Le secteur financier espagnol fait face en 2025-2026 à la période réglementaire la plus dense des deux dernières décennies. La combinaison de DORA, NIS2, de la nouvelle architecture européenne anti-blanchiment, de MiCA pour les crypto-actifs, des exigences ESG au titre de la CSRD et de l'arrivée de PSD3 crée un paysage de conformité sans précédent, tant par sa complexité que par son ampleur. Ce guide analyse les principaux défis et leurs implications pratiques pour les établissements de crédit, les entreprises d'investissement, les gestionnaires de fonds, les prestataires de services de paiement, les assureurs et les acteurs du secteur des crypto-actifs.
DORA : la révolution de la résilience opérationnelle numérique
DORA (Digital Operational Resilience Act, Règlement UE 2022/2554) est entré en application pleine et entière le 17 janvier 2025. Son objectif est de garantir que le secteur financier européen puisse résister, répondre et se remettre de toute perturbation opérationnelle grave liée aux TIC.
Le champ d’application est exceptionnellement large : établissements de crédit, entreprises d’investissement, gestionnaires de fonds, assureurs, plates-formes de négociation, contreparties centrales, prestataires de services sur crypto-actifs au titre de MiCA, établissements de monnaie électronique et prestataires de services de paiement. Les prestataires tiers critiques de services TIC sont soumis à la supervision directe des autorités européennes de surveillance (AES).
Les cinq piliers de DORA exigent : un cadre de gouvernance des risques TIC avec une responsabilité explicite du conseil d’administration ; un système de classification et de notification des incidents TIC majeurs (notification initiale dans les 4 heures, rapport intermédiaire dans les 72 heures, rapport final dans le mois) ; des tests de résilience périodiques incluant des tests de pénétration avancés pilotés par la menace (TLPT) tous les trois ans ; une gestion rigoureuse des risques liés aux prestataires tiers de services TIC avec des clauses contractuelles obligatoires ; et le partage de renseignements sur les cybermenaces entre entités.
NIS2 et son interaction avec DORA
NIS2, transposée en Espagne, établit des exigences de sécurité pour les entités essentielles et importantes dans les secteurs critiques. Pour les entités financières, DORA fait office de lex specialis et prévaut sur NIS2 en matière de sécurité des réseaux et de l’information. Toutefois, les entités doivent vérifier au cas par cas que leur couverture DORA est complète, car des lacunes peuvent exister selon le type d’activité et l’autorité de supervision compétente.
Les sanctions NIS2 pour les entités essentielles atteignent jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial, tandis que DORA prévoit des amendes pouvant aller jusqu’à 1 % du chiffre d’affaires journalier moyen par jour de non-conformité — créant une exposition financière substantielle en cas de non-conformité prolongée.
La nouvelle architecture européenne anti-blanchiment : 6e directive et AMLA
Le cadre de lutte contre le blanchiment de capitaux connaît sa réforme la plus profonde depuis 2015. Le paquet législatif adopté en mai 2024 — directive 2024/1640 (6e directive anti-blanchiment), règlement 2024/1624 (règlement anti-blanchiment) et règlement 2024/1620 (AMLA) — crée une nouvelle Autorité européenne de lutte contre le blanchiment de capitaux (AMLA) basée à Francfort, dotée de pouvoirs de supervision directe sur les entités financières présentant le profil de risque le plus élevé dans l’ensemble de l’UE.
Les implications pratiques pour les entités financières comprennent : la mise à jour des politiques de vigilance à l’égard de la clientèle avec le nouveau seuil de 15 % pour le bénéficiaire effectif ; l’extension du périmètre des entités assujetties aux PSCA au titre de MiCA ; des exigences harmonisées minimales de formation du personnel ; de nouveaux seuils de sanctions minimales harmonisés à l’échelle de l’UE ; et la préparation à une éventuelle supervision directe par l’AMLA pour les entités à profil de risque élevé.
MiCA : le nouveau cadre réglementaire des crypto-actifs
MiCA s’applique pleinement dans l’ensemble de l’UE depuis décembre 2024, imposant pour la première fois un cadre réglementaire harmonisé aux marchés de crypto-actifs. Les PSCA opérant en Espagne doivent obtenir l’agrément de la CNMV ou justifier d’un passeport européen délivré par un autre État membre.
Les exigences clés — capital minimum de 50 000 à 150 000 euros selon le type de service, ségrégation des actifs des clients, obligations relatives au livre blanc et désignation comme nouvelles entités assujetties à la réglementation anti-blanchiment — constituent des charges significatives pour le secteur. Les entreprises opérant dans le vide réglementaire antérieur doivent avoir adapté leurs modèles économiques sous peine de cessation d’activité.
Reporting ESG : la durabilité comme obligation réglementaire
La CSRD élargit progressivement l’univers des entités tenues de publier des informations de durabilité selon les normes ESRS. Les entités financières de plus de 250 salariés y sont assujetties à compter de l’exercice 2025.
Pour le secteur financier, les obligations ESG revêtent une double dimension : en tant qu’entités déclarant leur propre performance en matière de durabilité au titre des ESRS, et en tant qu’allocataires de capitaux orientant les investissements vers des activités classifiées dans la Taxonomie européenne. Le règlement SFDR ajoute des obligations de publication en matière de durabilité au niveau des produits pour les gestionnaires d’actifs.
Le risque d’écoblanchiment (greenwashing) — la présentation trompeuse des caractéristiques de durabilité d’un produit financier — fait l’objet d’un contrôle croissant de la part de l’ESMA et des autorités nationales compétentes.
PSD3 et l’avenir des paiements
PSD3 et le nouveau règlement sur les services de paiement (PSR) sont en cours de processus législatif européen avec une transposition visée en 2027. Les principaux changements comprennent le renforcement de l’authentification forte du client, les règles de responsabilité partagée en matière de fraude, l’accès direct aux systèmes de paiement pour les non-banques et un cadre d’open banking plus puissant. Les établissements de paiement agréés au titre de PSD2 devraient d’ores et déjà entamer une analyse des écarts afin de planifier les adaptations par anticipation.
Feuille de route de la fonction conformité pour 2025-2026
Une réponse efficace à cet agenda réglementaire exige une fonction conformité capable de gérer simultanément plusieurs cadres réglementaires. Les priorités comprennent : l’achèvement de la mise en œuvre de DORA ; la révision des politiques anti-blanchiment au regard du nouveau règlement 2024/1624 ; l’obtention de l’agrément MiCA le cas échéant ; la préparation du premier rapport CSRD ; et le suivi de l’avancement de PSD3/PSR en vue d’une planification anticipée.
L’intégration de l’ensemble des cadres de conformité dans une fonction de gestion des risques unifiée — plutôt que des silos réglementaires séparés — au moyen d’une cartographie réglementaire, d’un comité de conformité transversal, d’une formation différenciée par niveau d’exposition et de relations proactives avec les autorités de supervision constitue la clé de l’efficacité et de la réactivité dans un environnement de changement réglementaire accéléré.
