Infraestructura email para bancos y fintech operando bajo DORA, PSD3 y el problema de suplantación de marca
Los bancos envían email transaccional — extractos, alertas, restablecimientos de contraseña, confirmaciones de pago — a los clientes que son el target de phishing más lucrativo de la economía digital. La infraestructura debajo de ese correo es ahora un componente regulado: DORA aplica desde enero 2025, el texto de PSD3/PSR se acordó en noviembre 2025 con enforcement pleno esperado para finales de 2027, y el mandato bulk-sender Gmail/Yahoo de 2024 añadió compliance técnico encima. Enviamos email de grado financiero: enforcement DMARC, despliegue BIMI/VMC, ruteo solo-UE en Stockholm y Frankfurt, workflows de reporte de incidentes ICT que el Art. 19 de DORA realmente acepta, y cero propiedad estadounidense en el data path.
DORA está vigente. PSD3/PSR está acordado. El mandato bulk-sender lleva dos años aplicándose. El email es ahora un workload regulado.
Durante los últimos veinte años, el email fue tratado por las instituciones financieras como un canal de comunicación de bajo riesgo: útil, ocasionalmente vergonzoso cuando algo se filtraba, pero no regulado como infraestructura crítica. Eso terminó el 17 de enero de 2025, cuando aplicó el Reglamento de Resiliencia Operativa Digital (DORA). DORA trae cada sistema de comunicación electrónica que soporta un servicio financiero — incluido el correo transaccional, las notificaciones al cliente, la entrega de extractos, los restablecimientos de contraseña y los emails de confirmación 2FA — al marco de gestión de riesgos ICT. La era de enforcement 2026 ha comenzado. Las Autoridades Europeas de Supervisión (EBA, ESMA, EIOPA) emitieron su primera batch de proveedores terceros críticos designados (CTPP) en noviembre 2025 y arrancaron el ciclo de planes de supervisión anuales en Q1 2026.
PSD3 y PSR fueron acordados políticamente por los negociadores del Parlamento Europeo y el Consejo el 27 de noviembre de 2025. La entrada en vigor se espera entre Q1 y Q2 2026, con un período de transición de 21 meses — significando transposición nacional hasta 2027 y compliance operacional pleno para 2028. PSD3/PSR mandata un marco con mecanismos de mitigación y control para gestionar riesgos de seguridad y operacionales, alineándose explícitamente con las provisiones de gestión de riesgos ICT de DORA. Los proveedores de servicios de pago deben presentar una evaluación anual de los riesgos operacionales y de seguridad relacionados con sus servicios. El email se sitúa de lleno en ese alcance cuando lleva códigos de confirmación SCA, notificaciones de transacción, o cualquier comunicación que toque el path de autenticación de pagos del cliente.
Encima de eso: el enforcement bulk-sender Gmail/Yahoo que entró en vigor en febrero 2024 y se endureció a lo largo de 2025-2026, el mandato de autenticación de Microsoft Outlook efectivo el 5 de mayo de 2025, el enforcement de La Poste que empezó en septiembre 2025, y el Compliance Status binario Pass/Fail de Postmaster Tools v2 de Gmail lanzado en octubre 2025. Para un banco enviando más de 5.000 mensajes transaccionales/día a direcciones Gmail, DMARC debe ser válido y alineado, SPF y DKIM deben autenticar cada stream, el unsubscribe en un clic debe funcionar para cualquier comunicación que no sea puramente transaccional, y la tasa de quejas de spam tiene que mantenerse por debajo del 0,30 % (con 0,10 % como techo de trabajo).
La intersección de estos regímenes hace que el email financiero sea más difícil que el email de cualquier otro vertical. El problema de suplantación de marca es el peor de la economía — Spamhaus, APWG y el Anti-Phishing Working Group reportan consistentemente que la banca y los pagos son los sectores top de target de phishing. El impacto en el cliente de una ola de phishing que se cuela es pérdida financiera directa para personas reales, lo que DORA clasifica como un incidente ICT-related con la prioridad de reporte más alta y el reloj más estricto de 72 horas para la notificación inicial a la autoridad competente. Una infraestructura email que era aceptable para una empresa SaaS no es aceptable para un banco.
