DORA y cadena de custodia digital en banca: guía perito 2026

TL;DR — Resumen ejecutivo

En 60 segundos:

Qué: El Reglamento (UE) 2022/2554 (DORA) es plenamente aplicable desde el 17 de enero de 2025 y reescribe la gestión del riesgo TIC, la notificación de incidentes y la trazabilidad de proveedores en bancos, fintech y aseguradoras.
Por qué importa al perito: las notificaciones obligatorias 4 h / 72 h / 1 mes al Banco de España, el Registro de Información (RoI / REGIS) y los informes TLPT generan una capa documental nueva que se convierte en prueba ante un litigio civil del cliente perjudicado.
Qué hacer: cuando un cliente sufre daño por una incidencia TIC en una entidad financiera, su perito puede solicitar el expediente PIR, cruzar la notificación con los logs internos y acreditar (o refutar) la diligencia debida del banco.
Cuándo actuar: desde la fecha del incidente — los plazos de retención derivados de DORA y los plazos procesales LEC empiezan a contar de inmediato.

Resumen ejecutivo: DORA × cadena de custodia

Dato clave	Detalle
Norma	Reglamento (UE) 2022/2554 (DORA) — 14 dic 2022
Aplicación	17 enero 2025 (24 meses transición desde entrada en vigor 16 ene 2023)
Acompañamiento	Directiva (UE) 2022/2556 (modifica MiFID II, CRD IV, Solvencia II, AIFMD, UCITS, BRRD)
Estándares técnicos clave	RD 2024/1772, 2024/1773, 2024/1774, 2025/532, 2025/1190
Norma España (extensión)	RDL 8/2023 art. 4 — operadores y procesadores de pagos (BOE 28 dic 2023)
Supervisores ES	Banco de España (entidades crédito, EDE, pago) · CNMV (ESIs, criptoactivos) · DGSFP (seguros, fondos de pensiones)
Plazos notificación incidente grave	4 h notificación inicial · 72 h informe intermedio · 1 mes informe final
Reporte anual REGIS / RoI	15 abril cada año
CTPP designados	Primera lista oficial 18 nov 2025 (incluye AWS, entre otros 19)
Sanciones UE arts. 50-57 + art. 35 CTPP	Régimen efectivo, proporcionado y disuasorio fijado por Estados; CTPP hasta 1 % facturación mundial diaria/día

⚠️ Aviso de fuentes: este artículo cita exclusivamente normativa publicada en EUR-Lex / BOE / sedes oficiales. Las cifras concretas de multa por entidad financiera dependen de la transposición/desarrollo doméstico (Anteproyecto Ley Digitalización del Sector Financiero, no aprobado a la fecha de este artículo). No se citan sentencias DORA porque a la fecha no hay jurisprudencia firme verificable sobre el reglamento.

El 17 de enero de 2025 entró en plena aplicación el Reglamento (UE) 2022/2554, conocido como DORA (Digital Operational Resilience Act). Para un perito informático forense que trabaja con litigios civiles, despachos de banca o aseguradoras, DORA no es solo un marco de cumplimiento: es una capa documental obligatoria que el banco genera y conserva, y que se convierte en material probatorio desde el momento en que un cliente sufre daño por una incidencia TIC.

Esta guía explica, desde la cabina del perito, cómo se cruza DORA con la cadena de custodia digital que ya aplicamos bajo ISO/IEC 27037:2012, qué documentos pasa a generar la entidad financiera, cómo se solicitan en juicio y qué papel juega el dictamen pericial cuando el cliente reclama.

Si has llegado aquí desde un litigio concreto donde tu cliente ha sufrido un fallo TIC en un banco, una caída del procesador de pagos, una brecha de datos o una operación no autorizada, sigue leyendo: el orden de las preguntas que debes hacerte está en la última sección.

Solicita una consulta gratuita si quieres que valoremos tu caso concreto antes de actuar.

1. Qué es DORA y por qué cambia la pericial bancaria

DORA es un reglamento europeo de aplicación directa (no requiere transposición), publicado en el DOUE el 27 de diciembre de 2022 y plenamente aplicable desde el 17 de enero de 2025. Su finalidad es asegurar que las entidades financieras europeas pueden resistir, responder y recuperarse ante incidentes TIC graves manteniendo la prestación de servicios esenciales.

