DORA para el Sector Inmobiliario: Gestión del Riesgo TIC para PropTech y Gestores de Fincas

El Reglamento DORA (Digital Operational Resilience Act, Reglamento UE 2022/2554) entró en plena aplicación el 17 de enero de 2025. Su objetivo es garantizar que el sector financiero europeo pueda resistir, responder y recuperarse ante cualquier perturbación o amenaza relacionada con las tecnologías de la información y la comunicación (TIC). Pero ¿qué tiene que ver esto con el mercado inmobiliario, las gestoras de fincas o las empresas PropTech?

La respuesta es más amplia de lo que muchos profesionales del sector esperaban. DORA no solo afecta a bancos y aseguradoras: alcanza a cualquier entidad financiera que opere en la UE y, de manera indirecta pero muy relevante, a todos los proveedores TIC que presten servicios críticos a esas entidades. En el sector inmobiliario, esto incluye plataformas de gestión de activos, fintechs hipotecarias, fondos de inversión inmobiliaria y las PropTech que dan soporte tecnológico a estas organizaciones.

¿Qué es DORA y a quién afecta directamente?

DORA establece un marco uniforme de resiliencia operativa digital para más de 22.000 entidades financieras de la UE. Las entidades directamente reguladas incluyen:

• Entidades de crédito (bancos, cajas, cooperativas de crédito)
• Entidades de pago y dinero electrónico
• Empresas de seguros y reaseguros
• Fondos de inversión y gestoras de activos (incluidos los REITs o SOCIMIs)
• Plataformas de financiación participativa (crowdfunding inmobiliario)
• Proveedores de servicios de criptoactivos
• Contrapartes centrales y depositarios centrales de valores

La clave para el sector inmobiliario está en dos categorías: las SOCIMIs y fondos de inversión inmobiliaria que ya están regulados como entidades financieras, y las plataformas de crowdfunding inmobiliario que desde 2023 requieren autorización bajo el Reglamento ECSP (UE 2020/1503) y, por extensión, quedan bajo el paraguas de DORA.

La cadena de suministro TIC: dónde entra el PropTech

El artículo más revolucionario de DORA para el ecosistema tecnológico inmobiliario es el relativo a la gestión del riesgo de terceros proveedores TIC (Capítulo V). Cualquier empresa tecnológica que proporcione servicios a una entidad financiera debe ahora someterse a un nivel de escrutinio sin precedentes.

¿Qué tipo de empresas PropTech pueden quedar afectadas como proveedores TIC críticos?

• Plataformas de gestión de activos inmobiliarios que usan bancos o fondos
• Software de valoración automatizada de propiedades (AVMs) integrado en procesos hipotecarios
• Sistemas de due diligence digital para fondos de real estate
• Plataformas de firma electrónica y gestión documental de contratos
• Soluciones de ciberseguridad para infraestructuras de edificios (BMS, IoT)
• Proveedores de cloud que alojan datos financieros de carteras inmobiliarias

Los cinco pilares de DORA aplicados al sector inmobiliario

1. Gestión del riesgo TIC

Las entidades deben disponer de un marco robusto de gestión del riesgo TIC que incluya políticas, procedimientos y herramientas para identificar, proteger, detectar, responder y recuperarse ante incidentes TIC. Para una SOCIMI o un fondo inmobiliario, esto significa mapear todos los sistemas digitales que soportan sus operaciones: desde el ERP de gestión de activos hasta las plataformas de arrendamiento online.

2. Gestión, clasificación y notificación de incidentes TIC

DORA establece una taxonomía clara de incidentes. Los incidentes TIC «graves» deben notificarse a los supervisores competentes (en España, el Banco de España, la CNMV o la DGSFP según el tipo de entidad) siguiendo un proceso de tres pasos:

• Notificación inicial: dentro de las 4 horas desde la detección (o máximo 24 horas)
• Informe intermedio: en 72 horas con análisis de impacto y estado
• Informe final: en 30 días con causa raíz y medidas adoptadas

Para los gestores de fondos inmobiliarios, un ciberataque que comprometa los datos de inversores o bloquee el acceso a los sistemas de NAV (valor liquidativo) puede constituir un incidente grave bajo DORA.

3. Pruebas de resiliencia operativa digital

DORA exige pruebas regulares de los sistemas TIC. Para la mayoría de entidades, esto incluye tests de vulnerabilidad y penetración anuales. Las entidades significativas deben realizar adicionalmente pruebas avanzadas TLPT (Threat-Led Penetration Testing) cada tres años, siguiendo el marco TIBER-EU.

