El régimen de información financiera (derivados OTC y repos) en la Unión Europea: EMIR y SFTR como pilares de transparencia y control del riesgo sistémico

En el contexto de la reforma estructural del sistema financiero europeo tras la crisis de 2008, dos Reglamentos clave han configurado el régimen de reporte (información y notificación) de transacciones financieras. Su objetivo es mitigar los riesgos financieros sistémicos y aumentar la transparencia, y son el Reglamento  EMIR, relativo a los derivados financieros, y el Reglamento SFTR, relativo a las operaciones de financiación de valores (Securities Financing Transactions, SFTs). Aunque su ámbito de aplicación objetiva alcanza a instrumentos y operaciones diferentes, ambos Reglamentos comparten una arquitectura técnica armonizada, impulsada por la Autoridad Europea de Valores y Mercados (ESMA), y persiguen objetivos funcionales convergentes: mejorar la supervisión macroprudencial, limitar la opacidad estructural y dotar de mayor resiliencia al sistema financiero europeo.

EMIR: derivados y control del riesgo sistémico

El Reglamento (UE) n.º 648/2012, conocido como EMIR (European Market Infrastructure Regulation), se adoptó como respuesta directa a las deficiencias regulatorias reveladas por la crisis financiera global de 2008. En particular, el crecimiento descontrolado del mercado de derivados extrabursátiles (OTC) y la falta de mecanismos centralizados de compensación y trasparencia fueron considerados como epicentros de aquella gravísima devacle, y exigieron acción legislativa, regulatoria, supervisora.

La lógica subyacente de EMIR es clara: los derivados, en especial los OTC, generan un riesgo de contraparte elevado, de difícil trazabilidad y susceptible de amplificar efectos de contagio. Para abordar estos desafíos, EMIR establece una triple obligación para las contrapartes que celebren contratos de derivados:

  • compensación obligatoria en cámaras centrales autorizadas (CCPs),
  • aplicación de medidas prudenciales bilaterales —como el intercambio de garantías— para los contratos no compensados, y
  • reporte obligatorio de todas las operaciones a un repositorio de operaciones (trade repository) ubicado bajo el paraguas de ESMA.

Este régimen se aplica tanto a contrapartes financieras (entidades de crédito, empresas de seguros, gestoras de fondos, etc.) como a las contrapartes no financieras cuando superan umbrales de exposición agregada a derivados. Busca garantizar una trazabilidad completa del ciclo de vida de las operaciones y permitir a las autoridades competentes reconstruir posiciones de riesgo a nivel agregado y entidad por entidad.

La revisión introducida por EMIR REFIT (Reglamento (UE) 2019/834) ha reforzado aún más el marco de reporte, armonizando los estándares técnicos a nivel europeo. Así, a partir de abril de 2024, ha entrado en vigor un nuevo paquete técnico que incluye un formato de reporte XML basado en el estándar ISO 20022, una taxonomía armonizada de eventos del ciclo de vida que supone, entre otras consecuencias, el incremento del número de campos obligatorios de datos desde 129 a más de 200. Esta evolución responde a una exigencia de supervisión más granular, orientada a la prevención de la acumulación de riesgos ocultos en el sistema. También facilita la integración de los datos reportados en el futuro Data Hub europeo, previsto como nodo central de análisis supervisor en la Unión.

SFTR: transparencia en las operaciones de financiación de valores

Camelia rosiflora

El Reglamento (UE) 2015/2365, conocido como SFTR (Securities Financing Transactions Regulation), nace con una finalidad paralela a la de EMIR: arrojar luz sobre un segmento del mercado que, si bien crucial para la gestión de liquidez y la eficiencia operativa, genera riesgos de naturaleza sistémica y opacidad similar a la de los derivados OTC. Se trata de las operaciones de financiación de valores (SFTs), tales como los acuerdos de recompra (repos), préstamos de valores, acuerdos de compra con pacto de recompra y la reutilización de garantías financieras. Estas operaciones  forman parte del engranaje funcional del sistema financiero, pero también -se sabe- que son utilizadas por entidades del sistema bancario en la sombra (shadow banking) para realizar operaciones de apalancamiento o arbitraje regulatorio con escasa supervisión.