A diferencia de NIS2 (Directiva 2022/2555), que es horizontal a múltiples sectores, DORA actúa como lex specialis sobre banca, fintech y seguros. Para las entidades financieras la regla es: lo que regula DORA prevalece sobre NIS2; lo que no regula DORA, NIS2 sigue aplicando.

1.1 Cinco pilares con relevancia probatoria

DORA se estructura en cinco pilares. Para el perito, los cuatro primeros generan prueba; el quinto es residual:

Pilar 1: Gestión del riesgo TIC (arts. 5-16) — el órgano de dirección define el marco, lo aprueba y lo audita anualmente. Toda esta documentación es evidencia disponible.
Pilar 2: Gestión de incidentes TIC (arts. 17-23) — la entidad clasifica y notifica al supervisor con plazos legales (4 h / 72 h / 1 mes). El expediente notificación es prueba pre-constituida.
Pilar 3: Pruebas de resiliencia (arts. 24-27) — auditorías anuales y Threat-Led Penetration Testing (TLPT) trianual. Los informes red team / blue team son documentos confidenciales con valor en discusión sobre diligencia debida.
Pilar 4: Riesgo de proveedores TIC (arts. 28-44) — Registro de Información (RoI / REGIS) anual al supervisor + cláusulas contractuales mínimas. El RoI es un activo probatorio único.
Pilar 5: Intercambio voluntario de inteligencia de amenazas (art. 45) — sin valor probatorio directo.

1.2 Ámbito subjetivo en España: 21 categorías de entidades financieras

El art. 2.1 DORA enumera 21 tipos de sujetos: entidades de crédito, entidades de pago, AIS, EDE, ESIs, CASP (criptoactivos), DCV, ECC, centros de negociación, registros de operaciones, AIFMD, UCITS, proveedores de servicios de suministro de datos, aseguradoras y reaseguradoras, intermediarios de seguros, fondos de pensiones de empleo, ECAI (calificación crediticia), administradores de índices de referencia, plataformas de financiación participativa, registros de titulizaciones y, como sujeto distinto, proveedores terceros de servicios TIC.

📌 España adicional: el Real Decreto-ley 8/2023, art. 4, publicado en BOE el 28 de diciembre de 2023, amplía el ámbito del Capítulo II DORA (gestión riesgo TIC) a operadores y procesadores de pagos (incluido Redsys), entidades de dinero electrónico, esquemas de pago y operadores delegados con notificación. Su régimen sancionador aplica desde la misma fecha que DORA UE: 17 de enero de 2025.

Las microempresas en mediación de seguros y reaseguros están excluidas (art. 2.3). El resto de entidades pequeñas dentro del ámbito aplican un marco simplificado (art. 16 + RTS 2024/1774). No existe exclusión por tamaño para los proveedores TIC: si dan servicio a una entidad financiera, DORA aplica.

1.3 Supervisores españoles: el reparto de competencias

Autoridad	Sujetos supervisados	Sede notificación incidentes
Banco de España	Entidades de crédito, EDE, entidades de pago, AIS, operadores y procesadores de pagos	PIR — Notificación de incidentes graves DORA
CNMV	ESIs, gestoras de fondos, plataformas de negociación, registros, criptoactivos (DORA + MiCA), crowdfunding	Procedimiento CNMV
DGSFP (Mineco)	Aseguradoras, reaseguradoras, mediadores no microempresa, fondos de pensiones de empleo	DGSFP DORA

Esto importa al perito porque el expediente DORA está en sede del supervisor que corresponda, y el cauce procesal para solicitarlo (art. 328 LEC, oficios del juez instructor en penal) varía ligeramente.

2. El expediente PIR: prueba pre-constituida en 4 horas, 72 horas y 1 mes

El núcleo procesal de DORA para el perito es el procedimiento de Notificación de Incidente Grave (PIR) del art. 19 + Reglamento Delegado (UE) 2024/1772 + Reglamento de Ejecución (UE) 2025/302.

2.1 Plazos legales obligatorios

Plazos PIR DORA — irrenunciables

Hito	Plazo desde	Contenido típico
Notificación inicial	4 horas desde clasificación como grave Y máximo 24 h desde conocimiento	Identificación entidad, descripción del incidente, hora detección, sistemas afectados, criterios de gravedad cumplidos
Informe intermedio	72 horas tras notificación inicial	Causas raíz preliminares, impacto cuantificado, medidas adoptadas, estado afectados
Informe final	1 mes tras informe intermedio	Causa raíz definitiva, acciones correctivas implementadas, lecciones aprendidas, comunicación a clientes

Fuente: Guía BdE notificación incidentes graves DORA v1.0 (20 feb 2025).

