El sector financiero español afronta en 2025-2026 el período de mayor densidad regulatoria de las últimas dos décadas. La combinación de DORA, NIS2, la nueva arquitectura AML europea, MiCA para criptoactivos, los requisitos ESG bajo CSRD y la inminente PSD3 configura un paisaje de compliance sin precedentes en complejidad y alcance. Esta guía analiza los retos principales y sus implicaciones prácticas para entidades financieras, gestoras, proveedores de servicios de pago y empresas del sector.
DORA: La revolución de la resiliencia operativa digital
El Reglamento DORA (Digital Operational Resilience Act, Reglamento UE 2022/2554) entró en plena aplicación el 17 de enero de 2025. Su objetivo es garantizar que el sector financiero europeo pueda resistir, responder y recuperarse de cualquier perturbación operacional grave relacionada con las tecnologías de la información y comunicación (TIC).
El ámbito de aplicación es extraordinariamente amplio: entidades de crédito, empresas de servicios de inversión, gestoras de fondos, aseguradoras, plataformas de negociación, entidades de contrapartida central, proveedores de servicios de criptoactivos bajo MiCA y proveedores de servicios de pago. Los proveedores TIC terceros considerados críticos están sujetos a supervisión directa de las Autoridades Supervisoras Europeas (ESAs).
Los cinco pilares del marco DORA exigen: un marco de gobernanza del riesgo TIC con responsabilidad explícita del consejo de administración; un sistema de clasificación y notificación de incidentes TIC graves (4 horas para notificación inicial, 72 horas para informe intermedio, un mes para informe final); pruebas periódicas de resiliencia incluyendo pruebas de penetración avanzadas (TLPT) cada tres años; gestión rigurosa del riesgo de proveedores TIC terceros con cláusulas contractuales obligatorias; e intercambio de información sobre ciberamenazas entre entidades.
NIS2 e interacción con DORA
La Directiva NIS2 transpuesta en España establece requisitos de seguridad para entidades esenciales e importantes en sectores críticos. Para las entidades financieras, DORA actúa como lex specialis y sustituye a NIS2 en materia de seguridad de redes y sistemas. Sin embargo, las entidades deben verificar caso a caso que la cobertura de DORA es completa, ya que pueden existir lagunas según el tipo de actividad y la autoridad supervisora competente.
Las sanciones bajo NIS2 para entidades esenciales alcanzan hasta 10 millones de euros o el 2% del volumen de negocio global, mientras DORA prevé sanciones de hasta 1% del volumen de negocio diario promedio durante el año anterior por cada día de incumplimiento.
La nueva arquitectura AML europea: Sexta Directiva y AMLA
La arquitectura de prevención del blanqueo de capitales experimenta su reforma más profunda desde 2015. El paquete legislativo adoptado en mayo de 2024 —Directiva 2024/1640 (Sexta Directiva AML), Reglamento 2024/1624 (Reglamento AML) y Reglamento 2024/1620 (AMLA)— crea una nueva Autoridad Europea Anti-Blanqueo (AMLA) con sede en Frankfurt y poderes de supervisión directa sobre las entidades financieras de mayor riesgo en toda la UE.
Las implicaciones prácticas para las entidades financieras incluyen: actualización de las políticas de diligencia debida con el nuevo umbral de beneficiario real al 15%; extensión del perímetro de sujetos obligados a proveedores MiCA; requisitos armonizados de formación del personal expuesto; nuevos umbrales de sanciones mínimas armonizadas en toda la UE; y preparación para posible supervisión directa de AMLA para entidades de alto perfil de riesgo.
MiCA: El nuevo régimen para criptoactivos
El Reglamento MiCA, en plena aplicación desde diciembre de 2024, impone por primera vez un marco regulatorio armonizado para los mercados de criptoactivos en la UE. Los proveedores de servicios de criptoactivos (CASP) que operen en España deben obtener autorización de la CNMV o acreditar pasaporte europeo desde otro Estado miembro.
Las exigencias de capital mínimo (50.000-150.000 euros según tipo de servicio), las obligaciones de custodia de activos de clientes con segregación, los requisitos de libro blanco de criptoactivos y la sujeción como nuevos sujetos obligados AML constituyen las cargas más significativas para el sector cripto. Las empresas que operaban en el vacío regulatorio previo deben haber adaptado sus modelos de negocio o arriesgan cese de actividad.
ESG Reporting: la sostenibilidad como obligación regulatoria
La CSRD (Corporate Sustainability Reporting Directive) amplía progresivamente el universo de entidades obligadas a publicar información de sostenibilidad bajo los estándares ESRS. Las entidades financieras con más de 250 empleados están sujetas desde el ejercicio 2025.
Para el sector financiero, las obligaciones ESG tienen una doble dimensión: como entidades que deben reportar su propia sostenibilidad conforme a ESRS, y como actores que canalizan capital hacia actividades clasificadas según la Taxonomía Europea. El Reglamento SFDR añade obligaciones de divulgación sobre la integración de riesgos de sostenibilidad en los productos financieros gestionados.