  • SFTR impone una obligación de reporte ex post de todas estas operaciones a repositorios de operaciones registrados y supervisados por ESMA. Al igual que en EMIR, el reporte debe realizarse en formato XML bajo ISO 20022, cubriendo el ciclo completo de vida de la operación: ejecución, modificación, cancelación y movimientos de colateral.
  • Además, impone a los gestores de fondos de inversión colectiva (UCITS) y de fondos alternativos (AIFs) la obligación de informar, en sus documentos precontractuales y en sus informes periódicos, sobre el uso de SFTs y derivados equivalentes, incluyendo la exposición relativa de estas operaciones respecto al valor neto del fondo, los riesgos asociados y las políticas de reutilización de garantías.
  • Otro aspecto destacable del SFTR es la regulación de la reutilización (rehypothecation) de garantías. El SFTR exige el consentimiento previo, específico y por escrito del proveedor de la garantía, así como la entrega de información detallada sobre los riesgos y las condiciones aplicables. Este requisito busca equilibrar la flexibilidad operativa con la protección de los titulares originales de los activos entregados en garantía, y evitar cascadas de reclamaciones en caso de impago o liquidación.

Convergencias técnicas y divergencias funcionales entre ambos Reglamentos de la UE

Aunque EMIR y SFTR regulan operaciones de distinta naturaleza —derivados financieros en el primer caso y operaciones de financiación de valores en el segundo-, presentan una notable convergencia en su arquitectura técnica y en sus fundamentos regulatorios.

Ambos Reglamentos imponen un deber de reporte a repositorios registrados, supervisados por ESMA, utilizan identificadores únicos armonizados (LEI, UTI, UPI) para permitir la agregación de datos, y se basan en estándares técnicos comunes, incluyendo el formato XML ISO 20022.

Sin embargo, coexisten también entre ellos diferencias sustanciales:

  • Mientras EMIR contempla la obligación de compensar determinados derivados OTC a través de cámaras centrales, SFTR no impone un régimen equivalente de compensación.
  • Los umbrales de aplicación, la clasificación de las contrapartes, y la granularidad de los datos exigidos en un Reglamento y en el otro presentan matices significativos.
  • Desde una perspectiva funcional, puede afirmarse que EMIR está más orientado a la mitigación del riesgo de contraparte y de contagio sistémico asociado al apalancamiento derivado, mientras que SFTR atiende a los riesgos de liquidez, de pro-ciclicidad y de reutilización de activos en cadenas de colateral.

Las diferencias  entre EMIR y  SFTR obligan a las entidades a establecer marcos de cumplimiento diferenciados,  que a menudo suponen duplicaciones, para poder atender correctamente las exigencias de ambos Reglamentos.

El Brexit y las divergencias regulatorias emergentes

Rododendrito

El proceso de retirada del Reino Unido de la Unión Europea ha introducido un nuevo vector de complejidad regulatoria.  No es causa menor para ello, la importancia global de los mercados y centros de intercambio de derivados , y de refinanciación de valores de Reino Unido.

Tanto EMIR como SFTR han sido incorporados en el derecho interno británico como parte del llamado retained EU law (EMIR UK y SFTR UK), pero las autoridades del miembro separado han optado por un calendario de entrada en vigor efectivo y por ajustes técnicos que divergen progresivamente de las normas de la UE.

Por ejemplo, la Financial Conduct Authority (FCA) no ha adoptado aún el paquete técnico de EMIR REFIT en los términos aprobados por ESMA. Esto ya ha generado diferencias en los formatos de validación, plazos y contenido de los campos de reporte, e impone una carga adicional a las entidades financieras con operaciones transfronterizas. Las entidades que operen tanto en territorio de la UE como en Reino Unido se ven abocadas a mantener infraestructuras de reporte paralelas, establecer relaciones con repositorios autorizados en ambas jurisdicciones y adaptar sus sistemas internos a dos marcos de validación técnica distintos. Las consecuencias no son únicamente de encarecimiento, sino que incrementa el riesgo operativo, especialmente en los procesos automatizados de reconciliación de datos.

Perspectiva supervisora y reformas estructurales en curso

La evolución del régimen de notificación y transparencia de operaciones financieras no se detiene.

El proyecto legislativo conocido como EMIR III (COM(2022) 697 final) plantea una reforma ambiciosa del ecosistema de compensación y del tratamiento de datos derivados. Entre sus objetivos figura una mayor concentración de las operaciones de compensación en infraestructuras europeas, una supervisión más directa por parte de ESMA y el reforzamiento de la arquitectura de agregación de datos a través del futuro Data Hub.

Paralelamente, ESMA ha desplegado nuevas guías de supervisión sobre calidad de datos (Data Quality Reports, DQR), que constituyen un marco técnico común para la validación, reconciliación y control de los datos reportados. Estos desarrollos apuntan a una progresiva integración del análisis de riesgos micro y macroprudenciales en la supervisión financiera europea.

