El 24 de septiembre de 2025, la Comisión Europea anunció que había enviado requerimientos formales de información con base en la Ley de Servicios Digitales (DSA, por sus siglas en inglés) a grandes actores digitales —concretamente, Apple (App Store), Google (Play, Search), Microsoft (Bing) y Booking.com— solicitando datos detallados sobre cómo identifican y limitan las estafas financieras en sus plataformas.
Si bien este paso no constituye (todavía) un procedimiento formal de infracción, refleja la postura cada vez más estricta de la Comisión en la aplicación del DSA. En este artículo:
-
Repasaremos el régimen aplicable del DSA (en particular para las muy grandes plataformas en línea y motores de búsqueda).
-
Analizaremos los requerimientos de la Comisión y lo que piden a las plataformas.
-
Exploraremos las implicaciones jurídicas, de cumplimiento normativo y de riesgo para plataformas e intermediarios.
-
Ofreceremos orientaciones prácticas para equipos jurídicos y de cumplimiento en el contexto actual.
El Marco del DSA: Características Clave, Obligaciones y Sanciones
¿Qué es la Ley de Servicios Digitales (DSA)?
La Ley de Servicios Digitales (Reglamento (UE) 2022/2065) es un marco regulatorio relativamente nuevo para los servicios de intermediación digital, adoptado en octubre de 2022 y de aplicación progresiva. Su objetivo es modernizar las normas de responsabilidad y supervisión de los intermediarios en línea —como proveedores de alojamiento, plataformas en línea, tiendas de aplicaciones, motores de búsqueda, etc.— en el mercado único de la UE.
Actualiza de manera sustancial la antigua Directiva sobre comercio electrónico, introduciendo nuevas obligaciones, controles basados en riesgos, deberes de transparencia y potestades de ejecución tanto a nivel nacional como europeo.
Obligaciones graduadas por tamaño y riesgo
Una innovación central del DSA es el enfoque de “obligaciones escalonadas”. No todos los intermediarios asumen las mismas cargas; éstas aumentan según el tamaño, la influencia y el perfil de riesgo del servicio.
Obligaciones básicas: para todos los intermediarios (ej. hosting, plataformas pequeñas): procedimientos de notificación y acción, informes de transparencia, reglas de moderación de contenidos, cooperación con autoridades.
Muy grandes plataformas en línea (VLOPs): aquellas con más de 45 millones de usuarios activos mensuales en la UE (aprox. 10 % de la población) deben cumplir con exigencias mucho más estrictas en materia de gestión de riesgos, auditorías independientes, informes y obligaciones sistémicas.
Muy grandes motores de búsqueda (VLOSEs): sujetos a deberes equivalentes.
Apple App Store, Google Play y Search, Booking.com y Bing superan ese umbral y, por tanto, se encuentran entre los servicios designados con el nivel más alto de obligaciones.
Obligaciones esenciales en materia de fraude / estafas
Entre las múltiples obligaciones impuestas a VLOPs y VLOSEs, destacan respecto al fraude financiero:
Evaluación y mitigación de riesgos sistémicos: obligación de identificar y valorar regularmente riesgos derivados de su funcionamiento (difusión de contenidos ilegales, perjuicios a consumidores, manipulación, desinformación) y adoptar medidas proporcionales de mitigación.
Conozca a su cliente empresarial (KYBC): verificación de la identidad de usuarios comerciales en determinados supuestos, para evitar el uso indebido por actores fraudulentos.
Transparencia y trazabilidad de la publicidad: mantenimiento de bases de datos internas (“repositorios de anuncios”), accesibles a autoridades, investigadores y público.
Detección y retirada proactiva de contenidos ilegales: contar con mecanismos adecuados, algorítmicos y humanos, para identificar y eliminar contenidos ilegales —incluidos los fraudulentos— incluso en ausencia de denuncias de usuarios.
Informes de transparencia, auditorías externas y trazabilidad: obligación de publicar informes detallados, someterse a auditorías independientes y permitir la supervisión regulatoria.
Cooperación con autoridades: responder a requerimientos de información, apoyar investigaciones y facilitar datos conforme a la ley. En suma, el DSA traslada a las plataformas de una postura “reactiva” (borrado tras denuncias) a un papel proactivo, basado en riesgos y de rendición de cuentas.
Ejecución y sanciones
La Comisión y los Coordinadores de Servicios Digitales nacionales pueden abrir investigaciones y exigir medidas correctivas.