2.2 Criterios de “incidente grave” (art. 18 + RTS 2024/1772)

Una incidencia TIC es grave —y por tanto desencadena PIR— si supera umbrales en al menos uno de estos vectores:

Número/relevancia de clientes afectados (umbral cuantitativo + cualitativo de tipos de cliente).
Duración del incidente y de la indisponibilidad operativa.
Extensión geográfica (más de un Estado miembro).
Pérdida o compromiso de datos (integridad, confidencialidad, autenticidad).
Criticidad de servicios afectados (ej. caída de pagos vs. retraso en informe interno).
Consecuencias económicas acumuladas, directas e indirectas.

Los incidentes recurrentes con misma causa raíz se agregan como un único incidente grave si conjuntamente superan umbral.

2.3 Por qué este expediente importa al perito

El expediente PIR es prueba pre-constituida con tres características críticas:

Está firmado por el órgano de cumplimiento de la entidad (no es libre interpretación). Cualquier afirmación en él vincula a la entidad ante una reclamación posterior.
Tiene timestamp legal (la sede del supervisor sella la recepción).
Integra plazos: si el banco notifica fuera de las 4 h o no aporta el informe intermedio en 72 h, hay incumplimiento regulatorio que el supervisor puede sancionar y que el perito puede invocar como indicio de negligencia organizativa en un proceso civil.

2.4 Cómo solicitar el expediente en un proceso civil

El cauce ordinario en un procedimiento civil (juicio ordinario o verbal) es el art. 328 LEC (exhibición de documentos), con la siguiente operativa:

Identificar la entidad y la fecha aproximada del incidente.
Preguntar al supervisor correspondiente si hubo PIR en esa fecha (vía solicitud de información, art. 53 LRJSP en lo aplicable; muchos supervisores publican estadísticas anonimizadas de incidentes graves, pero no expedientes individuales).
Solicitar al juez la exhibición del expediente PIR a la entidad demandada (art. 328 LEC) con motivación: indicios objetivos de existencia del documento, relación con el objeto del proceso, indeterminación legítima del contenido exacto.
El perito interpreta el expediente cruzándolo con los logs internos solicitados a la entidad y con los logs del cliente perjudicado.

📌 Realismo procesal: la entidad puede oponerse alegando confidencialidad, secreto comercial o que la información obra en sede del supervisor. La práctica de los tribunales mercantiles es valorar la oportunidad caso por caso; nuestra experiencia indica que con motivación técnica adecuada (qué dato concreto buscas, qué incidencia con qué cliente, qué hito DORA) se obtiene la exhibición parcial.

3. RoI / REGIS: el activo probatorio que el banco no sabe que ha creado

El Registro de Información (Register of Information, RoI / REGIS) del art. 28 DORA es probablemente la prueba más poderosa que existe sobre la diligencia debida del banco en materia de proveedores TIC.

3.1 Qué es y qué contiene

El RoI es un registro normalizado (plantilla armonizada vía ITS) en el que toda entidad financiera enumera todos sus acuerdos contractuales TIC: con qué proveedor, qué función, criticidad, datos tratados, ubicación geográfica, derechos de auditoría, plan de salida, fecha contrato, dependencias subcontratadas (RTS 2025/532).

La entidad debe reportarlo anualmente al supervisor, en España con fecha de referencia 15 de abril cada año desde 2025.

3.2 Por qué es prueba decisiva

En un litigio civil donde el cliente reclama daños por fallo del proveedor TIC del banco (caída procesador de pagos, fuga de datos en cloud externalizado, error CRM filial), la pregunta nuclear es: ¿el banco actuó con la diligencia debida en la elección y supervisión de ese proveedor?

El RoI prueba (o no) cuatro cosas:

Que la dependencia estaba identificada y clasificada (función crítica o no).
Que se hizo due diligence previa (criterios art. 28-29 DORA + Reg. Delegado 2024/1773).
Que el contrato incluye las cláusulas mínimas del art. 30 DORA (auditoría, niveles de servicio, datos, salida, cooperación con autoridades).
Que existía plan de continuidad y plan de salida documentados.

