DORA e inteligencia artificial: por qué le afecta (aunque no la nombre)
Busque «inteligencia artificial» en el texto del Reglamento (UE) 2022/2554 (DORA) y no encontrará ni una sola mención. Tampoco «aprendizaje automático». Cero.
De ahí, muchas entidades financieras extraen una conclusión tranquilizadora y equivocada: si DORA no habla de IA, mis modelos quedan fuera. Ocurre exactamente lo contrario. DORA regula la inteligencia artificial de lleno —solo que no la llama por su nombre—. Este artículo explica por qué, y qué obligaciones concretas se derivan.
La clave está en la definición de «servicios de TIC»
DORA no regula tecnologías concretas: regula el riesgo de las TIC. Y define los servicios de TIC como «los servicios digitales y de datos prestados a través de los sistemas de TIC a uno o varios usuarios internos o externos de forma continua».
Un modelo de scoring crediticio, un motor antifraude, un sistema de tarificación de seguros o un asistente conversacional para clientes son, sin discusión, servicios digitales y de datos prestados a través de sistemas de TIC. Por tanto, son TIC a efectos de DORA — y arrastran consigo todo el régimen.
Que la norma no diga «IA» no es una laguna: es que no le hace falta. La definición es funcional, no tecnológica.
Qué obligaciones se derivan, en concreto
1. Sus modelos entran en el marco de gestión del riesgo TIC
El sistema de IA debe estar inventariado, evaluado y cubierto por el marco de identificación, protección, detección, respuesta y recuperación. Y el órgano de dirección —que según el artículo 5 define, aprueba y supervisa ese marco y responde de su aplicación— responde también de los modelos. La IA deja de ser un asunto del equipo de datos.
2. Un fallo de su IA es un incidente notificable
DORA obliga a notificar a las autoridades competentes los incidentes graves relacionados con las TIC. La degradación de un modelo, una indisponibilidad del servicio de inferencia o un comportamiento anómalo que interrumpa un proceso de negocio son incidentes relacionados con las TIC. Con sus plazos y su procedimiento.
3. Su proveedor de IA es un proveedor tercero de servicios de TIC
Este es el punto que más consecuencias tiene. Si su modelo, su API de inferencia o su plataforma de IA los presta un tercero, ese tercero es un proveedor tercero de servicios de TIC a efectos de DORA. Lo que implica: requisitos contractuales específicos, inclusión en el registro de información de proveedores, evaluación del riesgo de concentración y estrategias de salida. Y si el proveedor llega a ser designado esencial, quedará bajo el marco europeo de supervisión de proveedores críticos.
Dicho de otro modo: depender de un gran proveedor de modelos de IA es, para DORA, un riesgo de terceros como cualquier otro — y con la concentración que hoy existe en ese mercado, uno especialmente sensible.
4. Sus sistemas de IA críticos deben someterse a pruebas de resiliencia
El programa de pruebas de resiliencia operativa digital debe cubrir los sistemas que sostienen funciones críticas. Si una función crítica descansa en un modelo, el modelo se prueba.
El cruce con el EU AI Act: dos normas, un mismo sistema
Aquí está el nudo que conviene deshacer. Un sistema de IA de una entidad financiera puede estar sujeto a la vez a DORA y al EU AI Act, porque regulan cosas distintas del mismo objeto:
| DORA | EU AI Act | |
|---|---|---|
| Qué protege | La resiliencia operativa de la entidad | Los derechos fundamentales de las personas |
| Pregunta que hace | ¿Aguanta el sistema? ¿Se recupera? | ¿Es justo, transparente y supervisado? |
| Sobre la IA de crédito/seguros | La trata como TIC crítica | La clasifica como alto riesgo (anexo III, punto 5) |
En efecto: el Reglamento de IA sitúa en alto riesgo los sistemas destinados a evaluar la solvencia de personas o establecer su puntuación crediticia, y los de tarificación y evaluación de riesgos en seguros de vida y salud. Es decir, los sistemas financieros de IA más habituales están en ambos regímenes a la vez — y desde el 2 de agosto de 2026 también con las obligaciones de alto riesgo del AI Act.
