El Consejo de Ministros acordó el pasado 24 de noviembre su posición sobre dos propuestas de Reglamentos presentados por la Comisión: el Reglamento sobre mercados de criptoactivos (MICA) y el Reglamento sobre resiliencia operativa digital (DORA).
Los dos reglamentos son parte del paquete de finanzas digitales presentado por la Comisión Europea en septiembre de 2020 para garantizar que la Unión lidere la revolución digital con la ayuda de las empresas innovadoras, de manera que los beneficios de estas finanzas digitales puedan recaer en los consumidores y las empresas. Se añade en este paquete una propuesta de régimen piloto sobre infraestructuras del mercado basadas en la tecnología de registro descentralizado (TRD).
La finalidad es que el actual marco jurídico no cree obstáculos al uso de estos nuevos instrumentos financieros digitales y que garantice que se puedan aplicar con la reglamentación del sector financiero y de gestión de riesgos de las empresas que están activas en la UE.
Este acuerdo constituye el mandato de negociación del Consejo para el diálogo tripartito con el Parlamento Europeo.
Propuesta de Reglamento sobre Criptoactivos (MICA)
El objetivo del Reglamento MICA es explotar y apoyar las finanzas digitales en términos de innovación y competencia. Para llevarlo a cabo es necesario crear un marco normativo que respalde la innovación y aproveche el potencial de los criptoactivos para preservar la estabilidad financiera y proteger a los inversores.
El comité cree que los activos cifrados son una de las principales aplicaciones de la tecnología blockchain en el campo financiero. Sin embargo, también señaló que, aunque algunos criptoactivos pueden entrar en el ámbito de la legislación de la UE, su aplicación efectiva no siempre es tan simple, por lo que la mayoría de los criptoactivos no entran en el ámbito de la legislación de servicios financieros de la UE. Por lo tanto, a pesar de estos riesgos, no están sujetos a regulaciones sobre protección al consumidor e inversionista o integridad del mercado. Además, algunos estados miembros han promulgado recientemente legislación sobre cuestiones relacionadas con los criptoactivos, lo que ha llevado a la fragmentación del mercado.
Por otro lado, en los últimos años, un subtipo relativamente nuevo de criptoactivos, la llamada «criptomoneda estable» (stable coins), ha atraído la atención del público mundial y las agencias reguladoras.
Por todas estas razones, aunque la escala del mercado de criptoactivos todavía es pequeña y actualmente no representa ninguna amenaza para la estabilidad financiera, la Comisión cree que con la aparición de la «moneda estable global», la situación puede cambiar ya que al incorporar características para estabilizar su valor y aprovechar los efectos de red derivados de las empresas que promueven estos activos, lograrán a una mayor difusión.
Para responder a todas estas preguntas y crear un marco de la UE que haga posible el mercado de criptoactivos, así como para la toquenización de los activos financieros tradicionales y el uso más amplio de TRD en los servicios financieros, la propuesta regulatoria MICA, que considera los activos cifrados y los tokens de moneda electrónica que no formaban parte de la legislación actual de servicios financieros de la UE, tiene cuatro objetivos principales e interrelacionados:
El primer objetivo es la seguridad jurídica. Para promover el desarrollo del mercado de criptoactivos de la UE, se necesita un marco legal sólido que defina claramente el tratamiento regulatorio de todos los criptoactivos que no están cubiertos por la legislación actual de servicios financieros.
El segundo objetivo es apoyar la innovación. Para promover el desarrollo de los criptoactivos y el uso más amplio de TRD, es necesario establecer un marco seguro y proporcionado para salvaguardar la innovación y la competencia leal.
El tercer objetivo es establecer un nivel suficiente de protección de consumidores, inversores e integridad del mercado, ya que los criptoactivos que no están cubiertos por la legislación actual de servicios financieros tienen muchos riesgos derivados de otros instrumentos financieros más conocidos.
El cuarto objetivo es garantizar la estabilidad financiera. Los criptoactivos evolucionan constantemente. Algunos son de alcance y uso muy limitados, mientras que otros, como la categoría emergente de «criptomoneda estable», pueden ser ampliamente aceptados y ser de importancia sistémica.
Por esta razón, la propuesta incluye salvaguardas contra posibles riesgos de una «criptomoneda estable» frente a la estabilidad financiera y una política monetaria ordenada.
Propuesta de Reglamento sobre resiliencia operativa digital (DORA)
Por su parte, el objetivo del Reglamento de Resiliencia Operativa Digital o Reglamento DORA es crear un marco regulatorio de resiliencia operativa digital para que todas las empresas tengan la garantía que pueden hacer frente a cualquier peligro relacionado con las TIC, con el objetivo de prevenir y mitigar las ciberamenazas.
Estos objetivos se basan en el reconocimiento de que la digitalización y la flexibilidad operativa del sector financiero son dos aspectos unidos. Lo digital, o las tecnologías de la información y la comunicación (TIC) brindan oportunidades y riesgos. Estos deben entenderse y manejarse bien, especialmente en momentos de estrés.
Por lo tanto, los responsables políticos y los reguladores están cada vez más preocupados por los riesgos de depender de las TIC. En particular, tratan de mejorar la resiliencia empresarial estableciendo estándares y coordinando la supervisión y regulación. Este trabajo se ha llevado a cabo a nivel internacional y europeo, en todas las industrias y en muchos sectores específicos, incluidos los servicios financieros.
