DORA para Fintech —
Cumplimiento obligatorio
para empresas de tecnología financiera
RAG especializado en DORA (Reglamento UE 2022/2554) para fintech. Clasifica tu entidad, evalúa las medidas ICT del art. 6 y gestiona incidentes ante CNMV/Banco de España. Multa máxima 1% de facturación diaria para entidades financieras.
Sector fintech · DORA art. 2 · Supervisión Banco de España + CNMV
Los retos de DORA para el sector fintech
Las fintech con licencia regulatoria están plenamente sujetas a DORA desde enero 2025. Desde entidades de pago PSD2 hasta plataformas de crowdfunding, el Reglamento impone obligaciones exigentes en ICT, incidentes y proveedores cloud.
Clasificación bajo DORA: ¿entidad financiera o proveedor TIC?
DORA se aplica directamente a entidades financieras (art. 2), incluyendo fintech con licencia de entidad de pago (PSD2), entidades de dinero electrónico (EMD2) y plataformas de crowdfunding. Determinar si eres entidad financiera sujeta a DORA o proveedor TIC tercero (TPICT) tiene implicaciones radicalmente diferentes.
Gestión del riesgo ICT para plataformas fintech — art. 6 DORA
El art. 6 DORA exige un marco de gestión del riesgo ICT "sólido, completo e integrado". Para fintech con infraestructuras cloud-native y APIs abiertas (PSD2/Open Banking), cumplir los estándares técnicos regulatorios (RTS) del art. 15 DORA es el mayor reto técnico.
Notificación en 4h de incidentes ICT graves — fintech
Las fintech con millones de usuarios digitales deben notificar incidentes ICT graves al Banco de España o CNMV en 4 horas desde la clasificación. Un fallo en la app de pagos puede ser un "incidente grave" bajo los umbrales DORA.
Proveedores cloud críticos: AWS, GCP, Azure — art. 28 DORA
Art. 28 DORA introduce la supervisión directa de "proveedores TIC críticos de terceros" (CTPP) por los supervisores europeos. Las fintech que dependen de AWS, GCP o Azure para procesar pagos necesitan cláusulas contractuales específicas DORA en sus acuerdos cloud.
Tests de resiliencia digital — TLPT para fintech
Art. 26 DORA exige "pruebas de penetración basadas en amenazas" (TLPT - Threat Led Penetration Testing) para entidades significativas. Los TLPT DORA son más exigentes que los pen tests convencionales: requieren certificación del equipo de testing y supervisión regulatoria.
Responsabilidad directiva: CEO y consejo fintech
Art. 5 DORA: el órgano de gestión de la entidad financiera es personalmente responsable de la estrategia de resiliencia operacional digital. El CEO de una fintech no puede delegar completamente la responsabilidad ICT en el CTO.
Por qué DORA es aplicable a las fintech desde enero 2025
DORA (Reglamento UE 2022/2554 sobre la resiliencia operacional digital del sector financiero) es de aplicación directa en todos los Estados miembros desde el 17 de enero de 2025, sin necesidad de transposición nacional. Se aplica a las entidades financieras definidas en el art. 2, que incluyen explícitamente: entidades de crédito, entidades de pago (licencia PSD2), entidades de dinero electrónico (licencia EMD2), plataformas de crowdfunding autorizadas y empresas de inversión. Las fintech con licencia regulatoria en cualquiera de estas categorías están plenamente sujetas a DORA desde la fecha de aplicación.
Fintech sujetas a DORA: scope completo
Están sujetas a DORA en España las fintech con: licencia de entidad de pago (art. 1 PSD2 / Ley 16/2009 española), licencia de entidad de dinero electrónico (EMD2), autorización como plataforma de financiación participativa (PFP) con supervisión CNMV, y empresas de inversión bajo MiFID II con autorización CNMV. Las fintech que operan exclusivamente como proveedores TIC (sin licencia financiera propia) no son entidades financieras DORA, pero pueden ser proveedores TIC de terceros (TPICT) sujetos a la supervisión de la cadena de suministro del art. 28. Quedan excluidas las microempresas con menos de 10 empleados y menos de €2M de facturación.
