El tsunami regulatorio en el sector financiero: ¿estamos preparados?

No es una exageración decir que 2025 será uno de los años más relevantes y con más cambios a nivel regulatorio de los últimos tiempos. La Unión Europea, verdadero legislador a nivel financiero desde hace ya muchos años, ha desarrollado recientemente numerosas normas que afectan de manera directa al sector bancario, asegurador y al de inversión.

Nos centraremos en las regulaciones que consideramos más importantes y de aplicación inminente o muy próxima; en concreto, vamos a analizar DORA, MiCAR, PSR y PSD3 y la nueva directiva de crédito al consumo. Todas estas normas en su conjunto van a hacer que el sector financiero cambie radicalmente de aquí a 2026 y que su digitalización pase de ser una mera ventaja competitiva opcional, a una obligación sancionable por incumplimiento. El futuro ya está aquí y estamos a tiempo de adaptarnos a ello, realizando con carácter preventivo, los trabajos de ajuste a esta nueva normativa.

La primera norma que debemos destacar es el reglamento DORA (por sus siglas en inglés, Digital Operational Resilience Act). Es una norma de directa aplicación en España, por lo que no necesita transposición al haberse configurado como un reglamento y no como una directiva. DORA tiene como objetivo, según indica el propio texto, mejorar la resiliencia operativa y la ciberseguridad en el sector financiero, específicamente en relación con los riesgos relacionados con las tecnologías de la información y la comunicación (TIC).

Para cumplir con los requisitos establecidos en DORA, las entidades financieras (lo que incluye: aseguradoras, intermediarios, bancos, entidades pago, gestores de fondos, sociedades de inversión y otras entidades reguladas) deben implementar protocolos para la gestión de incidentes de ciberseguridad con el fin de proteger, detectar, contener, recuperar y reparar incidentes relacionados con las TIC.

Opinión

TE PUEDE INTERESAR

Hacia un nuevo mundo ¿ciberseguro?

Fide

DORA persigue básicamente el cumplimiento de dos fines: (i) incrementar la protección de las entidades financieras ante a los ciberataques y (ii) mejorar la resiliencia operativa de las entidades financieras frente a este tipo de situaciones extremas.

DORA ya está en vigor desde enero de 2023, pero hay un período de dos años, hasta el 17 de enero de 2025, para implementar las medidas de adaptación a esta norma por todas las entidades obligadas. Un gestor de riesgos de cualquier entidad financiera debe preguntarse, a fecha de hoy, si cumple con DORA o no, y si su aseguradora de Responsabilidad Civil cubrirá los ataques cibernéticos que pueda sufrir si no cumple con esta normativa. Eso al margen de las sanciones que se puedan imponer por el incumplimiento.

Opinión

TE PUEDE INTERESAR

El Tribunal de Justicia de la Unión Europea le da un nuevo significado a las "entidades de pago"

Jorge Ferrer Barreiro María Sánchez de León Pastor

Otro reglamento de aplicación directa a tener muy en cuenta en toda la UE es el reglamento MiCAR (por sus siglas en inglés, Markets in Crypto-Assets Regulation). Esta norma regula la emisión de criptoactivos digitales y la prestación de servicios sobre los mismos, generando una nueva seguridad que no se daba hasta la fecha en este mercado. MiCAR no regula la emisión de bitcoins o criptomonedas digitales, es mucho más que eso.

Este nuevo reglamento crea un nuevo sistema de licencias al que deben optar todas las entidades que quieran operar, por ejemplo, con tókenes de dinero electrónico o tókenes referenciados a activos de cualquier clase. La CNMV es el nuevo supervisor en España para este tipo de licencias, que tantas entidades van a requerir en un período corto de tiempo si no quieren quedarse fuera de un mercado que se estima "trillonario" en menos de 5 años.

MiCAR está en vigor desde 2023, pero como ocurría con DORA, se concedió un período transitorio para su plena aplicación. Las entidades que ya prestan servicios en el ámbito Exchange y que ya se encuentran registradas ante el Banco de España -que cede el testigo principal a la CNMV, como hemos dicho- tendrán como período transitorio para la solicitud de licencia hasta diciembre de 2025, pero las que no, que son la inmensa mayoría, tendrán que requerir su licencia antes de diciembre de 2024, es decir, en breve.

Opinión

TE PUEDE INTERESAR

¿Es la regulación la vía para fortalecer los mercados de capitales europeos?

Maite Álvarez González-Palenzuela

La CNMV ya ha publicado instrucciones para solicitar esta licencia; no pedirla a tiempo significa quedarse fuera de un mercado digital creciente en el que seguramente otros competidores sí entrarán.

En tercer lugar, no queremos dejar de mencionar aquí la futura publicación, en 2025, del texto definitivo del PSR y de la PSD3, es decir, el Reglamento Europeo de Servicios de Pago y la nueva Directiva de Servicios de Pago (la tercera a estos efectos).

En este caso no se prevé la aplicación de la normativa hasta 2026, pero su implementación será muy compleja por todos los cambios que conlleva a nivel estructural. Por citar tres ejemplos, (i) las entidades de pago y las entidades de dinero electrónico dejarán de ser distintas y se concederá una única licencia para este tipo de entidades, (ii) todas las entidades de pago deberán requerir una nueva licencia y (iii) el sistema de SCA (sistema de autenticación reforzada para la identificación digital de clientes y usuarios) se verá ampliamente fortalecido.

TE PUEDE INTERESAR

Tensión en bancos y fondos oportunistas por la nueva ley para créditos morosos

Óscar Giménez

La UE ya ha publicado el texto casi definitivo de estas normas. El hecho de que gran parte de esta normativa pase a ser regulada por reglamento persigue conseguir una mayor rapidez en su ejecución y, sobre todo, una mayor uniformidad en el territorio de la Unión, puesto que no dependerá de las transposiciones en cada país. Esperar a adaptarse a esta normativa a finales del año 2025 es un riego innecesario que las entidades del sector no deben permitirse.

Finalmente, no podemos dejar de mencionar la nueva Directiva (UE) 2023/2225 del Parlamento Europeo y del Consejo, de 18 de octubre de 2023, relativa a los contratos de crédito al consumo. Esta Directiva entró en vigor en noviembre de 2023 y se debería finalizar su transposición al derecho español en noviembre de 2025 (seguramente habrá retraso y sanciones por ello, seamos realistas).

Esta norma es importante porque, por fin, creará en España un registro de entidades de crédito al consumo, una supervisión. Además, modifica reglas esenciales en materias de publicidad, información y solvencia, o evoluciona todo el sistema de “buy now pay later” / “BNPL”, dando mayor seguridad al consumidor.

Opinión

TE PUEDE INTERESAR

Solicitar un crédito ya es más seguro, pero no más sencillo

Pablo Vera

Muchas otras normas, además de las citadas, entrarán en vigor próximamente para el sector financiero, aunque por desgracia ninguna de ellas modificará la Ley de Contrato del Seguro de 1980, cuya actualización es tan necesaria según demanda la industria.

Frente a este tsunami normativo, debemos preguntarnos, como responsables legales y de cumplimiento de una entidad financiera: ¿estamos preparados para pasar el examen del supervisor al respecto?

*Jaime Bofill, socio en Herbert Smith Freehills.