Si el RoI omite un proveedor crítico, o las cláusulas del art. 30 no constan, o no hay plan de salida, la entidad no puede ampararse en “fallo del proveedor” ante el cliente: la inversión de la carga sobre la diligencia se ve seriamente comprometida.

3.3 Lectura forense del RoI por un perito

Un perito que recibe un RoI debe verificar:

Coherencia temporal: la fecha de contrato vs. fecha de incidente. Si el proveedor no estaba en RoI a fecha de incidente, hubo gap.
Función crítica o importante: clasificación obligatoria. Si el banco minimizó la criticidad, el perito puede argumentar incumplimiento art. 28.
Subcontratación: el proveedor reportado puede subcontratar (Reg. Delegado 2025/532 acota cuándo). Comprobar la cadena.
Concentración: si la entidad tiene >X% de funciones críticas con un solo proveedor (ejemplo: AWS, designado CTPP por las ESAs el 18 nov 2025), debe gestionar ese riesgo (art. 29).
Derechos de auditoría e inspección: el contrato debe permitirlos. Si no, infracción art. 30.5.

4. Cómo se cruza DORA con la cadena de custodia ISO/IEC 27037

Los peritos llevamos años aplicando la norma ISO/IEC 27037:2012 para la identificación, recopilación, adquisición y preservación de evidencia digital. DORA no la sustituye: la enriquece con obligaciones documentales superpuestas del lado de la entidad financiera.

4.1 ¿Qué cambia en la cadena de custodia digital con DORA?

5 cosas que cambian desde 17 ene 2025

Logs cubiertos por política de retención DORA (art. 11 + RTS 2024/1774): el banco debe conservarlos un plazo proporcional al riesgo y suficiente para auditorías + investigación. La entidad no puede destruir logs mientras estén dentro de la política.
Notificaciones 4 h / 72 h / 1 mes crean documentos firmados con timestamp legal del supervisor. El perito puede solicitarlos vía LEC 328.
Threat intelligence + TLPT quedan protegidos pero deben mantenerse íntegros (firma + timestamp). En litigio civil sobre diligencia debida, pueden solicitarse.
RoI / REGIS se reporta anualmente. El perito puede solicitar la versión vigente al momento del incidente para acreditar conocimiento o desconocimiento del riesgo.
Reciprocidad ISO/IEC 27037 ↔ DORA arts. 5-16: el perito documenta su procedimiento por ISO; bajo DORA puede solicitar al banco sus propios procedimientos como referencia (¿cumplió la entidad sus propios procedimientos publicados?).

4.2 Plazos de retención derivados de DORA

DORA no fija un plazo único universal de retención. El art. 6 + RTS 2024/1774 requieren retención proporcional al riesgo y suficiente para auditorías y para investigar incidentes graves.

En la práctica, las entidades aplican un mínimo de 5 años alineado con el art. 30 LOPDGDD para datos personales y los RTS bancarios horizontales. Las EDE / entidades de pago suelen aplicar 6 años (CRD IV + Ley 7/2020 de servicios de pago + RTS PSD2/PSD3 según corresponda). Verifica siempre por sector y tipo de log antes de afirmar un plazo numérico en el informe pericial.

4.3 La cadena de custodia se vuelve bidireccional

Antes de DORA, la cadena de custodia la llevaba el perito (lado externo). Ahora hay una cadena de custodia interna obligatoria del banco (lado regulado): logs preservados, hashes en backups, integridad firmada, registros de acceso, política de eliminación.

Ambas cadenas deben coincidir. Si el perito recibe del banco una copia de logs cuya integridad no se puede verificar (sin hash, sin firma, sin timestamp), eso ya es indicio de incumplimiento art. 11 DORA + RTS 2024/1774.

