Regulatorio Financiero: Autorizaciones, Licencias y Cumplimiento ante CNMV y Banco de España

El asesoramiento regulatorio financiero abarca la totalidad del ciclo de vida de una entidad financiera supervisada en España: desde la determinación de si el modelo de negocio requiere autorización previa hasta la gestión del programa de cumplimiento normativo continuo una vez obtenida la licencia. La CNMV, el Banco de España y la Dirección General de Seguros y Fondos de Pensiones (DGSFP) son los tres supervisores financieros sectoriales en España, y cada uno de ellos tiene competencias exclusivas sobre los tipos de entidades y actividades que regulan. El Reglamento MiCA (Reglamento UE 2023/1114), en aplicación plena desde diciembre de 2024, ha añadido una cuarta capa de regulación específica para los mercados de criptoactivos, supervisada en España por la CNMV para los proveedores de servicios (CASP) y por el Banco de España para los emisores de tokens de dinero electrónico (EMT).

Por qué el régimen regulatorio financiero español es uno de los más exigentes de Europa

El marco regulatorio financiero europeo es un sistema de capas de legislación que se refuerzan mutuamente: directivas sectoriales (MiFID II, Solvencia II, CRD, AIFMD, UCITS), reglamentos de aplicación directa (MiCA, EMIR, SFDR, MiFIR, IFR) y normativa nacional de transposición (Ley 6/2023 LMVSI, Ley 35/2003 IIC, Ley 22/2014 ECR, Real Decreto-ley 7/2021 servicios de pago). Este sistema de capas hace que la determinación de las obligaciones aplicables a una entidad concreta —y especialmente a una fintech con un modelo de negocio innovador que no encaja perfectamente en ninguna categoría tradicional— requiera un análisis jurídico de mayor complejidad que en la mayoría de otros sectores regulados.

La proliferación de actividades reguladas ha aumentado significativamente en los últimos cinco años. La aparición de los mercados de criptoactivos, el crecimiento del open banking bajo PSD2 y la extensión de la regulación de la IA a los sistemas de IA de alto riesgo en el sector financiero (bajo el Reglamento de Inteligencia Artificial) han creado nuevas categorías de actividades reguladas donde el límite entre la actividad libre y la actividad con autorización previa no siempre es evidente.

El error más costoso del ciclo regulatorio no es el incumplimiento de una obligación de reporting: es iniciar la actividad sin la autorización correcta. Las consecuencias van desde la nulidad de los contratos celebrados hasta la responsabilidad personal de los administradores, pasando por las sanciones administrativas y, en los casos más graves, la responsabilidad penal.

Autorizaciones CNMV y Banco de España — qué entidades necesitan licencia y qué exige el expediente

La CNMV tiene competencia para autorizar las empresas de servicios de inversión (ESI), que incluyen las agencias de valores, las sociedades de valores, las empresas de asesoramiento financiero independiente (EAFI) y las sociedades gestoras de instituciones de inversión colectiva (SGIIC) y de entidades de capital riesgo (SGEIC). El Banco de España autoriza las entidades de crédito (bancos, cajas y cooperativas de crédito), las entidades de pago (EP) y las entidades de dinero electrónico (EDE). La DGSFP autoriza las entidades aseguradoras y reaseguradoras.

El expediente de autorización ante cada supervisor tiene componentes comunes y componentes específicos de la categoría regulatoria. Los componentes comunes son: programa de actividades con descripción detallada de los servicios a prestar y los instrumentos con los que se va a operar; estructura organizativa y de gobierno (órgano de administración, alta dirección, comités de control); manuales de cumplimiento normativo y gestión de riesgos; plan de negocio con proyecciones financieras a tres años; y documentación de idoneidad, honorabilidad y experiencia de los miembros del órgano de gobierno y de los responsables de las funciones de control interno.

La interlocución con el supervisor durante el proceso de evaluación es tan importante como la calidad del expediente inicial. Es habitual que el supervisor requiera información adicional o aclaraciones sobre aspectos del expediente que considere insuficientes. La gestión de estas solicitudes de información en los plazos adecuados —el incumplimiento de los plazos de respuesta interrumpe el plazo del supervisor pero puede generar una imagen negativa ante él— es parte esencial de nuestra metodología de trabajo.

MiCA en España — el nuevo marco para emisores de criptoactivos y proveedores CASP

El Reglamento (UE) 2023/1114 sobre mercados de criptoactivos (MiCA) establece por primera vez un marco armonizado a nivel europeo para los mercados de criptoactivos. En España, la aplicación de MiCA ha desplazado parcialmente el régimen previo del Real Decreto 7/2021 y ha creado nuevas obligaciones para dos categorías de agentes.

Los emisores de tokens: quienes realicen una oferta pública de tokens de utilidad superiores a 1 millón de euros deben publicar un white paper registrado. Los emisores de tokens referenciados a activos (ART) o de tokens de dinero electrónico (EMT) deben obtener autorización previa de la CNMV o el Banco de España, respectivamente, con requisitos de capital mínimo que oscilan entre 350.000 euros y varios millones según el volumen de tokens en circulación.

