Gestión del riesgo operacional y ciberresilencia de la banca europea
Análisis OFT – 2 / 2026
Fecha: 13 enero 2026
| LAS CLAVES El riesgo operacional se ha consolidado como uno de los principales focos de atención en el sector bancario, especialmente en un entorno marcado por la digitalización, la globalización del sistema financiero y el creciente peso de la tecnología en los modelos de negocio. El riesgo cibernético y la seguridad de los datos se consolida, con amplia diferencia, como el principal determinante del riesgo operacional en la banca europea, siendo señalado por casi el 80% de las entidades bancarias europeas. El fraude aparece como el segundo factor más relevante (55,3%), habiéndose incrementado su relevancia de forma significativa en los últimos dos años. En septiembre de 2025, cerca del 50% de las entidades declaran no haber sufrido ningún ciberataque con potencial impacto relevante en los seis meses previos, frente al 42,4% registrado en la primavera de 2025. Se observa una reducción en los casos más severos. El porcentaje de bancos que declaran haber sufrido 11 o más ciberataques desciende del 9,4% al 7,1%. |
Poniendo el foco en el riesgo operacional
El riesgo operacional se ha consolidado como uno de los principales focos de atención en el sector bancario, especialmente en un entorno marcado por la digitalización, la globalización del sistema financiero y el creciente peso de la tecnología en los modelos de negocio. Este riesgo, definido como la posibilidad de incurrir en pérdidas derivadas de fallos o deficiencias en los procesos internos, los sistemas, las personas o como consecuencia de eventos externos, está presente en todas las actividades y productos bancarios e incluye, entre otros, el riesgo informático y cibernético, el fraude —especialmente en su vertiente digital— y el riesgo legal. La creciente complejidad de estos factores ha elevado de forma significativa los riesgos para la resiliencia operativa de las entidades, como ponen de manifiesto diversos eventos de pérdidas relevantes registrados en los últimos años. Las consecuencias de una gestión inadecuada pueden ser especialmente graves, afectando no solo a la estabilidad financiera de los bancos, sino también a su reputación, a la confianza de los clientes y al cumplimiento normativo, con potenciales sanciones regulatorias y elevados costes económicos. En este contexto, el sector bancario europeo ha intensificado sus inversiones en el fortalecimiento de los marcos de gestión del riesgo operacional, incorporando medidas avanzadas de prevención, monitorización y planes de respuesta rápida. La relevancia sistémica de este riesgo se refleja asimismo en que los requerimientos de capital por riesgo operativo constituyen el segundo componente más importante de los activos ponderados por riesgo, solo por detrás del riesgo de crédito.
Fuentes de riesgo operacional en el sector bancario europeo
A partir de los datos más recientes proporcionados por la EBA[1], el Gráfico 1 muestra la evolución de las principales fuentes de riesgo operacional según los bancos europeos. En concreto, el gráfico recoge el porcentaje de bancos europeos encuestados que consideran que los siguientes eventos tienen un impacto relevante en el riesgo operacional de las entidades bancarias. En la última observación del gráfico (septiembre de 2025), el riesgo cibernético y la seguridad de los datos se consolida, con amplia diferencia, como el principal determinante del riesgo operacional en la banca europea, siendo señalado por casi el 80% de las entidades. Este resultado confirma una tendencia claramente creciente respecto a años anteriores y refleja la mayor exposición derivada de la digitalización, la dependencia de infraestructuras tecnológicas críticas y el aumento de la sofisticación de los ciberataques. De forma coherente, el fraude aparece como el segundo factor más relevante (55,3%), evidenciando el desplazamiento hacia modalidades de fraude digital. Asimismo, los fallos tecnológicos mantienen un peso significativo (36,5%), subrayando que las disrupciones en sistemas y plataformas pueden comprometer la prestación de servicios críticos y, en última instancia, la estabilidad operativa de las entidades.
Gráfico 1. Fuentes del riesgo operacional (% de bancos europeos encuestados que responden afirmativamente).
Fuente: EBA y elaboración propia.
Ciberresiliencia en la banca europea
La información reportada por la EBA procedente del Risk Assessment Report, confirma que los ciberataques con impacto operativo siguen siendo elevados en la banca europea, aunque aparecen señales incipientes de estabilización, según los datos más recientes. El Gráfico 2 muestra que, en septiembre de 2025, cerca del 50% de las entidades declaraba no haber sufrido ningún ciberataque con potencial impacto relevante en los seis meses previos, frente al 42,4% registrado en la primavera de 2025, lo que supone el primer aumento de esta proporción en los últimos tres años. En paralelo, se observa una reducción en los casos más severos. El porcentaje de bancos que declara haber sufrido 11 o más ciberataques desciende del 9,4% al 7,1%. De forma complementaria, aunque con un peso claramente menor, se observa la presencia recurrente de entidades que reportan múltiples incidentes (más de 10 ciberataques), lo que evidencia que una parte del sistema bancario se enfrenta a una exposición cibernética recurrente y estructural. En conjunto, estos resultados sugieren que, aunque el nivel de amenaza cibernética permanece estructuralmente alto, la frecuencia y severidad de los incidentes podrían haberse estabilizado, posiblemente como reflejo de una mejora gradual en las capacidades de ciberseguridad y resiliencia operativa del sector bancario europeo.
Gráfico 2. Ciberataques al sector bancario que han afectado la operativa de alguna entidad bancaria europea (septiembre de 2023 a septiembre de 2025)
Fuente: EBA y elaboración propia.
[1] Disponibles en: https://www.eba.europa.eu/publications-and-media/publications/risk-assessment-report-december-2025