Nueva normativa impulsa la digitalización y modernización de la legislación financiera española

Publicado el 29th enero 2025

¿Cómo afectará a las empresas el nuevo marco jurídico propuesto en España para adaptarse a DORA, MiCA y otras normativas de la UE?

Payment card reader

El Gobierno español ha publicado un conjunto de iniciativas legislativas para actualizar el marco legal del sector financiero. Entre otras, estas incluyen el Anteproyecto de Ley de Digitalización y Modernización del Sector Financiero y el Proyecto de Real Decreto de Digitalización y Modernización. Estas medidas tienen como objetivo alinear la legislación financiera española con normativas clave de la UE para el sector financiero, como el Reglamento relativo a los Mercados de Criptoactivos (MiCA) y el Reglamento en Resiliencia Operativa Digital (DORA).

Cambios en la regulación de los criptoactivos

Estas iniciativas legislativas consolidan los esfuerzos previos para regular los criptoactivos en España y se alinean con MiCA para crear un marco legal integral para este sector en rápido crecimiento.

Del Banco de España a la CNMV: cambio de entidad supervisora

Con el régimen actualmente aplicable sobre prevención de blanqueo de capitales (PBC), los proveedores de servicios de criptoactivos (CASPs, por sus siglas en inglés) deben registrarse con el Banco de España. Sin embargo, este registro no constituye una autorización administrativa como tal, sino que opera como una medida transitoria para hacer frente a uno de los principales riesgos asociados a los criptoactivos: el blanqueo de capitales. Con la entrada en vigor de MiCA, la Comisión Nacional del Mercado de Valores (CNMV) será la autoridad competente para la supervisión generalizada de los CASPs. No obstante, los CASPs que operen con criptoactivos que requieran una licencia bancaria (por ejemplo, fichas de dinero electrónico) seguirán bajo la supervisión del Banco de España.

Modificación de la normativa española de PBC

El registro del Banco de España ya no será necesario a efectos operativos en este nuevo marco legislativo. Los CASPs autorizados por la CNMV pasarán automáticamente a ser sujetos obligados y quedarán sujetos a la legislación de PBC.

Los CASPs deberán adoptar protocolos know-your-customer (KYC) más rigurosos, incluyendo la verificación de la identidad de todos los clientes (sin importar el tamaño de la transacción) y tratar de obtener información sobre el origen y destino de los criptoactivos transferidos, entre otros. La ejecución de operaciones relacionadas con jurisdicciones de alto riesgo, personas con responsabilidad pública o cuentas anónimas requerirán mayor escrutinio de conformidad con las Iniciativas legislativas.

Implicaciones para los proveedores registrados

Existe un periodo transitorio para los CASPs que estén registrados en el Banco de España a día de 30 de diciembre de 2024. Éstos podrán seguir ofreciendo los mismos servicios sin autorización de la CNMV hasta el 30 de diciembre de 2025, o hasta que su solicitud de autorización bajo el nuevo marco sea denegada, lo que ocurra primero.

El registro del Banco de España seguirá siendo un recurso complementario para asistir a la CNMV en la verificación del cumplimiento de requisitos de PBC y honorabilidad. Esto es relevante para los CASPs ya registrados en el Banco de España, ya que podrán beneficiarse de un proceso de autorización con la CNMV ligeramente menos gravoso en comparación con nuevos solicitantes.

El “sandbox” regulatorio

Desde su implementación en España en 2020, el sandbox regulatorio ha tenido una acogida positiva, ya que ha proporcionado un entorno controlado en el que las empresas pueden probar sus productos y servicios financieros de vanguardia bajo la supervisión de las autoridades españolas competentes. Las iniciativas legislativas introducen mejoras clave en el modelo de sandbox, aprovechando su éxito inicial para hacer que el proceso sea más accesible, efectivo, transparente y beneficioso para los participantes.

Ámbito de aplicación más amplio y mejorado

El sandbox incluye ahora explícitamente proyectos de criptoactivos, soluciones basadas en blockchain e iniciativas de finanzas descentralizadas (DeFi), ampliando su alcance. Los proveedores de servicios financieros no tradicionales, como las startups fintech y las empresas tecnológicas que desarrollan aplicaciones financieras, pueden participar con mayor facilidad. De esta forma, se amplía la gama de innovaciones que pueden beneficiarse del sandbox y se aumenta la colaboración entre las instituciones financieras tradicionales y las empresas fintech.

Además, ha implementado un proceso de autorización simplificado. Este proceso de entrada simplificado para los solicitantes reducirá las cargas administrativas y proporcionará directrices más claras para la participación. Mientras que en la actualidad los solicitantes tienen que esperar a las convocatorias oficiales para participar en el sandbox, las iniciativas legislativas permitirán la presentación de proyectos de sandbox en cualquier momento (excepto en periodos inhábiles).