Conviene, además, recordar que DORA actúa como norma sectorial frente a NIS2 para las entidades financieras. Resultado: una entidad de crédito con un modelo de scoring puede tener que responder ante tres marcos coordinados. Abordarlos por separado multiplica el trabajo; abordarlos juntos lo divide.
Qué implica según el tamaño de su entidad
- Entidad pequeña / intermediario: empiece por inventariar qué modelos usa y quién se los presta. El registro de proveedores TIC es el primer entregable.
- Entidad mediana: revise los contratos con sus proveedores de IA. DORA impone cláusulas concretas que la mayoría de contratos de IA firmados antes de 2025 no contemplan.
- Gran entidad: el riesgo real es la concentración en un puñado de proveedores de modelos y la ausencia de una estrategia de salida creíble. Y la evidencia auditable de que sus modelos críticos se prueban.
El reto de fondo: demostrar, no estimar
Ni DORA ni el AI Act se conforman con que usted afirme que su modelo es robusto: piden evidencia. Y la evidencia sobre sistemas de IA es justamente lo más difícil de producir, porque las técnicas habituales —pruebas por muestreo, evaluaciones adversarias— entregan por naturaleza una estimación, no una demostración.
Deflank existe para cerrar esa brecha. Mediante una metodología de verificación propia, convierte los requisitos aplicables —los de DORA y los del AI Act— en una prueba demostrable, reproducible y auditable, en lugar de una estimación probabilística. Un solo marco de control para varias normas. La prueba, no la estimación.
¿Sus modelos de IA están dentro de su marco DORA? ¿Y de su expediente del AI Act? Solicite un diagnóstico y le decimos qué le falta en cada norma.
Enlaces internos: [Reglamento DORA: qué es y a quién aplica] · [IA en scoring crediticio y banca (AI Act)] · [EU AI Act: obligaciones y cumplimiento].
Contenido informativo; no constituye asesoramiento jurídico. Fuentes: Reglamento (UE) 2022/2554 (artículos 1, 3, 5 y régimen de terceros proveedores de TIC) y Reglamento (UE) 2024/1689 (anexo III, punto 5). La ausencia de menciones a la IA en DORA se ha verificado sobre el texto oficial.
Preguntas frecuentes
¿DORA menciona la inteligencia artificial?
No. El texto del Reglamento (UE) 2022/2554 no contiene ninguna mención a la «inteligencia artificial» ni al «aprendizaje automático».
Entonces, ¿DORA se aplica a la IA?
Sí, plenamente. DORA regula los **servicios de TIC**, definidos como servicios digitales y de datos prestados a través de sistemas de TIC. Un sistema de IA lo es, de modo que queda dentro del régimen sin necesidad de mención expresa.
¿Es mi proveedor de IA un proveedor TIC a efectos de DORA?
Sí, si le presta el servicio de forma continua. Eso conlleva requisitos contractuales, inclusión en el registro de información, evaluación del riesgo de concentración y estrategia de salida.
¿Un fallo de mi modelo hay que notificarlo?
Si constituye un incidente grave relacionado con las TIC, sí, conforme al régimen de notificación de DORA.
¿DORA y el EU AI Act se solapan?
Se complementan. DORA mira la **resiliencia operativa**; el AI Act, los **derechos fundamentales**. Un modelo de scoring crediticio está sujeto a ambos: es TIC crítica para DORA y sistema de **alto riesgo** para el AI Act (anexo III, punto 5).
¿Quién responde dentro de la entidad?
El **órgano de dirección** (artículo 5 de DORA), que define, aprueba y supervisa el marco de gestión del riesgo TIC y responde de su aplicación.