UE) 2022/2554, conocido como DORA -- está en plena aplicación desde el 17 de enero de 2025. Desde esa fecha, toda entidad financiera que opere en la Unión Europea debe cumplir un marco armonizado que cubre la gestión de riesgos TIC, la notificación de incidentes, las pruebas de resiliencia y la supervisión del riesgo de terceros. Para cualquier equipo que procese documentos como parte de sus operaciones --verificación de identidad, montaje de expedientes de crédito, cumplimiento KYC/PBC, tramitación de siniestros-- las consecuencias son significativas e inmediatas.
Qué cubre DORA y cuándo
Alcance del Reglamento
DORA es un reglamento, no una directiva. Se aplica directamente en los 27 Estados miembros de la UE sin necesidad de transposición nacional. Las reglas son idénticas de Lisboa a Helsinki, de Dublín a Bucarest.
El reglamento se apoya en cinco pilares:
| Pilar | Artículos | Finalidad |
|---|---|---|
| Gestión de riesgos TIC | Art. 5-16 | Marco de gobernanza, políticas de seguridad, gestión de activos de información |
| Gestión de incidentes TIC | Art. 17-23 | Clasificación, documentación y notificación de incidentes graves |
| Pruebas de resiliencia operativa digital | Art. 24-27 | Programas de pruebas, pruebas avanzadas de penetración dirigidas por amenazas (TLPT) |
| Gestión del riesgo de terceros TIC | Art. 28-44 | Evaluación, requisitos contractuales y supervisión de proveedores de servicios |
| Intercambio de información | Art. 45 | Intercambio voluntario de inteligencia sobre ciberamenazas |
¿A quién afecta?
DORA se aplica a 20 categorías de entidades financieras, un alcance sustancialmente más amplio que cualquier regulación anterior de la UE sobre riesgo operativo.
| Categoría | Ejemplos | Marco de supervisión |
|---|---|---|
| Entidades de crédito | Bancos, prestamistas hipotecarios | Autoridad competente nacional (ANC) + BCE (MUS para entidades significativas) |
| Empresas de inversión | Intermediarios, gestoras de activos | ANC + ESMA |
| Entidades aseguradoras y reaseguradoras | Aseguradoras de vida y no vida, reaseguradoras | ANC + EIOPA |
| Entidades de pago | Proveedores de servicios de pago | ANC + EBA |
| Proveedores de servicios de criptoactivos (CASP) | Exchanges, monederos de custodia | ANC + ESMA (bajo MiCA) |
| Proveedores críticos de servicios TIC de terceros | Proveedores cloud, empresas de software, procesadores de datos | AES (marco de supervisión directa) |
Gestión de riesgos TIC: qué exige DORA para el procesamiento documental
Marco de gobernanza (Artículos 5-6)
El Artículo 5 de DORA sitúa la responsabilidad directa y personal sobre el órgano de administración de cada entidad financiera para definir, aprobar, supervisar y ser responsable de la implementación de todos los acuerdos de gestión de riesgos TIC. Los consejeros deben mantener conocimientos y habilidades suficientes para comprender y evaluar los riesgos TIC.
Aplicación a la verificación documental: cualquier proceso que utilice herramientas digitales para validar documentos --OCR, extracción de datos, verificación de autenticidad, cruce con bases de datos-- entra en el ámbito del marco de gestión de riesgos TIC.
Por qué la validación manual crea brechas de cumplimiento
| Requisito DORA | Validación manual | Validación automatizada |
|---|---|---|
| Trazabilidad completa (Art. 9) | Parcial: sin registro sistemático | Completa: cada paso con sello temporal y registrado |
| Reproducibilidad del procesamiento | No: el resultado varía según el operador | Sí: procesamiento determinista y auditable |
| Detección de anomalías (Art. 10) | Limitada: depende de la vigilancia humana | Sistemática: reglas de validación automatizadas |
| Conservación de evidencia | Fragmentada: archivos locales, correos, notas | Centralizada: base de datos con retención configurable |
| Tiempo de detección de incidentes | Indeterminado: errores descubiertos a posteriori | Inmediato: alertas en tiempo real |
| Auditabilidad | Baja: reconstrucción manual necesaria | Alta: informes de auditoría generados bajo demanda |
Gestión de incidentes TIC y verificación documental
DORA exige la clasificación, documentación y notificación de todos los incidentes graves relacionados con TIC a la autoridad competente correspondiente. Una falla en el proceso de validación documental puede constituir un incidente notificable en varios escenarios:
- Validación errónea de documentos fraudulentos que conduzca a la apertura de cuenta o extensión de crédito a una persona no elegible.
- Indisponibilidad del sistema que impida el procesamiento de expedientes de clientes.
- Filtración de documentos de identidad almacenados sin cifrado adecuado.
- Error algorítmico sistemático en el motor de validación, no detectado durante un período prolongado.
Gestión del riesgo de terceros TIC (Artículos 28-44)
El Registro de Información
El Artículo 28 exige a las entidades financieras gestionar el riesgo de terceros TIC como componente integral de su marco de gestión de riesgos TIC. La obligación más inmediata es mantener un Registro de Información (ROI) que cubra todos los proveedores de servicios TIC.
Si utiliza cualquier herramienta de terceros para la verificación documental --una plataforma SaaS de validación, una API de OCR, un servicio de autenticación-- ese proveedor entra en el ámbito de gestión del riesgo de terceros de DORA.
Checklist de cumplimiento DORA para verificación documental
Gobernanza y marco de gestión de riesgos TIC
- La verificación documental está identificada como función dependiente de TIC en el marco de gestión de riesgos.
