El sector financiero español afronta en 2024 uno de los ciclos regulatorios más intensos de su historia reciente. La aplicación simultánea del Reglamento DORA en su integridad, el nuevo paquete europeo antiblaqueo, las crecientes expectativas supervisoras en materia ESG y las inminentes normas obligatorias sobre IA de alto riesgo crean un entorno de cumplimiento extraordinariamente exigente para bancos, aseguradoras, empresas de servicios de inversión, gestoras de activos e instituciones de pago.
DORA: Resiliencia Operativa Digital desde enero de 2025
El Reglamento (UE) 2022/2554 sobre resiliencia operativa digital del sector financiero —DORA (Digital Operational Resilience Act)— es de aplicación directa desde el 17 de enero de 2025 en todos los estados miembros. Su ámbito de aplicación abarca más de 22.000 entidades financieras en la UE, incluyendo bancos, empresas de servicios de inversión, entidades de pago y dinero electrónico, gestoras de fondos, aseguradoras, agencias de calificación crediticia, proveedores de servicios de criptoactivos y auditores de cuentas.
Los cinco pilares del marco DORA son: (1) Gestión del riesgo TIC, con un marco documentado aprobado por el órgano de administración que cubre todos los sistemas de información, redes y activos de datos; (2) Gestión, clasificación y notificación de incidentes relacionados con las TIC, con obligaciones de notificación a las autoridades competentes dentro de plazos estrictos (notificación inicial en cuatro horas, informes intermedios y finales); (3) Pruebas de resiliencia operativa digital, incluidas pruebas básicas anuales y pruebas de penetración basadas en amenazas (TLPT) cada tres años para las entidades significativas; (4) Gestión del riesgo de terceros proveedores de TIC, con evaluación del riesgo de concentración y cláusulas contractuales obligatorias; y (5) Intercambio de información e inteligencia sobre ciberamenazas, con carácter voluntario entre entidades.
El Banco de España, la CNMV y la Dirección General de Seguros son las autoridades supervisoras competentes para DORA en España. Las sanciones por incumplimiento se determinarán con arreglo a la legislación sectorial nacional, con referencia explícita a la gravedad, la duración y el beneficio obtenido de la infracción.
El Paquete Antiblaqueo de la UE de 2024: Nueva Directiva y Reglamento
La Unión Europea adoptó en junio de 2024 un paquete legislativo integral en materia de prevención del blanqueo de capitales y la financiación del terrorismo compuesto por cuatro instrumentos: el Reglamento (UE) 2024/1624 (de aplicación directa, sin necesidad de transposición), la Sexta Directiva (UE) 2024/1640, el Reglamento (UE) 2024/1620 que crea la Autoridad de Lucha contra el Blanqueo de Capitales y la Financiación del Terrorismo (AMLA), y el Reglamento (UE) 2023/1113 sobre transferencias de fondos (la Travel Rule para criptoactivos).
Los principales cambios para las entidades sujetas a la Ley española 10/2010 son: (i) un límite general en los pagos en efectivo entre particulares de 10.000 euros (las entidades deben rechazar las transacciones que superen este umbral); (ii) ampliación del ámbito de aplicación a nuevos sectores, incluidos los proveedores de servicios de criptoactivos (MiCA) y las plataformas de financiación participativa; (iii) refuerzo de la diligencia debida con las Personas Políticamente Expuestas (PEPs), con procedimientos de identificación y seguimiento más estrictos; y (iv) obligaciones reforzadas de registro de titulares reales, con mayor acceso público.
La AMLA, con sede en Fráncfort y cuya operatividad se espera a partir de 2025, supervisará directamente a las entidades transfronterizas de mayor riesgo y coordinará la red de Unidades de Inteligencia Financiera (UIF) de los estados miembros.
Cumplimiento de la Normativa de Prevención del Blanqueo en España: Ley 10/2010 y Novedades del SEPBLAC
En España, la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo —modificada por el Real Decreto-Ley 7/2021, que transpone la Quinta Directiva antiblaqueo— regula las obligaciones de los sujetos obligados. El Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias (SEPBLAC) ejerce la supervisión y ha publicado directrices específicas sobre el enfoque basado en el riesgo (EBR) para el sector financiero, la diligencia debida reforzada en las relaciones de corresponsalía bancaria y la comunicación de operaciones sospechosas.
Las sanciones por incumplimiento grave de la Ley 10/2010 pueden alcanzar el 10% del total de la cifra de negocios anual o el doble del importe de los fondos vinculados a la infracción; las infracciones muy graves pueden dar lugar a la revocación de la autorización.
Supervisión ESG: Expectativas del BCE y del Banco de España
El Banco Central Europeo publicó sus expectativas supervisoras sobre riesgos climáticos y medioambientales en noviembre de 2022, fijando plazos para su integración en los marcos de gestión de riesgos y los estados de apetito al riesgo. El Banco de España supervisa el cumplimiento de estas expectativas para las entidades de crédito no supervisadas directamente por el BCE. En 2024, ambos supervisores iniciaron una segunda ronda de evaluaciones de los progresos realizados, con expectativas de que las entidades hayan integrado plenamente el riesgo climático en su marco de gestión de riesgos y en sus modelos de capital económico antes de finales de 2025.
La CSRD (Directiva (UE) 2022/2464) afecta también a las entidades financieras en dos vertientes: como sujetos obligados a reportar su propia información de sostenibilidad, y como actores que necesitan datos ESG de sus clientes e inversiones para cumplir el Reglamento SFDR (Sustainable Finance Disclosure Regulation) y los Reglamentos de Taxonomía.
Cumplimiento Integrado: Gestión de Obligaciones Solapadas
Una característica distintiva del panorama de cumplimiento de 2024 es la interdependencia entre marcos regulatorios. Las obligaciones de DORA en materia de gestión del riesgo TIC se solapan con las obligaciones del RGPD sobre seguridad del tratamiento de datos personales. Los requisitos de divulgación climática de la CSRD requieren datos que también alimentan el reporte de Taxonomía y SFDR. La diligencia debida con clientes para el antiblaqueo genera datos relevantes para los registros de titulares reales en virtud del nuevo paquete antiblaqueo.
Las entidades que gestionan estas obligaciones solapadas mediante funciones de cumplimiento compartimentadas afrontan duplicidades de esfuerzo e inconsistencias en la calidad de los datos. El enfoque más eficaz integra la identificación de riesgos, la gestión de datos y el reporte en todos los marcos regulatorios, sustentado en una única fuente de verdad para los datos de entidades y contrapartes.
En BMC, nuestro equipo jurídico está especializado en el cumplimiento del sector financiero en los marcos DORA, antiblaqueo y ESG. Conozca nuestros servicios jurídicos.
