El sector financiero español afronta en 2024 uno de los ciclos regulatorios más intensos de su historia reciente. La coincidencia en el tiempo de la aplicación plena del Reglamento DORA, el nuevo paquete de prevención del blanqueo de capitales europeo, las expectativas supervisoras crecientes en materia de ESG y la inminente obligatoriedad de las normas sobre IA de alto riesgo configura un entorno de compliance extraordinariamente exigente para bancos, aseguradoras, empresas de inversión, gestoras de activos y entidades de pago.
DORA: resiliencia operativa digital desde enero de 2025
El Reglamento (UE) 2022/2554, sobre resiliencia operativa digital del sector financiero —Digital Operational Resilience Act, DORA—, es directamente aplicable desde el 17 de enero de 2025 en todos los Estados miembros. Su ámbito alcanza a más de 22.000 entidades financieras en la UE, incluyendo bancos, empresas de servicios de inversión, entidades de pago y de dinero electrónico, gestoras de fondos, aseguradoras, agencias de calificación crediticia, proveedores de servicios de criptoactivos y auditores de cuentas.
Los cinco pilares del marco DORA son: (1) Gestión del riesgo TIC, con un marco documentado, aprobado por el órgano de administración, que cubra todos los sistemas de información, la red y los activos de datos; (2) Gestión, clasificación e información sobre incidentes TIC, con obligación de notificar a la autoridad competente los incidentes graves en plazos estrictos (notificación inicial en 4 horas, informes intermedios y finales); (3) Pruebas de resiliencia operativa digital, incluyendo pruebas básicas anuales y pruebas de penetración basadas en amenazas (TLPT) cada tres años para las entidades significativas; (4) Gestión del riesgo derivado de terceros proveedores de TIC, con evaluación de riesgos de concentración y cláusulas contractuales obligatorias; y (5) Intercambio de información e inteligencia sobre ciberamenazas, de forma voluntaria entre entidades.
El Banco de España, la CNMV y la Dirección General de Seguros son las autoridades competentes para la supervisión de DORA en España. Las sanciones por incumplimiento se determinarán conforme a la normativa sectorial nacional, con referencia expresa a la gravedad, la duración y el beneficio obtenido del incumplimiento.
Paquete AML europeo 2024: nueva Directiva y nuevo Reglamento
La Unión Europea adoptó en junio de 2024 un paquete legislativo integral contra el blanqueo de capitales y la financiación del terrorismo compuesto por cuatro normas: el Reglamento (UE) 2024/1624 (aplicación directa, sin transposición), la Sexta Directiva (UE) 2024/1640, el Reglamento (UE) 2024/1620 por el que se crea la Autoridad de Lucha contra el Blanqueo de Capitales y la Financiación del Terrorismo (AMLA), y el Reglamento (UE) 2023/1113 sobre transferencias de fondos (Travel Rule para criptoactivos).
Las principales novedades para las entidades sujetas a la Ley 10/2010 son: (i) limitación general de los pagos en efectivo entre particulares a 10.000 euros (las entidades deben rechazar operaciones que superen este umbral); (ii) extensión del ámbito subjetivo a nuevos sectores, incluyendo proveedores de servicios de criptoactivos (MiCA) y plataformas de financiación participativa; (iii) reforzamiento de la diligencia debida sobre personas políticamente expuestas (PEPs), con procedimientos más estrictos de identificación y seguimiento; y (iv) obligaciones de registro reforzadas del titular real efectivo, con acceso público en condiciones más amplias.
La AMLA, con sede en Frankfurt y operativa prevista a partir de 2025, supervisará directamente las entidades transfronterizas de más alto riesgo y coordinará la red de unidades de inteligencia financiera (FIUs) de los Estados miembros.
PBC en España: la Ley 10/2010 y las novedades del SEPBLAC
En España, la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo —modificada por el Real Decreto-ley 7/2021, de transposición de la Quinta Directiva AML— regula las obligaciones de los sujetos obligados. El Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias (SEPBLAC) ejerce la supervisión y ha publicado en los últimos años directrices específicas sobre la aplicación del enfoque basado en riesgo (EBR) para el sector financiero, la debida diligencia reforzada en relaciones de corresponsalía bancaria y la comunicación de operaciones sospechosas.
Las sanciones por incumplimiento grave de la Ley 10/2010 pueden alcanzar el 10% del volumen de negocios total anual o el doble del importe de los fondos vinculados a la infracción; las infracciones muy graves pueden acarrear la revocación de la autorización.
Supervisión ESG y expectativas del BCE y BdE
El Banco Central Europeo publicó en noviembre de 2022 sus expectativas supervisoras sobre riesgos climáticos y medioambientales, con plazos para la integración en los marcos de gestión de riesgos y apetito al riesgo. El Banco de España supervisa el cumplimiento de estas expectativas para las entidades de crédito no directamente supervisadas por el BCE. En 2024, ambos supervisores han iniciado una segunda ronda de evaluaciones de los avances, con expectativas de que las entidades tengan plenamente integrado el riesgo climático en su marco de gestión de riesgos y en sus modelos de capital económico antes de finales de 2025.
La CSRD (Directiva (UE) 2022/2464) afecta también a las entidades financieras en dos sentidos: como sujetos obligados a reportar su propia información de sostenibilidad, y como actores que necesitan datos ESG de sus clientes e inversiones para cumplir los reglamentos SFDR y Taxonomía.
En BMC nuestro equipo legal está a su disposición. Conozca nuestros servicios de compliance financiero y AML.
