DORA y externalización de IA: qué tienen que hacer las entidades financieras

DORA es la primera regulación horizontal de la UE sobre resiliencia operativa del sector financiero. Consolida y sustituye un mosaico de directrices de la EBA, EIOPA y ESMA en un texto vinculante con cinco pilares: gestión de riesgos TIC (artículos 5 a 16), notificación de incidentes (artículos 17 a 23), pruebas de resiliencia operativa digital (artículos 24 a 27), gestión de riesgos de terceros TIC (artículos 28 a 30) e intercambio de información (artículo 45).

Los servicios de IA, sea una API de modelo fundacional, un clasificador alojado, una plataforma de flujos agénticos o un sistema construido a medida operado por una consultora, se tratan como "servicios TIC" en el artículo 3.21. No hay exención para IA, ni umbral de minimis, ni excepción para servicios "no cloud". Quien presta IA a una función crítica o importante de una entidad financiera entra en el régimen de terceros TIC.

El alcance cubre entidades de crédito, entidades de pago, gestoras de fondos, ESI, ECC, repositorios de operaciones, proveedores de servicios sobre criptoactivos, compañías de seguros y reaseguros y otros sujetos obligados. La AESF estima en torno a 22.000 entidades vinculadas directamente, más toda la cadena TIC por traslado contractual.

El artículo 28 fija los principios generales: la entidad financiera mantiene la responsabilidad última aunque externalice, integra el riesgo TIC de terceros en su marco de riesgos y mantiene un registro de información sobre todos los acuerdos contractuales para servicios TIC. El registro se reporta anualmente a la autoridad competente bajo las normas técnicas de implementación.

El artículo 29 impone diligencia debida precontractual: evaluar si el acuerdo cubre una función crítica o importante, valorar la idoneidad del proveedor, identificar riesgos de concentración y considerar la cadena de subcontratación. El artículo 30 fija las cláusulas contractuales mínimas: descripción de servicios y ubicaciones de tratamiento de datos, niveles de servicio con objetivos medibles, derechos de auditoría y acceso para la entidad y la autoridad, cooperación en notificación de incidentes, estrategia de salida y soporte de transición, y salvaguardas frente a insolvencia.

Para los proveedores de IA, esto significa que las condiciones SaaS estándar tipo click-through no satisfacen DORA. Los contratos deben dar a la entidad financiera y al supervisor derechos de auditoría in situ, compromisos de ubicación de datos, control de subprocesadores y un plan de salida documentado.

DORA introduce un régimen de supervisión directa para proveedores TIC designados como críticos (CTPP). Los criterios incluyen impacto sistémico, concentración sectorial, sustituibilidad del servicio y red de clientes financieros del proveedor. Los CTPP están sujetos a investigaciones generales, inspecciones in situ, recomendaciones y, en última instancia, sanciones de hasta el 1% de la facturación media diaria mundial.

Las primeras designaciones de CTPP se esperan durante 2026. Hyperscalers y varios proveedores sistémicos de infraestructura de IA están entre los candidatos. Para las entidades financieras esto implica trazar la cadena: no basta con saber quién es el proveedor inmediato; hay que documentar el proveedor de modelo aguas arriba, la región de hosting, las ubicaciones de soporte operativo y la ruta realista de migración a un sustituto.

El RTS sobre clasificación de incidentes y el ITS sobre notificación imponen plazos estrictos: notificación inicial dentro de 4 horas desde la clasificación como mayor, informe intermedio en 72 horas e informe final de causa raíz en un mes. Los incidentes específicos de IA (caídas del modelo, degradación de precisión severa, incidentes de inyección de prompt que afectan a la integridad, fugas de datos de entrenamiento) cuentan cuando afectan a una función crítica.

Los acuerdos de pruebas agrupadas están permitidos, lo que significa que varias entidades financieras pueden realizar el TLPT sobre un CTPP compartido de forma conjunta. Antes de seleccionar un proveedor de IA conviene confirmar si admite participación en pruebas agrupadas; el coste y la disrupción de pruebas bilaterales completas recae de otro modo en la entidad financiera.

DORA y la Ley de IA son complementarias. DORA gobierna la resiliencia operativa del sistema (disponibilidad, recuperabilidad, riesgo de terceros, notificación de incidentes). La Ley de IA gobierna las propiedades específicamente IA (clasificación de riesgo, datos de entrenamiento, transparencia, supervisión humana, precisión y monitorización post-mercado). El mismo sistema de scoring crediticio en un banco está sujeto a ambas normas: DORA por la capa de resiliencia TIC, la Ley de IA por la capa sustantiva IA.

Para sistemas de alto riesgo, el sistema de gestión de calidad del artículo 17 de la Ley de IA se solapa materialmente con el pilar de gestión de riesgos TIC de DORA. Las empresas que construyen un programa de gobernanza unificado (un único registro que captura contratos TIC, documentación técnica de la Ley de IA y evidencia de ISO/IEC 42001) evitan duplicar trabajo. Tratarlos como tres flujos separados triplica el esfuerzo documental sin mejorar la resiliencia.