La correcta aplicación de los Reglamentos EMIR y SFTR exige, en definitiva, algo más que el cumplimiento formal de requisitos técnicos. Implica una gobernanza de datos sólida, mecanismos internos de control y resolución de discrepancias, y una comprensión profunda de las interacciones entre los distintos marcos regulatorios. Las entidades no pueden delegar ciegamente el cumplimiento en terceros reportantes o proveedores tecnológicos: la responsabilidad última frente a la autoridad competente sigue siendo indelegable.

En última instancia, la transparencia operativa que persiguen EMIR y SFTR no debe entenderse únicamente como una herramienta de supervisión. También constituye un factor de eficiencia, confianza y estabilidad del sistema financiero, que fortalece la capacidad de respuesta ante perturbaciones y promueve un entorno más resiliente, competitivo y seguro para los mercados europeos.

 

Reforma EMIR Refit 2024 (2) – Transparencia y deberes de información

El 29 de abril de 2024 entró en vigor la modificación del EMIR , a raíz de la aprobación del Reglamento (UE) 2019/834 EMIR-Refit.   Esta reforma supone la inclusión de nuevos conjuntos de datos y criterios para la notificación de derivados a los Registros de Operaciones (Trading repositories -TR- por sus siglas en inglés). La normativa afecta tanto a entidades financieras y no financieras como a personas físicas con actividad económica que hayan suscrito contratos de derivados.

El Reglamento EMIR, junto con su reforma mediante el Reglamento EMIR-Refit, impone una serie de obligaciones  a todos los inversores que celebren contratos de derivados, ya sean entidades financieras o no financieras. No obstante, la intensidad de dichas obligaciones varía en función del volumen de actividad y del uso que se haga de estos instrumentos, aplicándose un principio de proporcionalidad.

Uno de los principales focos de la reforma afecta a las obligaciones de transparencia y notificación (reportes o informes).

Todos los contratos de derivados, tanto los negociados en mercados regulados como los OTC, deben comunicarse a un registro de contratos debidamente autorizado o reconocido por ESMA. Y,  la notificación se realiza ahora usando el estándar ISO 20022 XML, para mayor interoperabilidad y calidad de los datos. Además, se incorpora la obligación de incluir identificadores de los productos y de las operaciones como el Unique Product Identifier (UPI)y el Unique Trade Identifier (UTI), con el objetivo de permitir un seguimiento preciso de cada operación a lo largo de toda la cadena de trasmisiones.

  • Por ejemplo, un fondo de pensiones que gestiona riesgos de tipo de interés mediante derivados OTC debe informar de cada operación con la máxima precisión, incluyendo detalles de la contraparte, el producto utilizado, el valor, la fecha de vencimiento y demás características relevantes. Utilizará el UPI  y el UTI
  • Esta obligación, por cierto, se extiende igualmente a derivados negociados en mercados regulados. (entorno MIFID)

El alcance de la reforma también abarca instrumentos derivados relacionados con commodities y derechos de emisión (emission allowances), incluso cuando se utilicen estos instrumentos para cobertura de riesgos.

Praíña Pontevea

  • Veánse las  circulares BME orientando sobre esta obligación de notificar (EMIT y SFTR) , aquí

El objetivo final  de estas reformas es facilitar a los reguladores nacionales y europeos la detección temprana de riesgos financieros, mejorar la transparencia y promover un entorno más seguro y competitivo en el mercado de derivados, impulsando así la estabilidad financiera en la Unión Europea.

Reforma de EMIR (EMIR REFIT) 2024 (1). Visión general

EMIR Refit: Principales Novedades del Reglamento (UE) 2019/834 (EMIR Refit)

El Reglamento (UE) n.º 648/2012 del Parlamento Europeo y del Consejo, relativo a los derivados extrabursátiles, las entidades de contrapartida central y los registros de operaciones (conocido como EMIR), entró en vigor el 16 de agosto de 2012, con el objetivo de aumentar la transparencia en los mercados de derivados OTC (over-the-counter), reducir el riesgo sistémico y mejorar la supervisión de estas operaciones.

Guess who

Posteriormente, el EMIR fue modificado por el Reglamento (UE) 2019/834, de 20 de mayo de 2019, más conocido como EMIR Refit, en el marco del programa de revisión de la legislación financiera de la Unión Europea. Esta reforma introdujo ajustes relevantes en relación con las obligaciones de compensación, los requisitos de notificación, las técnicas de mitigación de riesgos y el régimen aplicable a los registros de operaciones, con un enfoque de simplificación y proporcionalidad.