El riesgo de greenwashing —presentación engañosa de las características de sostenibilidad de productos financieros— está siendo objeto de supervisión creciente por ESMA y los supervisores nacionales.
PSD3 y el futuro de los pagos
La propuesta de PSD3 y el nuevo Reglamento de Servicios de Pago (PSR) están en proceso legislativo con transposición prevista para 2027. Sus principales novedades incluyen el refuerzo de la autenticación reforzada de clientes, la regulación del fraude en pagos con responsabilidad compartida, el acceso directo a sistemas de pago para entidades no bancarias y la convergencia hacia un marco de open banking más potente.
Las entidades de pago autorizadas bajo PSD2 deben comenzar ahora el análisis de brechas respecto del nuevo marco para planificar las adaptaciones con suficiente anticipación.
Hoja de ruta para la función de compliance financiero
La respuesta eficiente a esta agenda regulatoria requiere una función de compliance con capacidad de gestionar múltiples marcos normativos simultáneamente. Las prioridades para 2025-2026 son: completar la implementación de DORA; revisar las políticas AML ante el nuevo Reglamento 2024/1624; obtener autorización MiCA si se opera en criptoactivos; preparar el primer informe CSRD si aplica; y monitorizar el avance legislativo de PSD3/PSR para anticipar adaptaciones.
La integración de los distintos marcos de compliance en una función unificada de gestión de riesgos —en lugar de silos separados por regulación— es la clave para la eficiencia y la capacidad de respuesta ante una supervisión creciente.
Marco regulador específico: normas clave del compliance financiero en 2025-2026
El compliance en el sector financiero es una de las funciones de mayor complejidad y coste en las entidades supervisadas, determinada por un marco normativo europeo en constante evolución.
Reglamento DORA — Digital Operational Resilience Act (Reglamento UE 2022/2554, DOUE 27 diciembre 2022): Aplicable desde el 17 de enero de 2025 a más de 20.000 entidades financieras y proveedores TIC críticos en la UE. El art. 5 exige un marco de gestión del riesgo TIC con gobernanza de nivel de dirección. El art. 19 obliga a clasificar y gestionar los incidentes TIC con notificación a las autoridades competentes en plazos de 4 horas (alerta inicial), 72 horas (informe intermedio) y 1 mes (informe final). El art. 26 regula las pruebas de resiliencia operativa digital (DORA TLPT — Threat-Led Penetration Testing) para entidades significativas, realizadas al menos cada tres años por probadores externos certificados. El art. 28 impone obligaciones de registro y monitorización de todos los acuerdos con proveedores TIC de terceros.
Reglamento AML 2024/1624 — Cuarta regulación antilavado (DOUE 19 junio 2024): Sustituye parcialmente a la AMLD5 y refuerza las obligaciones de diligencia debida para entidades financieras. El art. 20 prohíbe las relaciones de corresponsalía con entidades financieras de jurisdicciones de alto riesgo GAFI sin salvaguardas específicas documentadas. El art. 22 exige la verificación del beneficiario final con acceso a los Registros Centrales de Beneficiarios Reales (RCBR) de todos los Estados miembros donde la entidad tenga clientes. Aplicación plena prevista para 2027, con período de transición.
Reglamento MiCA (Reglamento UE 2023/1114, DOUE 9 junio 2023): En vigor desde el 30 de diciembre de 2024 para todos los criptoactivos, tras la entrada en vigor anticipada para stablecoins en junio de 2024. Las entidades que ofrecen servicios sobre criptoactivos (CASP — Crypto-Asset Service Providers) necesitan autorización de la CNMV en España, que requiere: capital mínimo de 50.000-150.000 EUR según servicios; plan de negocio; gobierno corporativo; políticas de conflictos de interés; sistema de custodia de activos.
Directiva CSRD transpuesta en España (RD-ley 6/2023, modificado por Ley 11/2018): Para las entidades financieras de interés público (EIP) con más de 500 empleados, la obligación de información de sostenibilidad auditada según ESRS aplica desde el ejercicio 2024 (informe publicado en 2025). Para grandes entidades financieras (>250 empleados), aplica desde el ejercicio 2025 (informe en 2026).
Circular 2/2016 del Banco de España — Supervisión de la conducta: Regula las obligaciones de conducta de las entidades de crédito en sus relaciones con clientes, incluyendo: transparencia en la comercialización de productos (art. 5), evaluación de la idoneidad y conveniencia (MiFID II, arts. 25-28 Directiva 2014/65/UE), gestión de quejas y reclamaciones (arts. 15-20 Circular 1/2013).
Ejemplo práctico: plan de compliance DORA en entidad de pago autorizada
Entidad: FinPago, S.L. — entidad de pago autorizada por el Banco de España, 45 empleados, procesa 280.000 transacciones mensuales, infraestructura TIC en nube híbrida (AWS + data center propio).