Para el mercado español específicamente: el Banco de España (BdE), la CNMV y la Dirección General de Seguros y Fondos de Pensiones supervisan diferentes facetas. La Circular 2/2023 del Banco de España sobre externalización de servicios ICT añade capas locales sobre DORA. Para bancos en LATAM, los reguladores locales — la CNBV en México (Disposiciones de Carácter General Aplicables a las Instituciones de Tecnología Financiera, Ley Fintech 2018), el Banco Central de Brasil (BACEN) con la Resolução BCB nº 85 sobre ciberseguridad, la SBIF/CMF en Chile, la Superintendencia Financiera en Colombia — todos han endurecido sus exigencias de resiliencia operativa ICT a lo largo de 2024-2026. Lo que entregamos está construido específicamente para este régimen.
Lo que tu banco pierde cada año en phishing que suplanta exitosamente tu dominio
Mueve los sliders para modelar tu situación. Las matemáticas aproximan la exposición documentada a pérdidas por phishing para bancos de diferentes tamaños, asumiendo que la postura de autenticación (sin DMARC vs enforcement DMARC vs BIMI/VMC) determina la superficie de suplantación y el coste de recuperación del cliente.
Matemáticas: tasa de éxito de campaña phishing × campañas/año × base de clientes alcanzados × pérdida promedio = exposición anual. Factores de reducción por postura: p=none = exposición completa (1,0×); p=quarantine = 0,45×; p=reject = 0,10× (solo phishing por dominio lookalike); BIMI/VMC = 0,04× (clientes entrenados a buscar el logo). Factores derivados de datos de tendencia del Anti-Phishing Working Group 2025 y casos documentados de instituciones financieras UE post-VMC.
Pasa a p=reject + BIMI/VMC y los mismos parámetros bajan la exposición anual aproximadamente un 96 %. El coste del certificado (~€780-€1.668/año por VMC) y el trabajo operacional para llegar a p=reject típicamente se pagan solos en el primer mes a esta escala.
Cuatro regímenes solapados, todos activos o inminentes
Cada uno de estos regímenes tiene su propio alcance, su propio reloj de enforcement, y sus propios requisitos técnicos. La infraestructura email para un banco en 2026 tiene que satisfacer todos simultáneamente. Aquí está el desglose práctico.
Reglamento de Resiliencia Operativa Digital
Reglamento UE que trae cada sistema ICT soportando un servicio financiero a un marco unificado de gestión de riesgos. Reporte de incidentes ICT con reloj de 72h para notificación inicial de incidentes mayores. Supervisión de terceros: si tu proveedor email es un proveedor tercero crítico designado (CTPP), está bajo supervisión directa de las ESA.
- Touchpoints email
- Gestión riesgo ICT, reporte incidentes, registro terceros
- Estado 2026
- Primera ola CTPP designados nov 2025
Directiva 3 de Servicios de Pago + Reglamento
Acuerdo político alcanzado el 27 nov 2025. Sustituye a PSD2 y a la Directiva de Dinero Electrónico. Refuerza SCA (Strong Customer Authentication), endurece el análisis de riesgo transaccional, introduce esquemas de verificación de beneficiario, y manda alineación directa con DORA para resiliencia operacional.
- Touchpoints email
- Confirmación SCA, notificaciones de pago, comms cliente
- Cronograma
- Vigor esperado Q1-Q2 2026, compliance pleno ~2028
Gmail / Yahoo / Microsoft / La Poste
Originalmente Gmail/Yahoo feb 2024, luego Microsoft Outlook 5 mayo 2025 (rechaza con 550 5.7.515), luego La Poste septiembre 2025. Postmaster Tools v2 lanzado octubre 2025 con Compliance Status binario Pass/Fail. Los bancos cruzan rutinariamente el umbral de 5.000 mensajes/día para correo transaccional.