5. Incidente DORA → reclamación civil del cliente: el flujo completo

Esta es la trayectoria típica de un caso real:

T+0: la entidad sufre incidente TIC grave (caída procesador, ransomware filial, brecha datos, intrusión cuenta cliente, error CRM con consecuencia económica).
T+4 h: la entidad notifica al supervisor (Banco de España, CNMV o DGSFP) con notificación inicial DORA. Si la incidencia involucra datos personales, además notifica brecha al art. 33 RGPD a la AEPD en 72 h.
T+72 h: la entidad presenta informe intermedio. Si afectó datos personales con alto riesgo, además comunica al interesado (art. 34 RGPD).
T+1 mes: la entidad presenta informe final con causa raíz definitiva.
T+X: el cliente afectado evalúa daño económico y consulta a su abogado.
El abogado contrata perito para acreditar:
- Que la incidencia ocurrió y afectó al cliente concreto (correlación logs-banco ↔ logs-cliente).
- Que la diligencia debida del banco fue insuficiente (RoI, contratos, monitorización).
- Que existe relación de causalidad daño-incidente.
Demanda civil (juicio ordinario o verbal en función de cuantía) o reclamación administrativa (Banco de España vía servicio de reclamaciones, AEPD para datos personales).
Fase probatoria: solicitud expediente PIR, exhibición RoI, exhibición logs, dictamen pericial.

5.1 La cuestión del “fallo del proveedor”

DORA no impone responsabilidad solidaria expresa entidad-proveedor. El régimen general sigue siendo el contractual + LCS / LSP / Cc. Pero crea una responsabilidad in vigilando reforzada: la entidad financiera no puede ampararse en “fallo del proveedor” si no documentó RoI, due diligence, derecho de auditoría e implementación de salida.

Esto importa al perito porque la pericial puede acreditar la inversión funcional de la carga: si el banco no puede aportar el contrato con cláusulas DORA art. 30 ni el RoI vigente al incidente, la diligencia debida no se presume.

5.2 Doble notificación: DORA ≠ RGPD

Característica	DORA	RGPD
Receptor	Supervisor sectorial (BdE / CNMV / DGSFP)	AEPD (autoridad de control)
Plazo inicial	4 h notificación + máx 24 h	72 h
Criterio activación	Incidente TIC grave (servicio + duración + impacto operativo)	Riesgo para derechos y libertades del afectado
Comunicación al afectado	No directa por DORA	Sí en alto riesgo (art. 34 RGPD)
Sancionador	Régimen DORA + nacional	Régimen LOPDGDD

No son sustitutivas — son paralelas. Una misma incidencia puede activar ambos relojes con criterios y receptores distintos. El perito puede tener que cruzar dos expedientes diferentes (uno en sede supervisor, otro en AEPD) para reconstruir el evento.

🔗 Ver Hogan Lovells — Notificación brechas sector asegurador DORA / RGPD para el detalle por sector.

6. Estructura del dictamen pericial de incidente DORA

Cuando un perito recibe el encargo de auditar un incidente DORA en banca, el informe pericial debe seguir la metodología UNE 197001:2019 con adaptaciones específicas DORA:

Identificación e imparcialidad — perito, encargo, parte que encarga, ausencia de conflicto.
Objeto y alcance — claramente: ¿se audita la diligencia DORA? ¿se reconstruye el incidente? ¿se cuantifica el daño? Cada uno tiene metodología distinta.
Antecedentes — descripción del incidente desde la perspectiva del cliente + manifestaciones documentadas.
Marco normativo y técnico — Reglamento UE 2022/2554 + RTS aplicables + ISO/IEC 27037:2012 + LEC arts. concretos.
Análisis técnico —
- Reconstrucción cronológica del incidente con timestamps verificables.
- Cruce con expediente PIR si está disponible (4 h / 72 h / 1 mes).
- Verificación de logs internos del banco vs. logs del cliente.
- Auditoría del RoI: ¿estaba el proveedor identificado? ¿con qué criticidad?
- Auditoría contractual: ¿cumple cláusulas art. 30 DORA?
- Verificación de continuidad y plan de salida (DORA art. 11).
Hallazgos numerados — uno por uno, con prueba documental cruzada.
Conclusiones — trazables a hallazgos, sin saltos lógicos.
Limitaciones — qué información no se obtuvo, qué hipótesis no se pudieron verificar.
Anexos — encargo, manifestaciones cliente, manifest cadena custodia, hashes, glosario.

6.1 Errores que invalidan un dictamen pericial DORA

Citar “DORA exige conservar logs 5 años” como dogma — es proporcional al riesgo.
Afirmar “el banco incumplió DORA” sin cruzar el RoI ni el expediente PIR.
Confundir notificación PIR (DORA) con notificación brecha datos (RGPD) — son paralelas.
Citar sentencias DORA inexistentes a la fecha — no las hay firmes.
Usar las cifras “5M / 10M / 15M €” de multa sin verificar que están en el texto — no figuran como tales en arts. 50-57 DORA UE.