El EMIR REFIT, como actualización obligatoria del Reglamento EMIR, tiene como objetivo fundamental mejorar la armonización y estandarización del reporting de transacciones de derivados en la Unión Europea. Esta reforma implica cambios sustanciales en los requisitos de notificación, tanto en aspectos técnicos como operativos, afectando a todas las entidades sujetas al régimen. Ante la proximidad de la fecha de entrada en vigor, resulta imprescindible que todas las empresas aseguren su adecuada preparación para cumplir con las nuevas obligaciones, independientemente de que el reporting se gestione internamente o mediante terceros.

El ámbito de aplicación del EMIR incluye todos los contratos de derivados extrabursátiles (OTC), es decir, aquellos que no se negocian en mercados regulados según la normativa MIFID. Estos contratos están sujetos a las obligaciones de compensación centralizada o, en su defecto, a técnicas de mitigación del riesgo. Además, todos los contratos de derivados, tanto OTC como negociados en mercados organizados, deben reportarse a un registro de operaciones autorizado o reconocido por ESMA (la Autoridad Europea de Valores y Mercados).

Se consideran contrapartes financieras las entidades de crédito, empresas de servicios de inversión, aseguradoras, fondos de inversión y de pensiones (con ciertas exenciones), fondos alternativos y depositarios centrales de valores. Por su parte, las contrapartes no financieras comprenden todas aquellas entidades que no entran en la categoría anterior. Para estas últimas, EMIR fija umbrales cuantitativos que determinan si están sujetas a obligaciones de compensación centralizada.

Principales obligaciones bajo EMIR y EMIR Refit

Camelias

  1. Compensación obligatoria a través de entidades de contrapartida central (ECC): Las entidades financieras y no financieras que superen los umbrales establecidos deben compensar determinados contratos de derivados mediante una ECC autorizada. En caso de operaciones entre entidades del mismo grupo, pueden aplicarse exenciones si se cumplen los requisitos del artículo 4.2 del Reglamento.
  2. Notificación a los registros de operaciones: Todas las contrapartes deben reportar sus contratos de derivados a un registro autorizado. No obstante, se introduce una simplificación: cuando una entidad financiera contrata con una contraparte no financiera que no ha superado los umbrales, será la financiera quien asuma la obligación de notificación.
  3. Notificaciones a las autoridades: Las entidades que superen los umbrales de compensación o decidan no calcular sus posiciones deberán comunicarlo a la CNMV y a ESMA, quedando sujetas a la compensación obligatoria.
  4. Técnicas de mitigación del riesgo para derivados no compensados: Incluyen la confirmación rápida de contratos, conciliación de carteras, resolución de litigios, valoración periódica e intercambio de garantías cuando se superan ciertos umbrales. EMIR Refit refuerza estas prácticas, haciendo especial hincapié en la compresión de carteras para reducir la exposición sistémica.
  5. Exenciones para operaciones intragrupo: Cuando se den ciertas condiciones —como pertenencia a la misma consolidación, procedimientos centralizados de gestión del riesgo y ausencia de entidades financieras como matriz—, se permite eximir de la compensación y del reporting a las operaciones entre empresas del mismo grupo. Estas exenciones deben notificarse formalmente a la autoridad competente.
  6. Suspensión temporal de obligaciones de compensación: Se introduce la posibilidad de suspender la obligación de compensación en situaciones excepcionales, cuando esté en juego la estabilidad financiera o el funcionamiento ordenado del mercado.
  7. Requisitos para registros de operaciones: EMIR Refit endurece los criterios de autorización y supervisión de los registros de operaciones, con el fin de mejorar la calidad de los datos y facilitar el trabajo de las autoridades supervisoras.

Aspectos concretos

  1. Nuevos umbrales de compensación para contrapartes no financieras. Las entidades no financieras están sujeta a la obligación de compensación si el valor nocional bruto de sus contratos de derivados OTC excede alguno de los siguientes umbrales (calculados excluyendo los contratos con fines de cobertura):
  • 1.000 millones EUR en derivados de crédito
  • 1.000 millones EUR en derivados sobre acciones
  • 3.000 millones EUR en derivados sobre tipos de interés
  • 3.000 millones EUR en derivados sobre divisas
  • 4.000 millones EUR en derivados sobre materias primas u otros subyacentes

2. Principales cambios en las normas de reporting

El EMIR REFIT introduce áreas clave de modificación en las reglas de notificación. En primer lugar, se amplía significativamente el volumen de datos requeridos, incrementando el número de campos reportables de 129 a 203. Esta ampliación demanda una revisión detallada de la lógica de reporte, especialmente en campos como “tipo de acción” y “tipo de evento”, diseñados para mejorar la transparencia y trazabilidad de las operaciones. Asimismo, se incorporan nuevos campos relativos a la información sobre las contrapartes y la clasificación de productos, con el fin de resolver ambigüedades previas en el reporting de derivados OTC.

