DORA: Un Nuevo Desafío para los Proveedores de Servicios de Información sobre Cuentas (AISP)

En el cambiante panorama de la regulación financiera europea, el Reglamento de Resiliencia Operativa Digital (DORA, por sus siglas en inglés) ha emergido como un punto de inflexión para múltiples actores del sector financiero. Entre los más afectados se encuentran los proveedores de servicios de información sobre cuentas (PSIC), entidades que merecen una atención especial debido a la naturaleza específica de sus actividades y los riesgos inherentes a las mismas.

STAY UPDATED

Subscribe to stay current on ILP Insights

  Presentamos la colaboración también en vídeo que podrás ver a continuación, por si prefieres este formato:

¿Qué son los proveedores de servicios de información sobre cuentas (también denominado en inglés como  “Account Information Service Provider o “AISP”)?

Conviene antes entender la diferencia entre “entidades de pago” y “entidades prestadoras del servicio de información sobre cuentas” Las entidades que antes se denominaban «proveedor de servicios de iniciación de pagos o (PISP)», han pasado a denominarse «Entidades prestadoras del servicio de información sobre cuentas». Estas entidades quedan circunscritas al «proveedor de servicios de iniciación de pagos» que, por dedicarse a prestar sólo el servicio que le da nombre, goza de una exención parcial de la normativa y es tratado como «entidad de pago».  De este modo, se delimita la actividad exclusiva y excluyente de este tipo de entidades. La ley solo habilita a las «Entidades prestadoras del servicio de información sobre cuentas» a prestar actividades empresariales distintas de los servicios de pagos, y servicios operativos o auxiliares a su actividad principal. Aclarado este punto y antes de profundizar en el impacto de DORA, es crucial comprender qué son exactamente los PSIC. Estos proveedores, definidos en el artículo 33, apartado 1, de la Directiva (UE) 2015/2366 (PSD2), son entidades que ofrecen servicios en línea para proporcionar información consolidada sobre una o varias cuentas de pago de un usuario, mantenidas por uno o varios proveedores de servicios de pago.

Algunos ejemplos de AISP incluyen:

1. Aplicaciones de gestión financiera personal que agregan información de múltiples cuentas bancarias.
2. Plataformas de contabilidad para empresas que integran datos bancarios en tiempo real.
3. Servicios de comparación de productos financieros que utilizan datos de cuentas para ofrecer recomendaciones personalizadas.

El impacto de DORA en los AISP

DORA afecta de manera muy especial a los AISP por varias razones:

1. Inclusión explícita: A diferencia de regulaciones anteriores, DORA incluye explícitamente a los AISP en su ámbito de aplicación. Esto significa que estas entidades deben cumplir con todos los requisitos de resiliencia operativa digital establecidos en el reglamento.
2. Gestión de riesgos TIC: Los AISP, al manejar datos financieros sensibles, deben implementar robustos sistemas de gestión de riesgos relacionados con las TIC. Esto incluye la adopción de un modelo de tres líneas de defensa y la realización de auditorías internas regulares.
3. Gobernanza y estrategia: Aunque se hace una distinción para las microempresas, la mayoría de los AISP deberán establecer mecanismos de gobernanza más complejos. Esto implica la creación de funciones de gestión específicas para supervisar acuerdos con proveedores terceros de servicios TIC y abordar la gestión de crisis.
4. Supervisión reforzada: La autoridad competente designada de conformidad con el artículo 22 de la Directiva (UE) 2015/2366 será responsable de supervisar el cumplimiento de DORA por parte de los AISP. Esto podría resultar en un escrutinio regulatorio más intenso.
5. Pruebas de resiliencia: Los AISP deberán someterse a pruebas periódicas de resistencia digital para evaluar su preparación ante incidentes relacionados con las TIC.

Consideraciones finales

La inclusión de los AISP en el ámbito de DORA representa un reconocimiento de su creciente importancia en el ecosistema financiero digital. Si bien el cumplimiento de estas nuevas regulaciones puede suponer un desafío inicial, especialmente para las entidades más pequeñas, también ofrece una oportunidad para fortalecer la confianza de los usuarios y mejorar la resiliencia operativa del sector. Los AISP deben ver DORA no solo como un conjunto de requisitos regulatorios, sino como un marco para mejorar sus prácticas de gestión de riesgos y gobernanza TIC. Aquellos que adopten proactivamente estas medidas estarán mejor posicionados para prosperar en un entorno financiero cada vez más digitalizado y regulado. En última instancia, DORA busca crear un sector financiero europeo más resiliente y seguro. Para los AISP, adaptarse a estas nuevas exigencias no es solo una obligación legal, sino una inversión en su futuro y en la confianza de sus clientes. Si te ha gustado este artículo, también puede resultarte interesante la lectura del siguiente: DORA y el riesgo de concentración de terceros en las TIC: ¿Un equilibrio sostenible?