- Touchpoints email
- Alineación DMARC, SPF/DKIM, unsubscribe un clic
- Enforcement 2026
- Rechazo permanente Gmail 550 desde nov 2025
RGPD, BdE, CNMV, CNBV, BACEN
Los supervisores bancarios nacionales añaden sus propias reglas: la Circular 2/2023 del Banco de España sobre externalización ICT, la CNMV para mercados de valores, la CNBV (Ley Fintech 2018 México), el BACEN (Resolução BCB nº 85 ciberseguridad Brasil), la SBIF/CMF (Chile), la Superintendencia Financiera (Colombia). Touchpoints email: residencia de datos, notificaciones de externalización, confidencialidad de datos de cliente.
- Touchpoints email
- Residencia datos, Art. 28 RGPD, notificación brecha
- Punto de fricción
- ESPs estadounidenses disparan preguntas Schrems II
Tu logo verificado en el inbox es ahora la señal más fuerte que tienen los clientes de que un email es realmente tuyo
BIMI (Brand Indicators for Message Identification) muestra tu logo de marca verificado junto a emails autenticados en Gmail, Yahoo Mail, Apple Mail, Fastmail y AOL. Para un banco, el logo sirve una función de seguridad tanto como una de branding: los clientes que se entrenan a buscar el logo en un mensaje de "su banco" marcarán como sospechoso un mensaje sin logo, que es exactamente lo que quieres que hagan cuando una suplantación de phishing alcanza su inbox.
El piso técnico no es negociable. BIMI requiere DMARC en p=quarantine o p=reject durante al menos 30 días consecutivos antes de que los proveedores de inbox tiren y muestren el logo. La mayoría de bancos alcanzan BIMI aproximadamente seis a doce meses después de empezar la progresión de enforcement DMARC — el tiempo requerido para encontrar cada fuente de envío legítima (Salesforce Marketing Cloud para marketing, el ESP transaccional para extractos, el CRM para comms de servicio, el servidor de mail de oficina para respuestas del staff), conseguir todas ellas alineadas con DKIM, y luego progresar la política de monitoreo a quarantine a reject sin romper mail legítimo.
El Verified Mark Certificate añade una capa legal encima: un certificado digital emitido por una Autoridad Certificadora (DigiCert y Entrust son las CAs dominantes) que confirma que el logo es una marca registrada y que la entidad mostrándolo posee la marca. El pricing VMC en 2026 va de $780/año a $1.668/año dependiendo de la CA, la duración del término, y los descuentos de reseller; el certificado es lo que desbloquea el checkmark azul de Gmail y el display completo del logo en Apple Mail. Para bancos sin una marca registrada de la variante específica del logo (la versión de color vs la monocromática, por ejemplo), el Common Mark Certificate a aproximadamente $650/año es una alternativa en Gmail y Apple Mail pero no concede el verified checkmark.
El caso para bancos es directo. Un caso documentado de una institución financiera UE de finales de 2025 reportó una caída significativa en los reportes de phishing enviados por clientes seis meses después del despliegue VMC, con el resultado más interesante siendo un cambio de comportamiento: los clientes empezaron a reportar mensajes sin el logo como sospechosos. Ese es el valor real. El volumen de phishing dirigido al banco no disminuyó; la capacidad de la base de clientes de distinguir entre real y falso aumentó. El tiempo de respuesta del equipo SOC bajó porque los reportes que recibían eran de mayor calidad.
Lo que entregamos en la capa BIMI/VMC: reporte y análisis DMARC en p=none durante los primeros 30-60 días para identificar cada stream legítimo, fixes de alineación para los streams que los necesiten, la progresión a p=quarantine durante otros 30 días con monitoreo continuo, el movimiento final a p=reject, la generación del archivo SVG Tiny PS desde tu logo de marca registrada existente (<32 KB, ratio 1:1, sin scripts, sin referencias externas), la liaison de aplicación VMC con DigiCert o Entrust, la publicación del registro DNS TXT, y la verificación BIMI per-subdominio (BIMI chequea la política del subdominio explícitamente vía sp=, así que no se hereda automáticamente).
