Los bancos europeos reportan 3.383 incidentes ICT bajo DORA en 2025

Las instituciones financieras europeas notificaron 3,383 incidentes mayores relacionados con las TIC durante 2025 bajo la Ley de Resiliencia Operativa Digital (Digital Operational Resilience Act), según un informe conjunto de la Autoridad Bancaria Europea, la Autoridad Europea de Valores y Mercados y la Autoridad Europea de Seguros y Pensiones Ocupacionales. Los hallazgos representan uno de los primeros grandes conjuntos de datos que muestran cómo las interrupciones operativas, las fallas de sistemas y los incidentes cibernéticos se propagan por el sector financiero de Europa bajo el nuevo marco de notificación de DORA. Los reguladores indicaron que los datos revelan un sistema financiero cada vez más dependiente de infraestructura compartida, proveedores externos de tecnología y servicios digitales interconectados, y que DORA entró en vigor en enero de 2025 para introducir obligaciones armonizadas de reporte de riesgos de TIC en todo el sistema financiero europeo.

Las instituciones de crédito representaron más del 60% de los incidentes de TIC reportados

Las instituciones de crédito representaron más del 60% de todos los incidentes reportados, mientras que las firmas de pagos representaron otro 16%. Los reguladores indicaron que esta concentración no necesariamente refleja una debilidad estructural en la banca o en los pagos, sino que refleja la naturaleza altamente digital y orientada al cliente de esos sectores, junto con las obligaciones de reporte preexistentes bajo PSD2.

Un tercio de los incidentes se extendió más allá del país de origen

Los datos mostraron que la disrupción operativa se ha vuelto cada vez más transfronteriza. Cerca de un tercio de los incidentes se extendió más allá del país donde se originaron, mientras que aproximadamente 8% afectó a más de 10 países simultáneamente. Los reguladores vincularon esta tendencia con la creciente dependencia de proveedores tecnológicos compartidos, infraestructura común y modelos de negocio multinacionales. El informe llega cuando los reguladores europeos intensifican el escrutinio de la resiliencia operativa tras varios cortes de alto perfil en pagos, infraestructura de negociación y sistemas bancarios durante los últimos dos años.

Las fallas de sistemas representaron el 51% de todos los casos reportados

Las fallas de sistemas representaron la categoría más grande de incidentes, al contabilizar 51% de todos los casos reportados. Los eventos externos representaron otro 27%, mientras que los incidentes relacionados con pagos alcanzaron 18%. Los incidentes relacionados con ciberseguridad representaron 10% del total. Los reguladores indicaron que la proporción relativamente baja de incidentes de ciberseguridad podría indicar que las salvaguardas existentes y los sistemas de detección están limitando los ataques exitosos. Al mismo tiempo, el informe advirtió que las herramientas cibernéticas impulsadas por IA, cada vez más sofisticadas, podrían alterar el panorama de amenazas en los próximos años.

Entre los incidentes cibernéticos, los ataques de Denegación de Servicio Distribuida representaron 33% de los eventos reportados, mientras que la exfiltración y manipulación de datos representaron 31%. Las instituciones de crédito registraron la mayor concentración de esos ataques debido a su papel en pagos, banca digital y el procesamiento de grandes volúmenes de datos de clientes.

Las fallas de proveedores externos se originaron en el 29% de los incidentes mayores

Casi 29% de los incidentes mayores se originaron a partir de fallas que involucraron a proveedores externos, incluidos proveedores de TIC, operadores de infraestructura y proveedores de servicios subcontratados. Los reguladores indicaron que los hallazgos subrayan cómo las fallas operativas en un solo proveedor pueden propagarse rápidamente a múltiples instituciones financieras y jurisdicciones. El informe señaló que muchas instituciones financieras dependen de infraestructura común para pagos, banca central y servicios de conectividad. En algunos casos, una sola interrupción generó docenas de informes de incidentes separados porque múltiples instituciones dependían del mismo proveedor.

El corte de TARGET2 y el apagón ibérico interrumpieron las operaciones en 2025

Las interrupciones operativas durante 2025 incluyeron varios eventos a gran escala que contribuyeron a picos en los volúmenes de reporte. El informe mencionó específicamente el corte de TARGET2 en febrero de 2025, que interrumpió durante varias horas el procesamiento de liquidación de valores y pagos, y el apagón en la Península Ibérica en abril de 2025, que afectó operaciones en múltiples sectores.