Adicionalmente, se establece la obligatoriedad del formato XML ISO 20022 para la transmisión de datos a los repositorios de operaciones, con el propósito de estandarizar los modelos técnicos de reporting en toda la Unión Europea. Esta transición técnica puede representar un desafío para aquellas entidades acostumbradas a formatos previos. También se contempla un enfoque escalonado para la implementación, que exigirá que las posiciones abiertas existentes cumplan con los nuevos estándares en un plazo máximo de seis meses desde la entrada en vigor, imponiendo obligaciones adicionales en cuanto a la notificación de eventos posteriores al ciclo de vida de las operaciones.

3. Gobernanza y Controles

Dada la relevancia crítica de contar con un reporting preciso y conforme, todas las entidades deben establecer marcos robustos de gobernanza y control para asegurar el cumplimiento del EMIR REFIT. En particular, aquellas que delegan el reporting a terceros deberán ejercer una supervisión estrecha sobre estas actividades, garantizando el seguimiento continuo de la calidad de los datos, la resolución eficiente de incidencias y una comunicación fluida con las autoridades regulatorias nacionales.

 

Desarrollo (Directrices ESMA, Regulación de Desarrollo de la Comisión y adopción nacional)

  • Como corresponde, ESMA redactó Directrices (asumidas por algunos supervisores nacionales de modo directo) y además incorporadas al desarrollo reglamentario en forma del Reglamento Delegado (UE) 2022/1855 y el Reglamento de Ejecución (UE) 2022/1860—, cuyo plazo de entrada en vigor está fijado para el 29 de abril de 2024.
  • Por su parte, la Comisión Nacional del Mercado de Valores (CNMV) ha adoptado formalmente estas Directrices y las utilizará como base para supervisar el cumplimiento de las obligaciones de notificación. De este modo, la CNMV, en su calidad de autoridad española competente en materia de derivados, ofrece claridad a las contrapartes sobre los criterios a seguir para la notificación de la suscripción, modificación y cancelación de derivados a partir de la mencionada fecha.
Clasificación de derivados y algunos plazos especiales
  • Las Directrices aclaran dudas sobre la clasificación de ciertos contratos como “derivados” y, en consecuencia, sobre la necesidad o no de notificar su suscripción. Algunos ejemplos relevantes son:
  • Se deberán notificar los derivados de divisas a plazo (con entrega a partir de tres días tras la ejecución), pero no los contratos al contado.
  • Solo serán objeto de notificación los derivados sobre criptoactivos que se consideren derivados según el Reglamento EMIR, es decir, aquellos que sean opciones, futuros, permutas, instrumentos de transferencia de riesgo o contratos por diferencias.
  • Los swaps de rendimiento total deben notificarse y se clasificarán como derivados de crédito o de renta variable, según el activo subyacente.
  • Las permutas de liquidez y las permutas de garantías quedan excluidas de la obligación de notificación en virtud del Reglamento EMIR, ya que se regulan por separado en el Reglamento relativo a operaciones de financiación de valores.
  • No se consideran derivados, y por tanto no se notifican, los siguientes instrumentos:
    • Instrumentos financieros con derivados implícitos, como bonos convertibles.
    • Productos de financiación estructurada, por ejemplo valores creados para titulizar y transferir riesgos de crédito.
    • Valores negociables regulados por MiFID distintos a productos de financiación estructurada, tales como warrants convencionales, certificados de apalancamiento, warrants exóticos, derechos negociables y certificados de inversión.
  • Derivados intragrupo. Aunque el Reglamento EMIR ya contemplaba la exención de notificar derivados intragrupo (artículo 9.1), las Directrices precisan los plazos y requisitos para su aplicación, e incluyen ejemplos ilustrativos. Para acogerse a esta exención, el grupo empresarial debe solicitar autorización ante la autoridad nacional competente, para lo cual la CNMV facilita una Guía de Usuario con el formulario correspondiente.

Aspectos adicionales relevantes.

Las Directrices desarrollan aspectos técnicos sobre las plantillas y campos de notificación, con aclaraciones y ejemplos para productos como:

  • Derivados sobre tipos de interés (IRS, FRAs, caps y floors).
  • Permutas financieras de divisas y contratos a plazo.
  • Contratos a plazo no entregables.
  • Contratos por diferencias.
  • Derivados sobre renta variable.
  • Derivados de crédito.
  • Derivados sobre materias primas.