4. Gestión del riesgo de terceros proveedores TIC

Este es el pilar que más impacta a la cadena de suministro PropTech. Las entidades financieras deben:

• Mantener un registro completo de todos los acuerdos contractuales con proveedores TIC
• Distinguir entre proveedores que soportan «funciones críticas o importantes» y los que no
• Incluir cláusulas contractuales mínimas obligatorias (acceso a auditorías, SLAs, planes de salida)
• Realizar due diligence previa y revisiones periódicas de los proveedores críticos

Los proveedores TIC críticos de terceros (CTPP) pueden ser designados directamente por las Autoridades Supervisoras Europeas (EBA, ESMA, EIOPA) y quedar sometidos a un marco de supervisión directa, con inspecciones in situ y requerimientos de información.

5. Intercambio de información e inteligencia sobre amenazas

DORA fomenta activamente el intercambio voluntario de información sobre amenazas cibernéticas entre entidades financieras. Para el sector inmobiliario, participar en estos mecanismos puede ser una ventaja competitiva al detectar vulnerabilidades antes de que se materialicen.

¿Cuándo se aplica DORA a gestoras de fincas y administradores?

La pregunta que más nos llega en IgeraRegTech: ¿debe cumplir DORA una gestoría o administración de fincas tradicional?

La respuesta corta es: no directamente, salvo que la empresa gestione activos de terceros bajo licencia financiera. Una administración de fincas que gestiona comunidades de propietarios o alquileres residenciales no es una entidad financiera regulada bajo DORA.

Sin embargo, la aplicación indirecta sí puede darse cuando:

• La gestoría actúa como proveedor de servicios para un fondo de inversión inmobiliaria (cliente DORA)
• La gestoría utiliza plataformas tecnológicas que a su vez son proveedores de entidades financieras
• La empresa ha obtenido licencia para gestionar fondos de inversión inmobiliaria o activos financieros
• Opera plataformas de crowdfunding inmobiliario con licencia ECSP

Comparativa: Entidades DORA en el sector inmobiliario español

Obligaciones contractuales DORA para proveedores TIC del sector inmobiliario

Si tu empresa PropTech o de software inmobiliario presta servicios a una entidad financiera, probablemente ya has recibido o recibirás en breve una solicitud de tu cliente para actualizar el contrato con las cláusulas mínimas que exige DORA (artículo 30). Estas cláusulas obligatorias incluyen:

• Descripción completa de los servicios prestados con niveles de calidad medibles (SLAs)
• Las localizaciones (países) desde las que se prestarán los servicios y se almacenarán los datos
• Disposiciones sobre disponibilidad, autenticidad, integridad y confidencialidad de datos
• Derechos de acceso a auditorías por parte del cliente y reguladores
• Planes de continuidad del negocio y gestión de incidentes
• Estrategias de salida y portabilidad de datos al finalizar el contrato
• Obligación de cooperar con las Autoridades Supervisoras Europeas si se designa al proveedor como CTPP

La falta de estas cláusulas puede llevar a la entidad financiera a terminar el contrato con el proveedor TIC, ya que el incumplimiento de DORA genera sanciones directas para la entidad regulada (no para el proveedor, salvo que sea CTPP).

Pruebas de resiliencia: qué deben hacer las PropTech

Aunque las pruebas DORA las realiza formalmente la entidad financiera, los proveedores TIC deben participar y, en muchos casos, aportar evidencias de sus propias pruebas de seguridad. Las más relevantes para el mundo PropTech son:

• Vulnerability Assessment: Escaneos periódicos de vulnerabilidades en aplicaciones e infraestructura
• Penetration Testing: Tests de penetración al menos anuales sobre los sistemas en producción
• Tabletop Exercises: Simulacros de incidentes con los equipos de respuesta
• Tests de continuidad: Verificación de que los RTO/RPO declarados son alcanzables

Contar con certificaciones como ISO 27001 o SOC 2 facilita enormemente la demostración de cumplimiento ante clientes financieros y puede convertirse en un diferenciador comercial clave en el mercado inmobiliario profesional.

Cómo IgeraRegTech te ayuda a navegar DORA

IgeraRegTech es la plataforma de inteligencia regulatoria que indexa, actualiza y sintetiza toda la normativa financiera europea, incluyendo el texto completo del Reglamento DORA 2022/2554, las Normas Técnicas de Regulación (RTS) y de Implementación (ITS) derivadas, así como las directrices de la EBA, ESMA y EIOPA sobre DORA.

Con IgeraRegTech puedes:

• Hacer preguntas en lenguaje natural sobre DORA y recibir respuestas con cita exacta del artículo
• Comparar los requisitos DORA con tu situación específica (tipo de entidad, tamaño, servicios)
• Obtener alertas automáticas cuando se publiquen nuevas guías supervisoras sobre DORA
• Generar resúmenes ejecutivos para el consejo de administración sobre el estado de cumplimiento
• Acceder a las plantillas de cláusulas contractuales mínimas DORA validadas