Dos tercios de los incidentes causaron una disrupción limitada a los clientes

A pesar del número de incidentes, los reguladores indicaron que la mayoría de las interrupciones causaron daños limitados aguas abajo. Cerca de dos tercios de los incidentes o no causaron ninguna disrupción a clientes y transacciones, o afectaron a menos de 1,000 clientes o transacciones. Solo 1% de los incidentes afectó a más de un millón de transacciones. El informe indicó que la detección y contención rápidas desempeñaron un papel central para limitar los efectos en cascada. Las instituciones generalmente estabilizaron los incidentes mediante intervenciones técnicas inmediatas antes de implementar medidas de remediación a más largo plazo, como mejoras en monitoreo, mejoras en pruebas y cambios en la configuración del sistema.

Las contrapartes financieras también parecieron relativamente protegidas frente a la mayoría de los incidentes. Menos de 18% de los incidentes afectó a otras instituciones financieras, pese a la creciente interconexión del sistema financiero de Europa. Los reguladores atribuyeron esto en parte a salvaguardas ya implementadas entre instituciones y operadores de infraestructura.

Los reguladores identificaron inconsistencias de reporte durante el primer año de DORA

El informe destacó inconsistencias en las prácticas de reporte entre sectores y jurisdicciones durante el primer año de implementación de DORA. Cerca de 15% de los incidentes notificados durante 2025 se excluyeron del análisis porque los informes finales aún no se habían presentado antes de la fecha límite de febrero de 2026. Mientras tanto, aproximadamente 93% de las presentaciones superaron controles de calidad y entraron en la base de datos final. Las ESAs indicaron que seguirá siendo una prioridad la coordinación supervisora adicional y la estandarización del reporte a medida que la implementación de DORA madura. Los reguladores planean continuar refinando el análisis de incidentes y mejorando la comparabilidad de datos en todo el sistema financiero europeo.

Los hallazgos llegan cuando la resiliencia operativa se está convirtiendo en uno de los temas regulatorios definitorios en los mercados financieros globales. En los últimos dos años, los reguladores en Europa, el Reino Unido y Estados Unidos han cambiado cada vez más el enfoque hacia el riesgo de concentración de infraestructura, la dependencia de la nube, la resiliencia cibernética y la gobernanza tecnológica. Las grandes instituciones financieras ahora operan en un entorno donde las interrupciones pueden propagarse rápidamente a través de fronteras, contrapartes y sistemas de pagos en minutos. El conjunto de datos de DORA sugiere que los reguladores europeos ven cada vez más la resiliencia operativa no como un problema estrecho de ciberseguridad, sino como un reto más amplio de estabilidad sistémica ligado al diseño de infraestructura, la concentración en subcontratación y la interdependencia digital.

El informe también ilustra cómo el riesgo operativo está evolucionando junto con la modernización de los servicios financieros. La banca móvil, los pagos instantáneos, el trading algorítmico, los activos digitales y las finanzas integradas siguen incrementando los volúmenes de transacciones y la complejidad de la infraestructura en toda la industria. Ese crecimiento incrementa la probabilidad de que ocurran disrupciones operativas incluso cuando las instituciones mantengan sólidos estándares de ciberseguridad. Para las empresas financieras, los hallazgos podrían aumentar la presión para fortalecer la supervisión de terceros, diversificar proveedores críticos y mejorar las capacidades de contención de incidentes. Para los reguladores, el informe ofrece un punto de referencia temprano para medir cómo el sector financiero de Europa se adapta al marco de resiliencia operativa de DORA en los próximos años.

Preguntas frecuentes

¿Qué reportaron las instituciones financieras europeas bajo DORA en 2025? Las instituciones financieras europeas reportaron 3,383 incidentes mayores relacionados con las TIC durante 2025 bajo la Ley de Resiliencia Operativa Digital, según un informe conjunto de la Autoridad Bancaria Europea, la Autoridad Europea de Valores y Mercados y la Autoridad Europea de Seguros y Pensiones Ocupacionales.

¿Qué porcentaje de los incidentes de TIC se originaron por fallas de proveedores externos? Casi 29% de los incidentes mayores se originaron por fallas que involucraron a proveedores externos, incluidos proveedores de TIC, operadores de infraestructura y proveedores de servicios subcontratados, según el informe de los reguladores.

¿Qué cortes operativos mayores ocurrieron en Europa durante 2025? El informe mencionó específicamente el corte de TARGET2 en febrero de 2025, que interrumpió durante varias horas la liquidación de valores y el procesamiento de pagos, y el apagón en la Península Ibérica en abril de 2025, que afectó operaciones en múltiples sectores.