También abordan temas como la delegación en la notificación, la obligación de informar sobre las distintas fases de los derivados (celebración, modificación y cancelación) , la notificación del nivel de posición entre contrapartes durante la vida del contrato y explican quiénes están obligados a notificar derivados negociados en mercados regulados y compensados mediante entidades de contrapartida central.

 

Bloomberg 21 mayo 2025 ¿Caída accidental por sobrecarga, ataque cibernético, o consecuencia de la algoritmización veloz?

Paraninfo Gordón Ordás. Universidad de León

El miércoles 21 de mayo de 2025, Bloomberg sufrió una interrupción técnica importante que afectó a sus terminales financieras en todo el mundo. Durante aproximadamente tres horas, los terminales dejaron de proporcionar datos en tiempo real, lo que afectó las operaciones en los mercados financieros y provocó retrasos en subastas de deuda pública, como las del Reino Unido y Portugal.

Según informó Financial Times el mismo día, la caída interrumpió las subastas de deuda de ambos emisores, lo que llevó a la Debt Management Office (Oficina de Gestión de Deuda del Reino Unido) a ampliar el periodo de pujas para una subasta de «gilts» (bonos del Estado de RU) en 90 minutos, mientras que la Comisión Europea amplió en una hora el plazo para una subasta de bonos emitidos por la Unión Europea en el marco de su programa de financiación conjunta. Dos grandes bancos de inversión confirmaron que sus operaciones de compraventa se vieron interrumpidas. En uno de ellos, que los operadores no pudieron acceder a los datos de precios de la subasta de deuda británica, por lo que no se tramitaron órdenes de clientes. Un gestor de carteras de una gran gestora de activos señaló que no solo las operaciones de compraventa, sino todo su flujo de trabajo, se vio paralizado por el fallo.

A las 9:55 h de ese mismo día, el servicio de soporte técnico de Bloomberg emitió un comunicado reconociendo «un problema global con los terminales» e informando de que su equipo de ingeniería estaba trabajando activamente en identificar y resolver la causa. Bloomberg se disculpó públicamente y más tarde descartó que se tratara de un ciberataque o de un fallo provocado por algoritmos de alta frecuencia (HFT). Según la empresa, el incidente fue causado por una combinación de errores de hardware y software que generaron un tráfico anómalo en su red interna.

A estas altunas cabe preguntarse si se trató de un ataque de hacking (Bloomberg declaró que no lo fue), o de un fallo interno de hardware y software que provocó un tráfico excesivo en su red, haciendo que las máquinas colapsaran y los usuarios quedaran desconectados (explicación de Bloomberg). Esta explicación sería compatible con la intervención de HFT agents que pudieran sobrecargar los sistemas de la intermediaria.

El servicio de mensajería interna de Bloomberg siguió funcionando durante la interrupción, pero la caída de los datos en tiempo real puso en evidencia la alta dependencia de los mercados respecto a esta plataforma.  Y, aunque verdaderamente fuera atribuible a causas técnicas internas y no a un ciberataque externo, plantea importantes implicaciones desde el punto de vista regulatorio y jurídico.