Las piezas de la plataforma que satisfacen DORA, PSD3 y el mandato bulk-sender juntos
Lo que proveemos es la capa de envío regulada: una infraestructura PowerMTA gestionada alojada en nuestro data center primario de Stockholm y secundario de Frankfurt, con las disciplinas operacionales y workflows de reporte que los regímenes financieros requieren. No reemplazamos tu plataforma core bancaria, tu CRM, ni tu automatización de marketing; lo que reemplazamos es el SMTP relay debajo de esos sistemas, más el tooling de deliverability y autenticación alrededor.
- Progresión de enforcement DMARC a p=reject 30 días en
p=nonecon parseo completo de reportes agregados DMARC para identificar cada fuente legítima. 30 días enp=quarantine. Movimiento final ap=reject. Esta es la base para BIMI/VMC y el único estado en 2026 que es seguro a largo plazo. - Despliegue BIMI / VMC Preparación del logo SVG Tiny PS desde tu marca registrada existente (<32 KB, ratio 1:1), aplicación VMC con DigiCert o Entrust, publicación del registro DNS TXT, verificación per-subdominio, verificación mensual de que el logo sigue mostrándose en Gmail, Yahoo Mail, Apple Mail, Fastmail y AOL. Renovación anual VMC gestionada.
- Workflow de reporte de incidentes DORA Art. 19 Paths de escalado pre-definidos para incidentes ICT. Plantilla de notificación inicial dentro de 72 horas, reporte intermedio dentro de 30 días, reporte final dentro de 90 días — la cadencia que el Art. 19 de DORA realmente requiere. La rotación on-call de Stockholm provee el humano que responde cuando algo va mal, con liaison del lado del banco coordinado a través de tu punto de contacto designado.
- Ruteo solo-UE en Stockholm y Frankfurt Infraestructura primaria en Stockholm, secundaria en Frankfurt. Ambas son jurisdicciones UE. Sin propiedad estadounidense en el data path. El transfer-impact-assessment Schrems II que complica el mail ruteado por EE.UU. no aplica cuando el ruteo permanece en la UE. Para bancos LATAM con clientes UE, esto satisface el requisito de residencia de datos sin capas contractuales adicionales.
- Aislamiento de reputación per-marca para grupos multi-entidad Un grupo financiero típico tiene 5-15 marcas (banco retail, banco corporativo, gestión de activos, seguros, procesador de pagos) cada una con su propia base de clientes y su propio perfil de deliverability. Aislamos cada marca en su propio dominio de envío con sus propias claves DKIM, su propio pool de IPs (o pools), y su propia política DMARC.
- Manejo de bounces e ingesta FBL por categoría regulatoria El correo transaccional (extractos, alertas, restablecimientos de contraseña) se trata diferente del correo promocional en nuestra lógica de manejo de bounces, porque la consecuencia regulatoria es diferente — un restablecimiento de contraseña rebotado dispara un workflow de fallo de autenticación, un mensaje promocional rebotado dispara un workflow de higiene de lista.
- Framework DPA para la cadena Art. 28 RGPD + DORA Art. 30 Nuestro DPA está estructurado para la cadena típica de servicios financieros: el banco es el responsable, somos el encargado (bajo DORA Art. 30, el contrato de servicios ICT third-party), con compromisos explícitos de residencia de datos, derechos de auditoría, asistencia de salida, y restricciones de subcontratación. Bancos en España firman bajo RGPD + LOPD-GDD + Circular 2/2023 BdE. Bancos en México bajo LFPDPPP + Ley Fintech 2018. Bancos en Brasil bajo LGPD + Resolução BCB nº 85.
Cómo se dimensionan típicamente los engagements bancarios
PowerMTA Pro + Managed Deliverability · €2.699/mes
PowerMTA Pro (€1.499) + retainer Managed Deliverability (€1.200). 20 IPs dedicadas, 150K msg/hr, ingeniero de deliverability nombrado, progresión DMARC a p=reject y despliegue BIMI/VMC incluidos en los primeros 90 días. La configuración donde la mayoría de bancos regionales se asientan.