La mejora de la información reglamentaria permite a los participantes recibir directrices personalizadas de las autoridades competentes, lo que garantizaría el cumplimiento de la legislación aplicable y permitirá introducir mejoras iterativas durante la fase de pruebas.

Este nuevo marco extiende los periodos de prueba. Esto permite que extensiones basadas en fases con la finalidad de dar cabida a proyectos más complejos, como los que involucran inteligencia artificial (IA) o aplicaciones sofisticadas de blockchain.

Los participantes recibirán apoyo adicional post-sandbox de las autoridades competentes después de completar el sandbox para ayudarles en la transición a las operaciones a gran escala.

Mejora de la resiliencia operativa digital

La integración de DORA en la legislación española tiene como objetivo establecer un marco armonizado para garantizar la resiliencia operativa en todo el sector financiero, ordenando medias sólidas para garantizar que las entidades puedan resistir, recuperarse y adaptarse a las perturbaciones relacionadas con las tecnologías de la información y de las comunicaciones (TIC), incluidos los ciberataques. 

Implicaciones para las entidades financieras

Las entidades financieras deben implementar marcos integrales de gestión de riesgos de las TIC adaptados a sus operaciones y políticas para garantizar la continuidad operativa y la resiliencia, que deben revisarse periódicamente y actualizarse para abordar los riesgos emergentes.

En relación con la notificación y gestión de incidentes, las entidades financieras deben notificar a la autoridad competente los incidentes significativos relacionados con las TIC dentro de un plazo estricto.

Las entidades financieras deben implementar pruebas de resiliencia periódicas para evaluar su capacidad de soportar interrupciones de las TIC. Las autoridades competentes podrán someter a las entidades de mayor tamaño o críticas a requisitos adicionales de pruebas de resiliencia.

Asimismo, las entidades financieras deben asumir la gestión del riesgo de las TIC operadas por terceros. Las entidades financieras deben supervisar y gestionar cuidadosamente los riesgos planteados por proveedores externos de TIC, como los proveedores de servicios de computación en la nube. Los contratos con proveedores externos deben incluir disposiciones sobre supervisión, respuesta a incidentes y garantía del cumplimiento de DORA. Las autoridades competentes tendrán autoridad para supervisar a los proveedores externos de funciones críticas con el objetivo de garantizar que se minimicen los riesgos sistémicos.

También deben implementarse planes de continuidad y recuperación de las TIC, es decir, las entidades deben desarrollar planes detallados de continuidad de las TIC para garantizar que las operaciones críticas puedan continuar durante las interrupciones. Estos planes deben incluir estrategias de recuperación, pruebas periódicas y responsabilidades claras para la gestión de incidentes.

DORA tienen implicaciones en materia de gobernanza y responsabilidad. En concreto, introduce requisitos de gobernanza más estrictos, garantizando que la alta dirección y los consejos de administración sean responsables de la resiliencia de las TIC. Las entidades financieras deben designar personal o departamentos específicos para supervisar el cumplimiento de los requisitos de DORA. 

Implicaciones para proveedores externos de TIC

DORA impone obligaciones de calado a proveedores externos, como las empresas de servicios de computación en la nube, que son fundamentales para las operaciones de las entidades financieras.

Una mayor supervisión es necesaria por parte de los proveedores externos, que deben cumplir con normas más estrictas y estar preparados para las auditorías reglamentarias.

Por último, únicamente aquellos proveedores de TIC que cumplan con la normativa podrán ser socios viables de las entidades financieras, lo que abrirá oportunidades aún mayores de crecimiento en el sector.

Comentario de OC

Las iniciativas legislativas del Gobierno español modernizan el marco jurídico financiero para alinearlo con normativas de la UE como MiCA y DORA, lo que aumentará la confianza en el sector financiero y apoyará la innovación.

Compartir
Related articles
PSD3 y PSR: impacto sobre las entidades de pago y de dinero electrónico
27/09/2024 6 mins
Clasificación de los criptoactivos: aspectos clave a considerar
29/04/2024 4 mins
Sistemas de Verificación de Edad en Plataformas de Video
27/02/2024 4 mins
La UE sienta las bases para el cálculo de multas en materia de protección de datos
28/09/2023 5 mins
Interested in hearing more from Osborne Clarke?

Register now for more insights, news and events from across Osborne Clarke

Sign up

* This article is current as of the date of its publication and does not necessarily reflect the present state of the law or relevant regulation.

Contacte con uno de nuestros expertos

Interested in hearing more from Osborne Clarke?

Register now for more insights, news and events from across Osborne Clarke

Sign up