  • En primer lugar, subraya la relevancia de los proveedores de servicios de datos financieros como infraestructuras críticas para el funcionamiento ordenado del mercado. Ello, podría motivar una revisión de su supervisión bajo el marco del Reglamento (UE) 2022/2554 (DORA), que establece requisitos de resiliencia operativa digital para entidades financieras y terceros proveedores esenciales.
  • También, subraya la relevancia de los proveedores de servicios de datos financieros como infraestructuras críticas para el funcionamiento ordenado del mercado, lo que podría motivar una revisión de su supervisión en relación con el marco del Reglamento (UE) 2022/2554 (DORA). Es decir, aunque, a día de hoy Bloomberg no está sujeto directamente a la regulación financiera como una entidad supervisada,  su papel estructural como proveedor de datos esenciales podría justificar, en un futuro, su inclusión en el perímetro regulatorio como proveedor de servicios TIC críticos, en línea con el espíritu amplio de DORA.
    • Recuérdese que el artículo 31 de DORA permite que las autoridades competentes identifiquen a determinados proveedores de servicios TIC como «proveedores terceros críticos» cuando presten servicios a un número significativo de entidades financieras o cuando el tipo de servicios prestados sea esencial para el mantenimiento de funciones críticas del sector financiero. Aunque el artículo se centra en proveedores contratados por entidades financieras sujetas a supervisión, y requiere un procedimiento formal de evaluación y designación por parte de las autoridades europeas, sugiere un marco regulatorio que podría, al menos en teoría, extenderse a plataformas como Bloomberg en la medida en que su interrupción pueda poner en riesgo la estabilidad de los mercados financieros.
  • Por otro lado, la interrupción afectó a la correcta formación de precios y ejecución de operaciones, lo que conecta con el marco del Reglamento (UE) 600/2014 (MiFIR) -en particular con los artículos 10 y 12, que regulan la transparencia pre y post-negociación para los centros de negociación y sistemas organizados de negociación, y con el artículo 18 sobre el acceso equitativo a las infraestructuras de mercado. Asimismo, el artículo 65 de la Directiva 2014/65/UE (MiFID II) exige que los centros de negociación dispongan de mecanismos eficaces para garantizar la continuidad y regularidad de la prestación de servicios y actividades de inversión, incluyendo planes de contingencia y sistemas resilientes. La disrupción plantea dudas sobre si la falta de disponibilidad de datos puede considerarse una forma indirecta de asimetría informativa o incluso de disfunción de mercado, cuya gestión podría ser exigible a los operadores en virtud de las obligaciones mencionadas . Sin olvidar el Reglamento (UE) 596/2014 (MAR), en cuanto a la obligación de transparencia pre y post negociación, así como al acceso equitativo y no discriminatorio a la información de mercado.
  • En conjunto, la situación plantea dudas sobre si la falta de disponibilidad de datos puede considerarse una forma indirecta de asimetría informativa o incluso de disfunción de mercado, cuya gestión podría ser exigible a los operadores en virtud de las obligaciones de «sistemas resilientes» previstas en MiFID II.

 

Aunque Bloomberg ha comunicado que no hubo intervención externa, este tipo de eventos podría tener repercusiones regulatorias importantes.

    • Así, la obligación de notificación de incidentes operativos mayores conforme a DORA, o el deber de comunicación inmediata a clientes institucionales, podrían convertirse en exigencias prácticas para este tipo de actores clave, aunque hoy no estén sujetos formalmente a esa normativa.
    • Además, el evento puede abrir la puerta a potenciales responsabilidades contractuales o extracontractuales por daños causados a operadores y entidades que, al carecer de acceso a datos fiables en tiempo real, pudieron tomar decisiones erróneas o incurrir en pérdidas.

Ver:

DORA en profundidad: El Reglamento Delegado (UE) 2024/1774 y la continuidad operativa en el sector financiero

En un entorno financiero profundamente digitalizado, la resiliencia operativa digital es crucial para la estabilidad del sistema y la protección de los servicios esenciales. El Reglamento Delegado (UE) 2024/1774, de 13 de marzo de 2024, desarrolla el Reglamento DORA (UE) 2022/2554, estableciendo normas técnicas de regulación (RTS) relativas a la gestión del riesgo de las TIC, la continuidad operativa y la gobernanza interna.

Objetivo y Alcance del Reglamento Delegado. 

Este desarrollo Reglamentario está orientado a garantizar la proporcionalidad y eficacia en la aplicación del DORA, con especial atención a la diversidad estructural de las entidades financieras.

Según su artículo 1, este Reglamento tiene por objeto especificar los requisitos detallados sobre:

  • Herramientas, métodos y políticas para la gestión del riesgo de las TIC (art. 4-24).
  • Estrategias y planes de continuidad operativa y recuperación (art. 2 y 3, y 25-27).
  • Gobernanza interna en relación con los riesgos TIC (art. 28-30).

Estrategia de Continuidad Operativa TIC . Los artículos 2 y 3 exigen a las entidades:

  • Identificar funciones críticas o importantes (CFI) y sus dependencias.
  • Determinar los recursos TIC necesarios y los riesgos derivados de la dependencia tecnológica.
  • Establecer mecanismos de revisión y aprobación periódica por parte del órgano de dirección.
  • Integrar la estrategia de continuidad TIC en el marco general de gestión de riesgos.

Gestión integral del riesgo TIC

Los artículos 4 a 23 del Reglamento Delegado (UE) 2024/1774 articulan un marco integral para la gestión del riesgo relacionado con las TIC, estructurado en distintos bloques temáticos que abarcan todo el ciclo de vida de los activos digitales.

En primer lugar, los artículos 5 a 11 se centran en la gestión del ciclo de vida de los activos TIC, incluyendo aspectos como el control de accesos, la segmentación de entornos, las políticas de configuración, la gestión de parches y actualizaciones, el registro de eventos, la planificación de capacidad y el uso seguro de técnicas criptográficas.