PowerMTA Enterprise + Managed Deliverability · €3.999/mes
PowerMTA Enterprise (€2.799) + Managed Deliverability (€1.200). 30 IPs dedicadas, 500K msg/hr, aislamiento per-marca a través de las entidades del grupo financiero, BIMI/VMC para cada marca. El tier donde bancos europeos de tamaño mediano y fintechs significativas se asientan.
Ver Managed DeliverabilityPersonalizado · desde €7.500/mes
Arquitectura multi-servidor con activo-activo entre Stockholm y Frankfurt, espacio /24 IP dedicado, SLA nombrado con respuesta sub-15 minutos, participación trimestral en TLPT (threat-led penetration testing), soporte de auditoría para revisiones DORA Art. 19. Bancos a esta escala típicamente también negocian un DPA personalizado.
Abrir conversaciónLo que los bancos preguntan antes de firmar
¿Sois un proveedor tercero crítico designado bajo DORA?
+
Actualmente no. La primera batch de designaciones CTPP fue emitida por las ESA en noviembre 2025 y consistió en los proveedores cloud e IT services más grandes. Nuestro tamaño y concentración de clientes no cumple el umbral CTPP. Lo que significa prácticamente: bajo DORA Art. 28, tu banco es responsable del registro de terceros y la gestión de riesgo ICT alrededor de usarnos; bajo Art. 30, el contrato debe incluir las cláusulas específicas que DORA requiere; bajo Art. 19, tu banco es el reportero a la autoridad competente si un incidente ICT-related en nuestra infraestructura te afecta. Suministramos los datos técnicos del incidente en una hora; tú suministras el reporte del lado supervisor.
¿Qué pasa con Schrems II y proveedores estadounidenses en la cadena?
+
Authorize Hosting es una entidad sueca incorporada (Stockholm, establecida 2003) sin propiedad estadounidense en la cadena corporativa. Infraestructura primaria en Stockholm, secundaria en Frankfurt. Ambas son jurisdicciones UE y los datos permanecen en la UE por defecto. No hay transferencia a EE.UU. en ningún flujo de mail normal, y la inestabilidad del EU-US Data Privacy Framework — que el caso Schrems II dejó clara — no aplica a nuestra cadena.
Para bancos cuyos clientes explícitamente no quieren que sus datos toquen infraestructura propiedad de EE.UU. (típicamente clientes del sector público, productos banking-healthcare-adjacent, o instituciones con mandatos de soberanía UE), esta es la respuesta estructural. El DPA excluye explícitamente subprocesadores estadounidenses. Para comparación: cualquiera de los proveedores dominantes de infraestructura email propiedad de EE.UU. requiere una transfer-impact assessment para un cliente UE, y la mayoría de bancos encuentran esa evaluación progresivamente más difícil de defender a través de 2025 y 2026.
¿Cómo trabaja la progresión DMARC para un banco con 50+ streams de envío?
+
Los bancos típicamente tienen más streams de envío de los que se dan cuenta: el correo transaccional de la plataforma core banking, las notificaciones de servicio del CRM, la automatización de marketing para las cartas de oferta retail, el reporte de la división de gestión patrimonial, el stream separado de banca corporativa, el mail interno del sistema HR, los varios tenants Microsoft 365 / Google Workspace de oficina, el email-out del call center contratado, la plataforma de firma de documentos, las encuestas a clientes, las alertas automatizadas del equipo de seguridad, etc. Un inventario de 50 streams es común para un banco tier-2.
La progresión: primeros 30 días en p=none con reporte DMARC yendo a nuestro dashboard, donde parseamos los reportes agregados y producimos una evaluación de readiness stream-por-stream. La mayoría de bancos descubren 5-10 streams que no están autenticando limpiamente. Trabajamos con los equipos internos del banco para arreglar cada uno, luego pasamos a p=quarantine por otros 30 días para confirmar que ningún stream legítimo está siendo filtrado. Movimiento final a p=reject. Tiempo total transcurrido para un entorno de tamaño bancario: típicamente 90-120 días. Para estates muy grandes: 6 meses.
¿Qué tan rápido podéis soportar notificación de incidentes DORA Art. 19?
