La entrada en vigor de DORA y la implementación final de las reformas de Basilea III han colocado a bancos y aseguradoras ante un doble desafío regulatorio que redefine su hoja de ruta tecnológica y operativa para 2026. No se trata solo de cumplir con nuevas exigencias, sino de transformar el modelo de negocio en un entorno donde la resiliencia digital y la gestión del riesgo se han convertido en ejes estructurales.
Según la consultora tecnológica Qaracter, especializada en los sectores financiero y asegurador, las entidades que logren integrar estas reformas en su estrategia estarán mejor posicionadas para competir en un mercado más digitalizado y expuesto a riesgos sistémicos. Pero la adaptación no será automática. Exige inversión, reorganización y, sobre todo, una revisión profunda de los fundamentos tecnológicos y de control interno.
DORA (Digital Operational Resilience Act), que entra en aplicación obligatoria a finales de 2025, establece un marco normativo común para garantizar que las entidades financieras puedan resistir y recuperarse de incidentes digitales graves. Esto incluye desde ciberataques hasta fallos de proveedores tecnológicos. En paralelo, las últimas modificaciones de Basilea III, que culminan su implementación en 2025, redefinen el cálculo de los activos ponderados por riesgo (RWA) y endurecen los requisitos para el uso de modelos internos, con el objetivo de reducir la variabilidad entre entidades y reforzar la estabilidad del sistema financiero.
Aunque ambas normativas comparten el objetivo de reforzar la resiliencia, lo hacen desde ángulos distintos. DORA pone el foco en la continuidad operativa y la ciberseguridad, mientras que Basilea III actúa sobre la solvencia y la consistencia en la medición del riesgo. Esta dualidad obliga a las entidades a coordinar equipos que tradicionalmente han trabajado de forma separada: tecnología, riesgos, cumplimiento y negocio.
“La clave está en dejar de ver estas regulaciones como un coste o una carga, y empezar a tratarlas como una palanca de transformación”, apunta Enrique Galván, CEO de Qaracter. En su opinión, el cumplimiento normativo puede convertirse en una ventaja competitiva si se aborda con visión estratégica y anticipación.
Entre las prioridades identificadas por Qaracter para afrontar este nuevo marco regulatorio destacan la inversión en arquitecturas tecnológicas más seguras y escalables, el control reforzado sobre proveedores críticos, y la integración del riesgo cibernético y financiero en un modelo unificado. También se subraya la necesidad de automatizar la supervisión mediante inteligencia artificial, realizar simulacros de crisis y formar al personal en resiliencia operativa.
La aplicación de DORA, por ejemplo, obliga a las entidades a realizar pruebas periódicas de recuperación ante desastres, mantener registros detallados de incidentes y establecer canales de comunicación con las autoridades supervisoras. Esto implica no solo cambios técnicos, sino también una cultura organizativa orientada a la prevención y la respuesta rápida.
En el caso de Basilea III, la presión recae sobre los modelos internos de riesgo, que deberán ajustarse a criterios más estrictos y homogéneos. Esto puede afectar de forma directa a la estructura de capital de las entidades, especialmente aquellas que hasta ahora se beneficiaban de modelos más flexibles. El impacto será desigual, pero generalizado: los bancos con mayor exposición a activos complejos o con modelos menos robustos podrían ver incrementado su consumo de capital.
En contraste con ciclos regulatorios anteriores, donde las entidades reaccionaban tras la publicación de las normas, en esta ocasión muchas están optando por anticiparse. Algunas grandes entidades europeas ya han iniciado procesos de revisión de sus sistemas de gestión de riesgos y de sus relaciones con proveedores tecnológicos. Otras, sin embargo, siguen evaluando el alcance real de las reformas, lo que podría traducirse en una adaptación más costosa y acelerada en 2026.
La tensión entre cumplimiento y competitividad es evidente. Cumplir con DORA y Basilea III no garantiza por sí solo una ventaja en el mercado, pero no hacerlo puede suponer sanciones, pérdida de reputación y dificultades operativas. En este sentido, la resiliencia digital y la solidez financiera se han convertido en atributos comerciales tanto como regulatorios.
La Comisión Europea ha insistido en que DORA no busca imponer cargas innecesarias, sino establecer un estándar mínimo común que proteja al sistema financiero europeo frente a amenazas cada vez más sofisticadas. Sin embargo, el nivel de madurez tecnológica de las entidades es muy dispar, especialmente entre aseguradoras medianas y entidades financieras con menor capacidad de inversión.
La implementación simultánea de ambas reformas plantea además un reto de coordinación institucional. Supervisores nacionales, el Banco Central Europeo y la Autoridad Bancaria Europea deberán armonizar criterios para evitar duplicidades o lagunas normativas. Un proceso que, según algunos analistas, podría generar incertidumbre en los primeros meses de 2026.
Más allá del cumplimiento, lo que está en juego es la capacidad del sector para operar en un entorno de riesgo permanente, donde la tecnología ya no es solo un habilitador, sino un factor de riesgo en sí mismo. La resiliencia digital, en este sentido, deja de ser una función técnica para convertirse en una competencia estratégica.
El año 2026 se perfila así como un punto de inflexión. Las entidades que lleguen preparadas podrán consolidar su posición en un mercado más exigente y menos tolerante al error. Las que no, podrían verse forzadas a reaccionar en condiciones menos favorables. En ambos casos, el nuevo marco regulatorio no será un episodio puntual, sino el inicio de una nueva normalidad para la banca y los seguros en Europa.