Marco de gestión del riesgo ICT para fintech — arts. 5-14 DORA
El marco de gestión del riesgo ICT exigido por DORA (arts. 5-14) para fintech incluye: (1) identificación y clasificación de activos ICT críticos (infraestructura cloud, APIs, bases de datos de clientes), (2) protección y prevención con controles de acceso (MFA, PAM), (3) detección de anomalías con sistemas SIEM/SOC, (4) respuesta y recuperación con planes de continuidad del negocio (BCP), (5) aprendizaje y evolución con análisis post-incidente. Para fintech cloud-native, los RTS del art. 15 DORA especifican los requisitos técnicos mínimos que los supervisores europeos han desarrollado conjuntamente (ESMA, EBA, EIOPA).
Clasificación y notificación de incidentes ICT — fintech
DORA introduce una clasificación específica para incidentes ICT en entidades financieras (art. 18). Un incidente es "grave" si supera umbrales de: número de clientes afectados, duración del servicio (para fintech de pagos: habitualmente más de 30 minutos), pérdidas económicas o reputacionales. El proceso de notificación tiene tres fases: alerta temprana en 4 horas (informando si hay posibles indicios de actividad maliciosa o impacto transfronterizo), notificación completa en 72 horas, e informe final en el plazo de un mes.
Gestión de proveedores TIC cloud — art. 28 DORA para fintech
El art. 28 DORA revoluciona la gestión de proveedores TIC para fintech. Los contratos con proveedores cloud críticos (AWS, GCP, Azure, Stripe, Twilio y similares) deben incluir cláusulas obligatorias: derecho de auditoría, notificación de incidentes en menos de 4 horas, planes de salida y migración, subcontratación (subcadena de suministro), niveles de servicio (SLAs) coherentes con los objetivos DORA. Los supervisores ESA tienen potestad para designar a los mayores proveedores cloud como "proveedores TIC críticos de terceros" (CTPPs) y supervisarlos directamente.
TLPT: pruebas de penetración avanzadas para fintech
Las fintech significativas (criterios a definir por las ANC en coordinación con las ESA) deben realizar anualmente pruebas TLPT (Threat Led Penetration Testing) según el marco TIBER-EU adaptado a DORA. Los TLPT son más exigentes que los pen tests convencionales: el equipo de testing (red team) debe estar certificado y aprobado por el supervisor, los tests cubren tanto la infraestructura tecnológica como los procesos físicos y humanos, y los resultados se comparten con el supervisor. Para fintech con menos recursos, DORA establece pruebas alternativas más ligeras (arts. 24-25).
IgeraRegTech automatiza consultas DORA para fintech
IgeraRegTech dispone de un RAG entrenado con el Reglamento DORA (UE 2022/2554), los RTS y las guías de EBA/ESMA, las normas PSD2/EMD2 y la regulación española del Banco de España y CNMV. El sistema permite a los equipos de compliance y CTO de fintech responder preguntas sobre clasificación DORA, medidas ICT aplicables, clasificación de incidentes, gestión de proveedores cloud y requisitos TLPT en segundos, citando el artículo exacto de DORA o el RTS de referencia.
IgeraRegTech DORA Fintech en acción
Entrenado con DORA, RTS de EBA/ESMA, normas PSD2/EMD2 y regulación del Banco de España. Respuestas con cita exacta del artículo.
Clasificador DORA fintech
Determina si tu fintech es entidad financiera DORA (art. 2) o proveedor TIC tercero (TPICT art. 28), con análisis del tipo de licencia (PSD2, EMD2, MiFID II, PFP) y los umbrales de exclusión para microempresas.
Clasificación en < 15 minGap analysis ICT para fintech cloud
Evaluación de las medidas DORA arts. 5-14 adaptada a infraestructuras fintech: cloud governance, API security, CI/CD pipelines, DevSecOps, autenticación MFA/PAM y recuperación de desastres en entornos multi-cloud.
Gap analysis completo en 1 díaProtocolo notificación incidentes fintech
Plantillas de alerta temprana (4h) y notificación completa (72h) para incidentes ICT en plataformas de pago y fintech, con campos específicos para impacto en usuarios digitales, transacciones fallidas y tiempo de recuperación (RTO/RPO).