Las multas pueden alcanzar hasta el 6 % de la facturación anual mundial en los incumplimientos más graves. El incumplimiento de órdenes (p. ej. retirada de contenido) puede conllevar multas coercitivas.
También existen graves consecuencias reputacionales, comerciales y contractuales.
Lo que pide la Comisión: Desglose del requerimiento
El requerimiento de información no constituye en sí mismo una sanción ni un procedimiento formal, al menos por ahora. Sin embargo, la naturaleza de las preguntas muestra hacia dónde se orienta la aplicación del DSA.
Alcance del requerimiento
La Comisión se ha dirigido a:
-
Apple App Store
-
Google Play Store y Búsqueda
-
Booking.com
-
Microsoft Bing
Las cuestiones se centran en cómo estos servicios identifican, evalúan, mitigan y supervisan el riesgo de estafas financieras (apps bancarias falsas, anuncios fraudulentos, listados engañosos, etc.).
En el caso de tiendas de aplicaciones y plataformas de reservas, se examina cómo verifican la identidad de los negocios (KYBC) antes de aceptar listados o aplicaciones. Para los motores de búsqueda, el foco está en los enlaces y anuncios que llevan a webs fraudulentas.
Temas clave y áreas de pregunta
| Tema | Lo que solicita la Comisión | Vínculo / fundamento en el DSA |
|---|---|---|
| Evaluación de contenidos fraudulentos | Descripción detallada de cómo se detectan estafas (apps falsas, phishing, listados fraudulentos) | Evaluación de riesgos sistémicos y obligación de detección proactiva |
| Medidas de mitigación | Procedimientos técnicos, operativos o humanos para reducir daños (eliminación, bloqueo, advertencias, listas negras) | Obligación de mitigación y salvaguardas proporcionales |
| Verificación de identidad empresarial (KYBC) | Cómo se comprueba la identidad de anunciantes, desarrolladores o negocios | Deber KYBC para impedir abusos de actores anónimos |
| Repositorios de anuncios / transparencia publicitaria | Información sobre bases de datos de anuncios y acceso para autoridades e investigadores | Obligaciones de transparencia, trazabilidad y rendición de cuentas |
| Publicidad / enlaces a sitios fraudulentos en la búsqueda | Cómo se monitorizan y filtran anuncios o resultados de búsqueda que llevan a estafas | Deber de actuar frente a contenidos ilegales en buscadores y sistemas de anuncios |
| Interacción con normas de protección al consumidor | Garantizar la coherencia entre DSA y normativa de consumo de la UE | Complementariedad con el Derecho de consumo |
| Datos, métricas e informes | Cifras concretas (apps eliminadas, volumen de anuncios fraudulentos detectados, falsos positivos, tiempos de respuesta) | Permite a la Comisión valorar la eficacia del cumplimiento |
Implicaciones para otros intermediarios y actores del ecosistema
Aunque los requerimientos se dirigen a las plataformas más grandes, las consecuencias pueden extenderse más allá:
Plataformas más pequeñas / tiendas de aplicaciones de nicho: podrían estar sometidas a controles similares por autoridades nacionales; la preparación anticipada puede suponer ventaja competitiva.
Redes publicitarias, DSPs, SSPs, intermediarios adtech: algunos pueden ser considerados “plataformas” según el DSA, lo que incrementa la presión en transparencia, origen de anuncios y detección de fraude.
Proveedores de servicios a plataformas (verificación de identidad, moderación externalizada, proveedores de IA/ML): su rendimiento, niveles de servicio, tasas de error y condiciones contractuales pueden ser objeto de revisión.
Proveedores digitales en sectores regulados (fintech, apps de inversión, cripto, mercados): pueden ser objeto de verificaciones cruzadas por autoridades en regímenes paralelos.
En definitiva, todo el ecosistema debe estar atento al incremento de expectativas en prevención del fraude, transparencia y rendición de cuentas.
Conclusión
El requerimiento de información de la Comisión Europea a Apple, Google, Microsoft y Booking.com representa un paso relevante en la aplicación del DSA. Aunque todavía no se trata de una sanción, funciona como prueba de fuego para evaluar hasta qué punto las plataformas se toman en serio las estafas financieras bajo su nueva carga de responsabilidad.
Para los equipos jurídicos, de cumplimiento y regulatorios, este momento debe impulsar revisiones internas, coordinación y ajustes en procesos de detección de fraude, incorporación de negocios, transparencia e informes.
El DSA ha redefinido el panorama digital: las plataformas ya no pueden tratar el fraude como un asunto marginal, sino que deben construir, supervisar y defender sistemas robustos de control y supervisión.