Gap analysis DORA (realizado por BMC):
| Requisito DORA | Estado actual | Gap identificado | Prioridad |
|---|---|---|---|
| Marco de gestión riesgo TIC documentado | Parcial | Sin política de RTO/RPO aprobada por Consejo | Alta |
| Registro de acuerdos con proveedores TIC | Manual en Excel | Sin clasificación de criticidad ni análisis de concentración | Alta |
| Gestión de incidentes TIC con notificación | Proceso interno básico | Sin integración con ESMA/BdE para notificación formal | Alta |
| Pruebas de resiliencia digital (TLPT) | No realizadas | Primera prueba obligatoria en 2026 para entidades significativas | Media |
| Plan de continuidad TIC | Existente | Sin actualización desde 2022; sin prueba de recuperación documentada | Alta |
Plan de remediación (12 meses, inversión estimada 68.000 EUR):
| Fase | Acción | Meses | Coste |
|---|---|---|---|
| 1 | Política gestión riesgo TIC + aprobación Consejo | 1-2 | 8.000 |
| 2 | Registro proveedores TIC + clasificación criticidad | 2-4 | 12.000 |
| 3 | Sistema notificación incidentes (integración API BdE) | 3-6 | 22.000 |
| 4 | Actualización y prueba plan continuidad TIC | 6-9 | 16.000 |
| 5 | Primera TLPT (si califica como entidad significativa) | 10-12 | 10.000 |
Errores comunes en el compliance del sector financiero
Error 1 — Implementar DORA como un proyecto TIC en lugar de un proyecto de gobernanza: DORA no es solo un conjunto de requisitos técnicos de ciberseguridad; es un marco de gestión del riesgo operacional digital que requiere la implicación directa del Consejo de Administración (art. 5.2 DORA: “the management body shall define, approve, oversee and be responsible for the implementation of”). Delegarlo exclusivamente al departamento TIC sin implicación de dirección es el error más frecuente.
Error 2 — Confundir el registro de incidentes con la notificación a las autoridades: DORA distingue entre la gestión interna de incidentes (art. 19) y la notificación obligatoria a las autoridades competentes (art. 19.4) para incidentes graves. Los criterios para determinar si un incidente es “grave” y debe notificarse (impacto en clientes, pérdidas financieras, tiempo de interrupción) deben estar predefinidos en el procedimiento interno, no dejarse a la interpretación de cada caso.
Error 3 — No verificar el pasaporte europeo para la autorización MiCA: Las entidades que operan en España y quieren ofrecer servicios de criptoactivos en otros países de la UE necesitan el pasaporte europeo MiCA (art. 59 Reglamento 2023/1114). Obtener la autorización de la CNMV no otorga automáticamente el pasaporte; se necesita un procedimiento de notificación específico a la CNMV y al regulador del país de destino.
Error 4 — Tratar los proveedores TIC de terceros como relaciones comerciales ordinarias: DORA art. 28 exige que los contratos con proveedores TIC (especialmente los críticos) incluyan cláusulas específicas: descripción detallada de los servicios, indicadores de nivel de servicio (SLA), derechos de auditoría, obligaciones de continuidad de servicio y cláusulas de resolución por incumplimiento de seguridad. Los contratos estándar de SaaS no cumplen estos requisitos.
Error 5 — No separar las funciones de compliance, riesgo y auditoría interna: La supervisión europea (BCE, EBA, BdE) exige que las tres funciones de control (compliance, gestión del riesgo y auditoría interna) sean independientes entre sí y del negocio. Fusionar compliance y gestión del riesgo en una sola función, o subordinarlas al área de negocio, es una deficiencia estructural de gobierno que los supervisores identifican y sancionan en las inspecciones.
Próximos pasos para reforzar el compliance financiero en 2026
- Realizar un gap analysis DORA actualizado: comparar el estado actual de los sistemas de gestión del riesgo TIC con los requisitos de los arts. 5-15 DORA; priorizar los gaps de mayor impacto en la calificación supervisora.
- Revisar todos los contratos con proveedores TIC: identificar los proveedores críticos (cuya falla afectaría significativamente al negocio), actualizar los contratos para incluir las cláusulas DORA obligatorias y evaluar la concentración de riesgo en un único proveedor.
- Preparar el primer informe CSRD (si aplica): las EIP y grandes entidades financieras deben publicar el informe de sostenibilidad 2025 conforme a los ESRS (European Sustainability Reporting Standards) antes de la fecha límite de depósito de cuentas de 2026.
- Verificar el estado de la autorización MiCA: si la entidad ofrece servicios sobre criptoactivos, confirmar si necesita nueva autorización como CASP o puede acogerse al régimen transitorio hasta julio de 2026.
- Integrar el compliance en el ciclo de gobierno: asegurarse de que el informe anual de compliance (CAR — Compliance Assessment Report) llega al Consejo de Administración antes del primer trimestre de cada año, con la evaluación de todos los marcos normativos aplicables y el plan de acción para el ejercicio siguiente.
En BMC asesoramos a entidades financieras, fintechs y proveedores de servicios de pago en el diseño e implementación de programas de compliance adaptados a DORA, MiCA, AML y CSRD. Consulte nuestros servicios de compliance financiero.
