Las autoridades europeas de supervisión publican el primer informe anual sobre incidentes  graves según el reglamento  DORA

08-06-2026 — AR/2026/063

En 2025 se notificaron más de 3.000 incidentes tecnológicos graves, según recoge el primer informe conjunto de las autoridades europeas de supervisión, como recoge el reglamento DORA.

Las autoridades europeas de supervisión,1  conocidas también como ESA en siglas inglesas, han publicado el informe anual de 2025 sobre incidentes graves relacionados con las tecnologías de la información y de las comunicaciones (TIC), elaborado de conformidad con el artículo 22 del Reglamento 2022/2554,2 (conocido como reglamento DORA).

El informe ofrece una visión de los incidentes notificados por las entidades financieras durante 2025 y analiza diversos aspectos que resumimos a continuación.

Principales aspectos del informe

Volumen de incidentes notificados

Durante 2025 se notificaron un total de 3.383 incidentes de TIC graves en el sector financiero de la Unión Europea.

La mayoría de los incidentes se concentraron en los sectores de crédito y pagos, debido, según las ESA, al alto nivel de digitalización y exposición al cliente de estos servicios, y a las obligaciones previas de notificación de incidentes en estos sectores.

Efecto transfronterizo

Alrededor de un tercio de los incidentes graves notificados tuvo efecto en más de un país, lo que refleja la creciente interconexión del sector financiero europeo, en el que las entidades comparten infraestructuras, proveedores y modelos de negocio que operan en varios Estados miembros.

En algunos casos, los incidentes afectaron a más de diez países, lo que denota que un mismo fallo puede extenderse rápidamente.

Principales causas de los incidentes

Las causas más frecuentes fueron los fallos de sistema, que corresponden a aproximadamente la mitad de los incidentes graves, seguidos de eventos externos, fallos de proceso y errores humanos.

Las ESA destacan que una gran parte de los incidentes tuvo su origen en  proveedores tecnológicos, entidades financieras o proveedores de infraestructuras, lo que refuerza la importancia de la gestión del riesgo de otras entidades.

Ciberincidentes

Los incidentes de ciberseguridad representaron una parte menor del total de incidentes notificados. No obstante, dentro de este tipo de incidentes destacaron especialmente:

  • los ataques de denegación de servicio distribuido (DDoS, en siglas inglesas), y
  • los supuestos de exfiltración o manipulación de datos, incluyendo el robo de identidad.

Las ESA señalan que el menor número relativo de ciberincidentes podría indicar que las medidas de seguridad, detección y contención existentes han sido efectivas para evitar que determinados incidentes se conviertan en graves.

Efectos en clientes y transacciones

Aunque ha habido un alto número de incidentes notificados, el efecto directo fue limitado en la mayoría de los casos:

  • alrededor del 60 % de los incidentes no tuvo efecto en clientes o fue menor;
  • una parte significativa de los incidentes no afectó a transacciones o las afectadas fueron menos de 1.000;
  • el 16 % de los incidentes se notificó por razones reputacionales, incluyendo supuestos con reflejo en medios, quejas reiteradas de clientes o posible incumplimiento de requisitos regulatorios.

Las ESA determinan que esto se debe, en parte, a la detección temprana de los incidentes y a las medidas de respuesta y contención eficaces.

Consecuencias económicas

Las consecuencias económicas directas también fueron reducidas en muchos casos:

  • casi el 40 % de los incidentes no generó costes directos o indirectos declarados,
  • alrededor del 10 % tuvo un impacto económico inferior a 1.000 euros.

Las ESA advierten de que pueden existir diferencias en la forma de calcular determinados costes, sobre todo los relacionados con recursos internos dedicados a la gestión del incidente.

Incidentes destacados

El informe analiza dos eventos especialmente relevantes durante 2025:

  1. El incidente de TARGET 2, de febrero de 2025, que provocó la indisponibilidad de los servicios T2 y T2S durante aproximadamente 10 y 8 horas, respectivamente, como consecuencia de un fallo de hardware.
  2. El apagón de abril de 2025, que afectó a España y Portugal y tuvo impactos en las operaciones de entidades financieras, especialmente por la interrupción de canales de comunicación, servicios online, oficinas y terminales de punto de venta.

Medidas correctivas

Las ESA indican que las entidades financieras suelen tomar  inicialmente medidas técnicas rápidas para restaurar la continuidad del servicio y, posteriormente, medidas estructurales destinadas a reducir la probabilidad de recurrencia.

Entre ellas se incluyen:

  • mejoras en monitorización y alertas,
  • refuerzo de pruebas,
  • revisión de procedimientos de gestión del cambio,
  • configuración de sistemas,
  • reconstrucción de datos, y
  • coordinación con proveedores externos cuando el incidente tuvo origen en uno de ellos.

Próximos pasos

Para 2026, las ESA:

  • prevén seguir analizando los incidentes TIC graves notificados y mejorar la calidad de los datos que recibe;
  • esperan introducir una nueva herramienta para la notificación de incidentes por las autoridades competentes, y combinar el uso de la información procedente del registro de información previsto en el reglamento DORA y de los incidentes notificados.
1 Es decir, la Autoridad Bancaria Europea (ABE o EBA en siglas inglesas), la Autoridad Europea de Seguros y Pensiones de Jubilación (AESPJ o EIOPA) y la Autoridad Europea de Valores y Mercados (AEVM o ESMA).
2 Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.º 1060/2009, (UE) n.º 648/2012, (UE) n.º 600/2014, (UE) n.º 909/2014 y (UE) 2016/1011.
Iniciativas relacionadas
Alertas Relacionadas
Documentos vinculados
Ámbitos
Más información