7. Casos didácticos: incidencias pre-DORA que hoy serían PIR

7.1 Caída CrowdStrike 19 julio 2024

~8,5 millones de dispositivos Windows afectados a nivel mundial. En España, BBVA, Santander y Unicaja reportaron interrupciones operativas. Si ocurriese hoy bajo DORA aplicable:

Notificación PIR en 4 h (clasificación grave por número de clientes afectados + duración).
Activación cláusulas contrato CrowdStrike (CTPP candidato 2025-2026).
Análisis post-incidente en informe final 1 mes.
Posibles reclamaciones de comercios sin TPV durante horas → necesidad de pericial cliente-cliente.

7.2 Incidente Redsys 2023

Caída del procesador de pagos español que motivó la ampliación del art. 4 RDL 8/2023. Procesador de pagos = sujeto extendido en España aunque en sentido estricto DORA UE no lo cubría como CTPP. Hoy un episodio similar:

Activaría notificación PIR del banco emisor + Redsys.
El comercio perjudicado podría reclamar al banco con pericial sobre cadena dependencias TIC.

7.3 Caso Anonymous (España, 2011)

Absolución por ruptura de cadena de custodia — los hashes no coincidían. Ejemplo histórico de por qué la disciplina ISO/IEC 27037 + DORA aplicada al banco hubieran evitado la nulidad probatoria.

⚠️ Aviso ético: estos casos se citan como ejemplos didácticos. No afirmamos que CrowdStrike, BBVA, Santander, Unicaja o Redsys hayan incumplido DORA — no hay sentencia ni resolución firme que lo establezca a la fecha.

8. Sanciones DORA: lo verificable y lo que circula sin verificar

Lo verificable a 30 abril 2026:

Art. 35 DORA — sanciones coercitivas a CTPPs: hasta 1 % de la facturación mundial media diaria del CTPP, durante hasta 6 meses. Es la única cifra explícita del reglamento.
Arts. 50-57 DORA: los Estados miembros deben establecer regímenes “efectivos, proporcionados, disuasorios” + medidas administrativas (cese, retirada de autorización, amonestación pública, indemnización daños).
España (RDL 8/2023, art. 4): aplica el régimen sancionador de la legislación sectorial vigente (LOSSEC, LMV refundida, LSSP, etc.) hasta que se apruebe el Anteproyecto de Ley de Digitalización del Sector Financiero, que no está aprobado a la fecha.

Lo que circula sin verificar en blogs:

Cifras “hasta 5M € / 10M € / 15M €” o “3 % / 5 % / 10 %” de facturación. No las he localizado en los arts. 50-57 DORA. Parecen una confusión con NIS2 / RGPD. No las cites en informe sin verificar fuente primaria.

A la fecha no hay sanción DORA pública firme en España ni a nivel ESAs. Los primeros expedientes administrativos están en instrucción.

9. Preguntas frecuentes (FAQ)

¿Desde cuándo es obligatorio DORA en España y a quién aplica?

DORA es plenamente aplicable desde el 17 de enero de 2025 y aplica a las 21 categorías de entidades financieras del art. 2.1 (bancos, fintech, EDE, ESIs, criptoactivos, aseguradoras, fondos de pensiones, etc.) y a sus proveedores TIC. El RDL 8/2023 art. 4 amplió el ámbito en España a operadores y procesadores de pagos.

¿Qué documentos genera la entidad en una incidencia y cuáles puedo solicitar en juicio?

Genera al menos: notificación PIR inicial (4 h), informe intermedio (72 h), informe final (1 mes), logs internos asociados, comunicaciones a clientes si las hubo, registros de acceso al sistema afectado. Todos pueden solicitarse vía art. 328 LEC con motivación adecuada o vía oficios del juez instructor en penal.

¿La notificación PIR es prueba pre-constituida?

Sí. Es un documento firmado por el órgano de cumplimiento de la entidad con timestamp legal del supervisor. En su parte declarativa puede tener valor de documento público administrativo (art. 317.5 LEC). En su parte fáctica/técnica, el perito puede contrastarla con logs internos para verificar veracidad.

Si mi cliente sufre daño por una caída de un proveedor TIC del banco (tipo Redsys), ¿demando al banco o al proveedor?