Los proveedores de servicios de criptoactivos (CASP): los exchanges, custodios de criptoactivos, plataformas de negociación y asesores en criptoactivos deben registrarse como CASP ante la CNMV. Los CASP que ya operaban en España al amparo del registro previo de proveedores de servicios de cambio y custodia de moneda virtual del Banco de España disponían de un régimen transitorio que concluyó a finales de 2024. A partir de entonces, es obligatorio haber completado el proceso de autorización MiCA o haber iniciado el proceso de grandfathering.

La principal dificultad práctica del marco MiCA es la clasificación de los tokens: un token que se autodenomina “de utilidad” puede ser en realidad un token referenciado a activos o incluso un instrumento financiero regulado por MiFID II. La clasificación incorrecta —ya sea por defecto (omitir la solicitud de autorización que se requiere) o por exceso (someterse al régimen MiCA cuando el token es realmente un instrumento financiero bajo MiFID II)— tiene consecuencias jurídicas significativas.

Cumplimiento continuo MiFID II — las obligaciones que no terminan con la autorización

La Directiva 2014/65/UE (MiFID II) y sus reglamentos de desarrollo (MiFIR, Reglamento Delegado 2017/565, Reglamento Delegado 2017/583) establecen un conjunto detallado de obligaciones de conducta y organización que las empresas de servicios de inversión deben mantener en todo momento. El incumplimiento de estas obligaciones es sancionable con independencia de que la entidad cuente con la autorización correspondiente.

Las obligaciones MiFID II más relevantes en la práctica son cuatro. La política de conflictos de interés debe identificar todas las situaciones en que la entidad o sus empleados podrían actuar en interés propio en detrimento del cliente, establecer medidas de gestión o mitigación, y prever la divulgación al cliente cuando las medidas no sean suficientes para evitar el riesgo. La evaluación de idoneidad y conveniencia debe ser rigurosa, documentada y actualizada periódicamente para los clientes a los que se presta asesoramiento o gestión discrecional. La política de mejores prácticas de ejecución (best execution) debe priorizar los intereses del cliente sobre los de la entidad en la selección de los centros de ejecución. Y el disclosure de costes y gastos debe hacerse de forma anticipada (antes de la prestación del servicio) y retrospectiva (anualmente), con el detalle exigido por el Reglamento Delegado 2017/565.

El cumplimiento DORA y el regulatorio financiero son áreas complementarias para las entidades financieras: DORA añade una capa de requisitos de resiliencia operativa digital sobre las obligaciones de organización y control interno de MiFID II, Solvencia II y la regulación bancaria.

Cómo construir una función de compliance normativo proporcional al tamaño de la entidad

La función de cumplimiento normativo en entidades financieras reguladas no es opcional: MiFID II, Solvencia II y la normativa bancaria (CRD/CRR) exigen que las entidades dispongan de una función de compliance independiente, con acceso al órgano de gobierno y con los recursos materiales y humanos adecuados para ejercer sus funciones.

Para entidades pequeñas y medianas —EAFIs individuales, gestoras de fondos de menos de 500 millones de AUM, entidades de pago con actividad limitada, aseguradoras especializadas— la función de compliance puede externalizarse siempre que se mantenga la responsabilidad interna y la entidad disponga de un referente interno identificado ante el supervisor. El compliance officer externo actúa como proveedor de servicios cualificado, aportando el conocimiento regulatorio especializado que difícilmente puede desarrollarse internamente en una entidad pequeña, a un coste proporcional al tamaño de la organización.

Nuestra función de compliance normativo externalizada cubre el monitoring regulatorio continuo (seguimiento de las modificaciones normativas relevantes y su impacto en la entidad), la actualización periódica de políticas y procedimientos, la formación del personal en materia de cumplimiento, la gestión de las comunicaciones con el supervisor, la preparación del informe anual de la función de cumplimiento para el órgano de gobierno, y la supervisión del programa de prevención del blanqueo de capitales y financiación del terrorismo (PBC/FT) conforme a la Ley 10/2010 y sus modificaciones posteriores.

La coordinación entre la función de compliance financiero, la prevención del blanqueo de capitales y el cumplimiento DORA es fundamental para evitar que las entidades financieras sean supervisadas por tres marcos distintos con tres equipos distintos que no se comunican entre sí. Nuestra metodología integra los tres programas en un único sistema de cumplimiento que comparte infraestructura documental y de reporting, reduciendo la carga administrativa y mejorando la calidad del cumplimiento.

Resultados que puedes esperar

• Determinación precisa de la obligación de autorización y la categoría regulatoria aplicable
• Expediente de autorización CNMV, Banco de España o DGSFP completo y de calidad supervisora
• Programa de cumplimiento MiFID II / MiCA / PBC/FT implementado y operativo
• Reporting prudencial periódico gestionado en plazo y forma ante el supervisor competente
• Función de compliance normativo externalizada con dedicación proporcional al tamaño de la entidad
• Coordinación con la función de cumplimiento DORA, AML y protección de datos en un marco integrado

Las entidades financieras reguladas en España se benefician de operar en un mercado con supervisión exigente y predictible. La CNMV, el Banco de España y la DGSFP son supervisores activos con capacidad técnica elevada, lo que da seguridad jurídica a los participantes del mercado que operan con la autorización correspondiente y los programas de cumplimiento correctos. El coste de construir y mantener esos programas es significativo pero calculable; el coste de operar sin ellos —en términos de sanciones, responsabilidad personal y daño reputacional— es impredecible y frecuentemente superior.