No obstante, los peligros vinculados a las TIC son un reto para el buen funcionamiento del sistema financiero de la Unión Europea. La legislación actual sobre servicios financieros no cubre completamente la resistencia operativa digital. Apenas tienen en cuenta los riesgos de las TIC en materia de cobertura del riesgo operativo y, además, son distintas según la legislación sectorial de los servicios financieros.
Por tanto, el Comité considera que la intervención a nivel de la Unión no se ajusta plenamente a lo que las instituciones financieras europeas necesitan para gestionar los riesgos operativos a fin de poder soportar, responder y recuperarse de los incidentes relacionados con las TIC. Tampoco suministró a los supervisores financieros las herramientas más adecuadas para el desempeño de sus funciones de prevención y evitar la inestabilidad financiera derivada de la formación de riesgos TIC.
Por otro lado, la falta de estándares detallados e integrales de resistencia a la actividad digital a nivel de la UE ha llevado a la proliferación de las iniciativas regulatorias nacionales (por ejemplo, en las pruebas resistencia operativa digital) y de enfoques de supervisión (por ejemplo: para resolver las dependencias de las TIC de terceros). Sin embargo, a nivel de los Estados miembros solo tiene efectos limitados, debido a la naturaleza transfronteriza de los riesgos de las TIC. Además, las iniciativas nacionales sin coordinación han llevado a solapamientos, inconsistencias, duplicación de solicitudes, altos costos administrativos y de cumplimiento, especialmente para las instituciones financieras transfronterizas, o a que los riesgos de las TIC sigan sin ser descubiertos y, por tanto, sin solucionarse. Esta situación ha fragmentado el mercado único, socavando la estabilidad e integridad del sector financiero de la UE y pone en peligro la protección contra el consumidor y los inversores.
Por lo tanto, es necesario establecer un marco detallado y completo para la resiliencia digital de las instituciones financieras en la Unión Europea. Este marco ahondará en la dimensión de la gestión del riesgo digital del código normativo. En particular, se estima que este marco mejorará y simplificará la gestión de riesgos de TIC para las instituciones financieras, establecerá pruebas integrales de los sistemas de TIC y aumentará la conciencia de los supervisores sobre los riesgos cibernéticos y los problemas relacionados con las TIC e incluirá mecanismos para que los supervisores financieros puedan afrontar la dependencia de terceros proveedores de servicios de TIC. La propuesta creará un mecanismo de aviso de incidentes que aliviará la carga administrativa de las instituciones financieras y mejorará la eficiencia de la supervisión.
Para garantizar la coherencia de los requisitos de gestión de riesgos de TIC que afectan al sector financiero, el reglamento cubre una serie de instituciones financieras reguladas a nivel de Unión, en concreto, las entidades de crédito, las entidades de pago, las entidades de dinero electrónico, las empresas de inversión, los proveedores de servicios de criptoactivos, los depositarios centrales de valores, las contrapartes centrales, los centros de negociación, los registros de operaciones, los gestores de fondos de inversión alternativos y las sociedades de gestión, los proveedores de servicios de comunicación de datos, las empresas de seguros y reaseguros, los intermediarios de seguros, los intermediarios de reaseguros y los intermediarios de seguros auxiliares, los organismos de pensiones de jubilación, las agencias de calificación crediticia, los auditores legales y las empresas de auditoría, los administradores de índices de referencia críticos y los proveedores de servicios de crowdfunding
Esta cobertura facilita la adopción uniforme y coherente de todos los componentes de la gestión de riesgos en las áreas relacionadas con las TIC, a la vez que mantiene un campo de juego equitativo entre las instituciones financieras en lo que se refiere a sus obligaciones regulatorias con respecto a los riesgos de las TIC.
Además, el Reglamento reconoce que existen diferencias significativas entre las entidades financieras dependiendo de su tamaño, perfil de la empresa o exposición a los riesgos digitales. Como las grandes instituciones financieras tienen más recursos, solo las instituciones financieras que no son microempresas deben establecer acuerdos de gobernanza complejos, funciones de gestión especializadas, realizar evaluaciones en profundidad después de cambios importantes en la infraestructura de red y sistemas de información, realizar análisis de riesgos periódicos sobre los sistemas TIC heredados, incrementar las de pruebas de continuidad empresarial y planes de respuesta y recuperación para captar escenarios de transición entre la infraestructura central de TIC y las instalaciones redundantes.
En todo caso, únicamente las entidades financiaras que han sido identificadas como significativas a efectos de las pruebas de resistencia digital avanzadas, tiene que realizar pruebas de penetración dirigidas a las amenazas
A pesar de su amplia cobertura, no es exhaustiva. En concreto, este Reglamento no cubre a los operadores del sobre la firmeza de la liquidación en los sistemas de pago y de liquidación de valores (DFL), ni a ningún participante en el sistema, a no ser que el participante sea a su vez una entidad financiera regulada a nivel de la Unión y, como tal, esté cubierto por el presente Reglamento por derecho propio (es decir, entidad de crédito, empresa de inversión, ECC). Además, el registro de derechos de emisión de la Unión que se gestiona, de conformidad con la Directiva 2003/87/CE (LA LEY 10076/2003), bajo los auspicios de la Comisión Europea también queda fuera del ámbito de aplicación.
Una vez que se alcance un acuerdo político interno entre los negociadores, las dos organizaciones adoptarán formalmente el reglamento.