Al banco, salvo pacto contractual diferente entre el cliente y el proveedor. La entidad financiera responde frente al cliente por la calidad del servicio y mantiene una acción de regreso contra su proveedor TIC. DORA no impone responsabilidad solidaria, pero refuerza la responsabilidad in vigilando: si la entidad no documentó RoI, due diligence ni cláusulas art. 30, no puede ampararse en el “fallo del proveedor”.

¿Puedo solicitar el RoI del banco para acreditar que conocía el riesgo del proveedor?

Sí, vía art. 328 LEC. La entidad puede oponer confidencialidad o secreto comercial, pero la práctica de tribunales mercantiles es valorar caso por caso con motivación técnica adecuada. El RoI es un documento normalizado por ITS UE; la entidad ya lo entrega anualmente al supervisor.

¿DORA exige conservar logs durante un plazo concreto?

No fija plazo único. El art. 11 + RTS 2024/1774 exigen retención proporcional al riesgo y suficiente para auditorías + investigación. La práctica es 5 años mínimo (alineación LOPDGDD) o 6 años para EDE/entidades de pago. Verifica antes de afirmar un plazo.

¿Qué multa puede recibir un banco por incumplir DORA en España?

A 30 abril 2026 el régimen sancionador en España aplica vía legislación sectorial vigente (LOSSEC, LMV, etc.). Las cifras concretas no están unificadas. La única cifra explícita en DORA UE es el art. 35: hasta 1 % de facturación mundial diaria para CTPPs. El Anteproyecto de Ley de Digitalización del Sector Financiero, en consulta pública desde 2024, está pendiente de aprobación.

¿Las pruebas TLPT que hace el banco bajo DORA son confidenciales o pueden solicitarse en juicio?

Son altamente confidenciales (Reglamento Delegado 2025/1190 sobre TLPT + marco TIBER-EU/TIBER-ES del Banco de España). En litigio donde se discute la diligencia debida pueden solicitarse vía LEC 328 con motivación reforzada. La entidad puede invocar protección y el juez decide ponderando intereses. Hay precedentes en compliance de aceptar visionado restringido (in camera) sin entrega copia.

Soy abogado de un comercio que vendió por TPV durante una caída del procesador. ¿Qué pericial necesito?

Pericial que reconstruya:

La cronología del incidente con timestamps verificables.
La afectación específica al TPV de tu cliente (logs entidad emisora + logs proveedor + tu cliente).
La existencia o no de notificación PIR del banco emisor en plazo.
La valoración cuantitativa del daño (operaciones perdidas × ticket medio × margen).
Coherencia o no con la documentación DORA exigible a la entidad.

Solicita una consulta gratuita y valoramos tu caso.

¿Qué diferencia hay entre la notificación DORA y la notificación brecha datos a la AEPD?

Son independientes y paralelas. DORA (4 h al supervisor sectorial) se activa por incidente TIC grave en función de servicio, duración e impacto operativo. RGPD (72 h a la AEPD) se activa por riesgo para los derechos y libertades del afectado por compromiso de datos personales. Una misma incidencia puede activar una, la otra o ambas. El perito puede tener que reconstruir dos expedientes en sedes distintas.

10. Conclusiones

DORA reescribe el ecosistema regulatorio de la banca, fintech y seguros desde el 17 de enero de 2025, y con ello reescribe el ecosistema probatorio que un perito informático forense puede explotar en litigios civiles del cliente perjudicado.

Cinco take-aways operativos:

El expediente PIR (4 h / 72 h / 1 mes) es prueba pre-constituida solicitable vía art. 328 LEC.
El RoI / REGIS es un activo probatorio único: prueba (o no) la diligencia debida del banco frente a sus proveedores TIC.
La cadena de custodia ISO/IEC 27037 sigue aplicando en el lado del perito; ahora tiene espejo regulatorio del lado de la entidad.
La doble notificación DORA + RGPD obliga a cruzar dos expedientes en sedes distintas.
No hay sentencias DORA firmes a la fecha — no las cites; cita el reglamento, los RTS y los supervisores.

Si tu cliente ha sufrido daño por una incidencia TIC en un banco, fintech o aseguradora, el reloj corre desde la fecha del incidente (plazos PIR + plazos LEC + retención logs DORA). Solicita una consulta gratuita y valoraremos juntos qué evidencia podemos solicitar y cómo cruzarla.

Calcula tu peritaje