- Los activos de información relacionados con la verificación están inventariados y clasificados.
- El órgano de administración ha aprobado la política de gestión de riesgos TIC que cubre la verificación documental.
Trazabilidad y pistas de auditoría
- Cada documento procesado genera una pista de auditoría completa (recepción, procesamiento, resultado, decisión).
- Las pistas de auditoría tienen sello temporal de una fuente fiable.
- Los resultados de verificación son reproducibles y deterministas.
- Las pistas de auditoría se conservan conforme a los requisitos aplicables (mínimo 5 años para expedientes KYC/PBC, según las disposiciones de la AMLD6; 10 años según la Ley 10/2010 en España).
Gestión de incidentes
- Los incidentes de verificación documental se registran en el registro de incidentes TIC.
- Existe un procedimiento de clasificación y escalado para incidentes de verificación.
- Los incidentes graves desencadenan el proceso de notificación al supervisor.
Gestión del riesgo de terceros
- Todos los proveedores de servicios de verificación documental están registrados en el Registro de Información (ROI).
- Los contratos incluyen cláusulas requeridas por DORA (auditabilidad, ubicación de datos, SLAs, derechos de resolución, acceso para autoridades supervisoras).
- Se define una estrategia de salida para cada proveedor crítico.
La convergencia DORA-AMLD6: un doble imperativo documental
DORA no opera de forma aislada. El reglamento converge con las obligaciones documentales reforzadas bajo la AMLD6, creando un doble imperativo de cumplimiento:
- AMLD6 exige verificación fiable de documentos de identidad, trazabilidad completa del proceso KYC y conservación de evidencia durante un mínimo de 5 años (10 años en España).
- DORA exige que los sistemas utilizados para estas verificaciones sean a su vez resilientes, auditados, trazados y probados.
Una regulación aborda el "qué" (qué documentos verificar, con qué nivel de fiabilidad), mientras que la otra aborda el "cómo" (con qué sistemas, bajo qué gobernanza, con qué nivel de resiliencia). Ambas convergen en la misma conclusión: la verificación manual de documentos ya no cumple los estándares regulatorios.
Cómo la validación automatizada responde a los requisitos DORA
La validación documental automatizada no es un lujo operativo. Bajo DORA, es una respuesta estructural a requisitos regulatorios que los procesos manuales no pueden cumplir de forma fiable.
La trazabilidad nativa, el procesamiento determinista, la detección sistemática de anomalías y la gestión simplificada de incidentes que proporcionan las soluciones automatizadas como CheckFile se alinean directamente con los cinco pilares de DORA.
CheckFile ayuda a las entidades financieras a navegar esta transición: validación documental automatizada, pistas de auditoría completas, integración API y cumplimiento con los requisitos de gestión de terceros bajo DORA. Explore nuestros precios o contacte con nuestro equipo para una evaluación de sus procesos de verificación documental frente a los requisitos DORA.
Preguntas frecuentes
¿Desde cuándo es obligatorio el cumplimiento de DORA para las entidades financieras?
DORA, el Reglamento (UE) 2022/2554 de Resiliencia Operativa Digital, está en plena aplicación desde el 17 de enero de 2025. Al ser un reglamento y no una directiva, se aplica directamente en todos los Estados miembros de la UE sin necesidad de transposición nacional, con las mismas reglas desde Lisboa hasta Helsinki. Esto significa que cualquier entidad financiera que opere en la UE ya debe cumplir los requisitos de gestión de riesgos TIC, notificación de incidentes, pruebas de resiliencia y supervisión de terceros.
¿Por qué la verificación manual de documentos ya no es suficiente bajo DORA?
DORA exige que los sistemas utilizados para verificar documentos sean trazables, reproducibles, auditables y resilientes. La verificación manual falla en todos estos criterios: no genera registros sistemáticos, produce resultados que varían según el operador, no tiene capacidad de detección de anomalías en tiempo real y deja una pista de auditoría fragmentada difícil de reconstruir. El artículo 9 de DORA exige trazabilidad completa, el artículo 10 exige detección sistemática de anomalías, y ambos requisitos solo pueden satisfacerse mediante validación automatizada con sellado temporal en cada paso del proceso.
¿Qué ocurre si un proveedor de verificación documental no cumple los requisitos DORA?
Si utiliza un proveedor de servicios de verificación documental que no cumple DORA, usted como entidad financiera es responsable del incumplimiento. El artículo 28 exige registrar a todos los proveedores TIC en un Registro de Información (ROI), incluir en los contratos cláusulas específicas de auditabilidad, ubicación de datos y derechos de resolución, y tener una estrategia de salida definida. La ausencia de estas garantías convierte a su proveedor de validación en un riesgo regulatorio directo para su organización, expuesta a las sanciones de las autoridades competentes nacionales.
¿Cómo interactúan DORA y AMLD6 en materia de verificación documental?
DORA y AMLD6 crean un doble imperativo complementario: la AMLD6 define el qué (qué documentos verificar, con qué nivel de fiabilidad, durante cuánto tiempo conservarlos), mientras que DORA define el cómo (con qué sistemas, bajo qué gobernanza, con qué nivel de resiliencia). Ambas convergen en la misma conclusión práctica: los sistemas de verificación documental deben ser automatizados, auditables, deterministas y resilientes. Una entidad que cumple AMLD6 mediante verificación manual rigurosa pero sin la infraestructura TIC que exige DORA incumple simultáneamente las dos regulaciones.