+
El reloj DORA Art. 19 para incidentes ICT-related mayores es: notificación inicial dentro de 24 horas de tomar conciencia, reporte intermedio dentro de 72 horas, reporte final dentro de 30 días (extendible a 90). Bancos en nuestro tier de pricing obtienen una rotación on-call de Stockholm con ingenieros nombrados y un árbol de escalado documentado. Incidentes críticos (multi-cliente afectados, regulator-visible) disparan respuesta dentro de una hora durante horas laborables UE; respuesta fuera de horario es 2-3 horas. Los datos técnicos del incidente que proveemos — streams de envío afectados, ventanas de tiempo, análisis de causa raíz, pasos de remediación — están estructurados para inclusión directa en la notificación del banco a la autoridad competente.
¿Cómo reduce realmente BIMI/VMC el phishing? Los clientes aún no están entrenados a buscarlo.
+
Dos efectos, trabajando en horizontes de tiempo diferentes. Efecto inmediato: BIMI requiere DMARC en p=reject como prerequisito. Llegar a p=reject detiene la suplantación directa de dominio (mail enviado desde el dominio del banco). El phishing que pasa después del despliegue BIMI es phishing por dominio lookalike, que es más difícil de montar y más fácil de detectar para los clientes.
Efecto a largo horizonte: los clientes sí aprenden a buscar el logo, pero toma 6-18 meses de presencia visual consistente en su inbox. El caso documentado de la institución financiera UE de 2025 mostró cambio de comportamiento de cliente al sexto mes — los clientes empezaron a reportar mensajes sin el logo como sospechosos. Este es el objetivo real: no "el cliente ve el logo y confía en el email", sino "el cliente nota cuando falta el logo y se vuelve sospechoso". Ese segundo comportamiento es lo que reduce las tasas de conversión de víctima phishing.
¿Cómo integra esto con nuestro ESP existente (SFMC / Adobe Campaign / Selligent)?
+
Dos patrones. Patrón SMTP relay: tu ESP (SFMC, Adobe, Selligent, Acoustic, o cualquier otro) mantiene su UI, su campaign builder, su segmentación, sus analytics. Lo que cambia es dónde sale el mail. En lugar de la infraestructura compartida del ESP, el ESP autentica a nuestro SMTP relay y el mail sale en nuestras IPs dedicadas bajo tu dominio. La mayoría de bancos montan esto para los streams de alta-deliverability (correo transaccional, restablecimientos de contraseña, notificaciones de extracto) y mantienen el correo promocional en la infraestructura nativa del ESP donde las señales de engagement no llevan peso regulatorio.
Patrón API directo: para correo transaccional específicamente — entrega de extractos, confirmaciones de pago, códigos 2FA — los bancos frecuentemente construyen directamente contra nuestra HTTP API o SMTP relay desde la plataforma core banking, bypassing el ESP focused en marketing entirely. Esto es más rápido, más confiable, y más fácil de auditar.
¿Qué pasa con TLPT y los requisitos de testing de DORA?
+
DORA Art. 26 requiere TLPT (threat-led penetration testing) para entidades financieras significativas al menos cada tres años. El alcance TLPT puede incluir terceros ICT cuya disrupción afectaría meaningfully al banco — que puede incluir la infraestructura email cuando el volumen de correo transaccional del banco es significativo o cuando la infraestructura email está en el registro de funciones críticas-o-importantes del banco.
Para bancos en el tier de pricing Tier-1, participamos en engagements TLPT como tercero en alcance. Proveemos entornos de prueba controlados, documentación de nuestro perímetro, y la liaison técnica para el red team durante la ventana de prueba. No participamos como tercero en TLPT para bancos por debajo de ese tier porque la disrupción operacional no vale la pena para ambos lados — pero la infraestructura subyacente es la misma, y el banco puede probarla indirectamente a través de la perspectiva customer-side del red team.
Conversación procurement-ready
Cuéntanos sobre tu institución: perímetro regulatorio (alcance DORA, autorización de servicios de pago, jurisdicciones), estate de envío actual, postura DMARC, y qué específicamente te empujó a mirar la infraestructura email. Volveremos con una propuesta dimensionada, un DPA, y el cuestionario de seguridad pre-rellenado.