En Mimacom, presto asistencia a clientes de muchos sectores regulados. Los bancos, las compañías de seguros y las instituciones financieras se centran actualmente en el DORA, y con razón; la normativa será obligatoria en enero de 2025. Sin embargo, la realidad en la región DACH es aleccionadora. Los análisis de KPMG muestran que ninguno de los bancos alemanes encuestados había cumplido plenamente el DORA en la fecha del informe. La tasa media de aplicación se sitúa en torno a dos tercios de los requisitos, y casi la mitad de las empresas financieras alemanas se enfrentan a importantes lagunas.
Esto es comprensible si el cumplimiento se enfoca en el pasado; sin embargo, la verdadera cuestión no es si se pueden cumplir los requisitos; es cuánto más rápido y con cuánto menos esfuerzo sería posible si se utilizaran los métodos adecuados.
Seguro que utilizas la IA para todas tus tareas diarias: escribir correos electrónicos, transcribir conversaciones o resumir presentaciones. Pero, ¿qué ocurre con las tareas más complejas y sensibles desde el punto de vista normativo? ¿Qué pasa con los procesos en los que un error no sólo es ineficaz, sino que tiene consecuencias reales?
Ahí es exactamente donde las cosas dejan de ser tan sencillas. De repente, surgen preguntas: ¿Cómo se escala la IA para abordar un tema como el DORA? ¿Dónde está exactamente el valor añadido y cómo se garantiza que los resultados sean fiables y utilizables con fines normativos? Esto lo veo a menudo: las mismas organizaciones que utilizan la IA para tareas menores dudan precisamente cuando el impacto potencial sería mayor.
Cualquiera que me conozca sabe que no estoy satisfecho hasta que hemos aprovechado todo el potencial, y cuando se trata de velocidad, eficiencia y calidad, la IA es el cambio de juego para DORA. No a pesar de la complejidad, sino precisamente por ella.
La mayoría de las instituciones financieras se hacen la pregunta equivocada. Se preguntan: ¿cómo cumplimos con el DORA? Y trabajan hacia atrás a partir de ahí: listas de comprobación, documentación, pruebas. El resultado es un programa de cumplimiento que consume recursos sin hacer avanzar realmente a la organización.
Las cifras hablan por sí solas:
Según una encuesta realizada por Deloitte a nivel europeo entre CISO, CRO y directores de programas de DORA de 28 países, sólo el 25% de las entidades consideran que cumplen realmente la normativa en el ámbito de la gestión de riesgos de las TIC, a pesar de que el DORA está en vigor desde enero de 2025.
Solo el 8% se considera al día de los requisitos en materia de pruebas de resistencia y riesgo de terceros.
Y el 46% cita el Registro de Información como su mayor reto, un documento que es esencialmente una tarea de base de datos, no una cuestión estratégica.
Lo que muestran estas cifras: el problema no es la falta de voluntad. Es el método. Quienes abordan el DORA al revés —es decir, desde el requisito hasta la solución— crean una carga interminable. Cada nueva ronda de regulación, cada cambio en las normas técnicas, cada auditoría de supervisión reinician el ciclo.
Por tanto, la pregunta más productiva es: ¿cómo podemos hacer que nuestros procesos sean más ágiles, transparentes y rápidos? ¿Cómo creamos estructuras TIC que sean visibles en tiempo real, cartografíen con precisión a terceros proveedores y respondan a los incidentes en minutos en lugar de días? Quienes se hagan esta pregunta y la respondan con coherencia acabarán por darse cuenta: el DORA ya se ha cumplido. No como objetivo, sino como resultado.
Esto es exactamente lo que observamos en nuestro trabajo de proyecto. Para un banco cantonal suizo, rediseñamos fundamentalmente sus procesos digitales de onboarding y KYC con el objetivo principal de acelerar los flujos de trabajo y hacer que los riesgos fueran operativamente visibles. El resultado no fue una solución de cumplimiento sobre el papel, sino una plataforma que genera pruebas reglamentarias como subproducto de unos procesos eficientes.
El mismo banco tenía sistemas por lotes que eran demasiado lentos para la realidad operativa, independientemente del DORA. La construcción de una infraestructura en tiempo real basada en Kafka no sólo hizo viable el requisito de informar las 24 horas del día, sino que también mejoró la capacidad de respuesta general de la organización.