100% campos obligatorios DORACláusulas DORA para contratos cloud/APIs
Plantillas de cláusulas contractuales DORA para AWS/GCP/Azure, pasarelas de pago (Stripe, Adyen, Braintree), proveedores KYC/AML y APIs de terceros, incluyendo derecho de auditoría, SLAs DORA-compliant y planes de salida.
Cadena suministro cubierta art. 28TLPT y pruebas de resiliencia digital
Guía para preparar y gestionar los TLPT DORA: selección de equipo certificado, scope del red team exercise, reporte post-TLPT y plan de remediación. Incluye alternativas para fintech que no alcanzan el umbral TLPT significativo.
Marco TIBER-EU implementadoMonitor EBA + Banco de España fintech
Información actualizada sobre circulares EBA, guías ESMA y resoluciones del Banco de España/CNMV relacionadas con DORA en el sector fintech español. RTS y guías técnicas actualizadas.
Actualización continua regulatoriaPreguntas reales de fintech, artículos exactos de DORA
Así responde IgeraRegTech DORA Fintech con el Reglamento y los RTS de EBA/ESMA como fuente de verdad
"Nuestra fintech tiene licencia de entidad de pago PSD2 con 2 millones de usuarios. ¿Cómo clasificamos un fallo en nuestra app de pagos bajo DORA?"
Según el art. 18 DORA y los RTS de clasificación de incidentes graves, un fallo en la app de pagos es un incidente grave si supera alguno de estos umbrales: interrupción del servicio superior a 30 minutos para servicios de pago, más del 10% de usuarios afectados (200.000 usuarios en tu caso), pérdidas económicas directas superiores a €100.000, o impacto transfronterizo. Con 2 millones de usuarios, cualquier interrupción perceptible activa la obligación de alerta temprana al Banco de España en 4 horas desde la clasificación, seguida de notificación completa en 72 horas e informe final en un mes.
"Usamos AWS para toda nuestra infraestructura. ¿Qué cláusulas DORA específicas debemos incluir en nuestro contrato con Amazon?"
El art. 28 DORA exige cláusulas contractuales obligatorias con proveedores cloud: (1) derecho de auditoría e inspección directa y a través de terceros certificados, (2) notificación de subcontratistas y cambios materiales en la cadena de suministro, (3) notificación de incidentes que afecten a los servicios prestados en menos de 4 horas, (4) SLAs alineados con los objetivos RTO/RPO de la entidad financiera según DORA, (5) plan de salida y migración de datos que garantice la continuidad del servicio, (6) localización de datos en la UE si el supervisor lo requiere. Además, AWS puede ser designado proveedor TIC crítico de terceros (CTPP) por las ESA, lo que añadirá supervisión directa de los reguladores europeos.
"Somos una plataforma de crowdfunding autorizada por CNMV. ¿El DORA TLPT nos aplica?"
Las plataformas de financiación participativa (PFP) autorizadas por la CNMV están incluidas en el ámbito de aplicación del art. 2 DORA. Los TLPT del art. 26 se aplican a "entidades significativas", cuyos umbrales serán definidos por la autoridad nacional competente (CNMV para inversión y crowdfunding). Para PFPs de menor tamaño, los arts. 24-25 DORA establecen pruebas de resiliencia digital simplificadas como alternativa. Las orientaciones actuales de ESMA indican que las PFPs por debajo de ciertos umbrales de tamaño utilizarán probablemente pruebas simplificadas en lugar del TLPT completo.
Preguntas frecuentes — DORA Fintech
Respuestas directas sobre DORA para fintech con licencia PSD2, EMD2, MiFID II y PFP en España
¿Una fintech con licencia PSD2 está sujeta a DORA desde enero 2025?+
¿Qué es un incidente ICT "grave" bajo DORA para una fintech de pagos?+
¿AWS es un proveedor TIC crítico de terceros (CTPP) bajo DORA?+
¿Qué son los RTS DORA y cuándo son aplicables a las fintech?+
¿El CEO de una fintech es personalmente responsable del cumplimiento DORA?+
¿Hablamos sobre DORA para tu fintech?
Cuéntanos tu tipo de licencia (PSD2, EMD2, MiFID II, PFP) y tamaño y te mostramos tu clasificación DORA y las medidas prioritarias.