Las entidades financieras sujetas a DORA se enfrentan simultáneamente a obligaciones del Reglamento de IA de la UE. Esta herramienta identifica dónde se solapan los requisitos TIC de DORA y las obligaciones del Reglamento de IA para su sector y casos de uso de IA: puntuación crediticia, detección de fraudes, negociación algorítmica, AML.
DORA (Reglamento de Resiliencia Operativa Digital) se aplica desde el 17 de enero de 2025. El Reglamento de IA de la UE se aplica a partir de distintas fechas entre 2025 y 2028. Los bancos, aseguradoras, empresas de inversión, instituciones de pago y otras entidades financieras deben cumplir ambos simultáneamente.
Los dos reglamentos comparten una base conceptual significativa —ambos se orientan a la gestión de riesgos TIC, las dependencias de terceros y la resiliencia operativa—, pero con ámbitos y obligaciones distintos.
| Caso de uso de IA | Obligaciones DORA | Obligaciones del Reglamento de IA de la UE |
|---|---|---|
| Puntuación crediticia / decisiones de préstamo | Gestión de riesgos TIC (Art. 5-10); riesgo de terceros si lo suministra un proveedor | Alto riesgo del Anexo III (Art. 6); plenas obligaciones del Capítulo III; plazo dic. 2027 |
| Detección de fraudes | Clasificación de incidentes TIC (Art. 17-23); gestión de TPSP de terceros | Alto riesgo del Anexo III (adyacente a aplicación de la ley — verificar ámbito); transparencia del Art. 13 hacia los operadores |
| Negociación algorítmica | Gestión de cambios TIC (Art. 14-16); riesgo operacional | Probablemente riesgo mínimo o solo transparencia; verificar si los modelos GPAI son el sustento |
| AML / supervisión de transacciones | Pruebas de resiliencia TIC (TLPT para entidades significativas) | Potencialmente Anexo III (nexo con aplicación de la ley); se requiere análisis jurídico |
| Chatbots de atención al cliente | Riesgo operacional TIC | Transparencia del Art. 50 — debe revelar la naturaleza de IA a los usuarios |
| Tarificación de riesgos de seguros | Riesgo de terceros TIC para proveedores de modelos | Alto riesgo del Anexo III (servicios esenciales — evaluación de riesgos de seguros) |
Riesgo de terceros TIC + obligaciones del proveedor del Reglamento de IA: Los Art. 28-44 de DORA exigen cláusulas contractuales con los proveedores de servicios TIC que cubran derechos de auditoría, estrategias de salida y estándares de rendimiento. Cuando ese proveedor TIC es también proveedor del Reglamento de IA, el Reglamento de IA exige que el proveedor suministre documentación técnica, instrucciones de uso y apoyo para la vigilancia poscomercialización. Un contrato de proveedor bien redactado puede satisfacer ambos.
Notificación de incidentes: DORA exige la notificación a los supervisores de incidentes importantes relacionados con TIC. El Reglamento de IA exige la notificación de incidentes graves que afecten a IA de alto riesgo a las autoridades nacionales de vigilancia del mercado. Para las entidades financieras, un único fallo de IA (p. ej., una interrupción de un modelo de puntuación crediticia que cause riesgo sistémico) puede activar ambas cadenas de notificación simultáneamente.
Pruebas de resiliencia: Las Pruebas de Penetración Basadas en Amenazas (TLPT) de DORA para entidades significativas se solapan con los requisitos de robustez y ciberseguridad del Art. 15 del Reglamento de IA. La combinación de ambos regímenes de prueba reduce la duplicación.
Para un análisis detallado de la convergencia regulatoria, consulte Reglamento de IA vs. DORA vs. NIS2 →
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Sí. DORA se aplica a las entidades de crédito, las compañías de seguros, las empresas de inversión, los proveedores de servicios de pago y otras entidades financieras, y está en vigor desde enero de 2025. Esas mismas entidades también están sujetas al Reglamento de IA de la UE para cualquier sistema de IA que desarrollen o desplieguen. Los dos reglamentos tienen requisitos solapados en materia de gestión de riesgos TIC, notificación de incidentes y gestión de proveedores de servicios de terceros.
DORA exige que las entidades financieras gestionen a sus proveedores de servicios TIC, incluidos los proveedores de IA, mediante acuerdos contractuales con requisitos específicos (Art. 28-44). El Reglamento de IA exige de forma independiente a los operadores que implementen medidas de gobernanza de IA. Cuando un proveedor de IA es a la vez tercero TIC de DORA y proveedor del Reglamento de IA, los contratos deben cumplir ambos marcos normativos.
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.