Llevamos años apoyando a Migros Bank —ahora uno de los bancos más digitales de Suiza— a través de numerosos proyectos, demostrando a dónde conduce un entorno de TIC modernizado de forma consistente: a sistemas que responden más rápido, son más baratos de operar y son sólidos desde el punto de vista normativo porque se construyeron así desde el principio.
Esa es la diferencia entre el cumplimiento como ejercicio obligatorio y el cumplimiento como resultado de una buena arquitectura.
Entonces, ¿qué aspecto tiene esto para las empresas que quieren empezar ahora? Según nuestro análisis, hay cinco áreas donde la IA tiene el mayor impacto en DORA y donde vemos resultados concretos:
Lo que tradicionalmente lleva semanas (el análisis estructurado de un entorno de TIC en relación con los requisitos del DORA) puede reducirse a días utilizando métodos asistidos por IA. Esto no quiere decir que el proceso carezca de rigor, sino todo lo contrario. Se reconocen patrones, se consolidan datos y se identifican lagunas de forma sistemática sin tener que realizar cada paso manualmente.
Una de las mayores cargas ocultas del DORA es el volumen de trabajo de documentación (pruebas, libros de ejecución, registros de proveedores, informes de incidencias). La IA no solo genera estos documentos más rápidamente, sino que también los mantiene actualizados. Esta es una diferencia crucial, especialmente cuando se trata del Registro de Información.
El DORA exige una transparencia total en relación con todos los proveedores de TIC externos, incluidos los subcontratistas. Más de la mitad de las instituciones suspenden precisamente en este ámbito. La IA puede analizar los datos de los contratos, crear perfiles de riesgo e identificar lagunas en la cadena de gobernanza hasta un punto que simplemente no es realista lograr manualmente.
La generación de código mediante IA y las pruebas automatizadas reducen los errores, acortan los ciclos de desarrollo y crean una infraestructura resistente desde el principio. En la práctica, esto se traduce en aproximadamente un 30% menos de esfuerzo de ingeniería, manteniendo o mejorando la calidad.
A partir de 2026, los reguladores ya no exigirán documentación, sino pruebas en tiempo real. Con la supervisión impulsada por IA basada en herramientas como Elastic, el cumplimiento de DORA pasa de ser un ejercicio periódico a un estado permanente y visible. Los reguladores, auditores y miembros del consejo de administración pueden ver en qué situación se encuentra la institución en cualquier momento.
La pregunta, entonces, es ¿qué diferencia hay entre las instituciones que se han quedado estancadas en el DORA y las que están convirtiendo el cumplimiento en una fortaleza operativa? No se trata tanto de la tecnología como de la estrategia utilizada para abordar el problema.
El primer paso es una evaluación honesta de la situación actual, no como un ejercicio teórico, sino como un inventario práctico: ¿Qué existe? ¿Qué puede verificarse realmente? ¿Y en qué divergen la realidad operativa y las expectativas normativas?
El segundo paso es la arquitectura antes que la documentación. Los que primero construyen procesos y sistemas sólidos y escalables, y luego construyen la capa de cumplimiento sobre ellos, acaban teniendo ambas cosas y no tienen que empezar de cero en cada ciclo normativo. Los que hacen lo contrario construyen una conformidad sobre el papel que no se sostendrá en la próxima auditoría.
El tercer paso es la visibilidad. El cumplimiento que no puede medirse no es cumplimiento, sino una mera afirmación. Los cuadros de mando en tiempo real que muestran la situación de los cinco pilares del DORA no son un "detalle" técnico. Son los instrumentos de control que la dirección, la supervisión y el consejo de administración necesitan para tomar decisiones con conocimiento de causa.
La conclusión es la siguiente: las inversiones en cumplimiento deben ser escalables. Lo que se construye hoy para el DORA debe ser compatible con el NIS2, las próximas directrices de la ABE y las futuras iniciativas reguladoras de la UE, no como un subproducto, sino como una decisión arquitectónica deliberada.
Las instituciones que dejan de pensar en el cumplimiento de forma retrospectiva no sólo construyen sistemas que cumplen la normativa, sino que construyen mejores sistemas: más rápidos, más transparentes y más resistentes. Crean la flexibilidad que necesitan, no sólo para el DORA, sino para todo lo que venga después. El DORA no es el objetivo. Es el resultado.