El art 9 establece que las entidades financieras deben desarrollar procedimientos específicos para la gestión de la capacidad y el rendimiento de sus sistemas TIC.

  • Estos procedimientos deben permitir determinar los requisitos de capacidad, optimizar el uso de recursos y mantener o mejorar la disponibilidad, eficiencia y previsión de necesidades tecnológicas.
  • Además, deben adaptarse a las particularidades de los sistemas que requieren procesos de adquisición complejos o que hacen un uso intensivo de recursos, garantizando así una planificación adecuada y resiliente

El Reglamento Delegado (UE) 2024/1774 profundiza en las obligaciones de seguridad que deben adoptar las entidades financieras en relación con los datos y sistemas TIC.

El artículo 10 regula la gestión de vulnerabilidades y parches.

  • En primer lugar, exige que las entidades financieras elaboren procedimientos para identificar, evaluar y mitigar vulnerabilidades, incluyendo la actualización constante de fuentes de información fiables, la realización de escaneos automatizados (al menos semanales para activos críticos), y la verificación de que los proveedores TIC gestionan adecuadamente sus propias vulnerabilidades. También se requiere el seguimiento del uso de bibliotecas de terceros, especialmente en servicios TIC esenciales, y la divulgación responsable de vulnerabilidades cuando sea necesario. Además, se deben priorizar los parches según la gravedad de la vulnerabilidad y el perfil de riesgo del activo afectado, y registrar todas las vulnerabilidades detectadas junto con su resolución.
  • En cuanto a la gestión de parches, el artículo exige procedimientos que permitan identificar y evaluar actualizaciones mediante herramientas automatizadas, establecer protocolos de emergencia, probar e implementar los parches conforme a las normas de seguridad y definir plazos claros para su instalación. En caso de incumplimiento de estos plazos, deben existir mecanismos de escalado jerárquico para su resolució

Además, concreta en su artículo 11 la necesidad de establecer procedimientos específicos para salvaguardar la integridad, confidencialidad y disponibilidad de la información.

  • Dichos procedimientos deben ser coherentes con la clasificación de datos establecida conforme al Reglamento DORA e incluir medidas técnicas y organizativas que garanticen configuraciones seguras, restricción de accesos, control de software autorizado, protección frente a códigos maliciosos y uso controlado de dispositivos.
  • También se exige prestar especial atención a entornos de teletrabajo y a la gestión de activos operados por terceros, respetando en todo momento el principio de responsabilidad plena de la entidad financiera respecto de sus proveedores de servicios TIC.
  • Asimismo, se prevén requisitos precisos sobre la eliminación segura de datos y soportes, así como sobre la prevención de fugas de información y el aseguramiento de la resiliencia digital.

Complementariamente, el artículo 12 impone un marco riguroso para la gestión de registros, como salvaguarda frente a intrusiones y usos indebidos. Las entidades deben identificar qué hechos registrar, han de proteger la integridad de los datos y tienen que garantizar su conservación durante periodos adecuados, en función de la finalidad del registro y del nivel de riesgo asociado. La trazabilidad debe extenderse al acceso lógico y físico, al rendimiento de redes, a la gestión de la capacidad y al ciclo de vida de los sistemas TIC. Para asegurar la fiabilidad y utilidad de estos registros, el Reglamento exige mecanismos contra la manipulación o el acceso no autorizado, así como la sincronización precisa del tiempo en todos los sistemas, asegurando su coherencia con fuentes de referencia fiables.

 En los artículos 17 a 19, el Reglamento trata específicamente la seguridad de redes y sistemas de información (SGSI), con énfasis en la protección frente a ciberamenazas, la implementación de mecanismos de autenticación robusta y el despliegue de medidas de defensa en profundidad. Por su parte, los artículos 20 a 23 regulan la gestión del desarrollo y mantenimiento de software, exigiendo procedimientos seguros durante las fases de desarrollo, prueba y modificación tanto de software propio como de soluciones de terceros.

Políticas y  Planes de continuidad operativa.

Los artículos 24 a 26 del Reglamento Delegado (UE) 2024/1774 desarrollan de forma precisa los requisitos que deben cumplir las políticas y planes de continuidad operativa en materia de TIC.

  • El artículo 24 establece el contenido mínimo que deben incluir dichas políticas, tales como los objetivos perseguidos, sus eventuales limitaciones, los criterios para su activación y desactivación, así como los procedimientos de comunicación tanto interna como externa en situaciones de crisis. Asimismo, exige la definición de escenarios de disrupción y de objetivos concretos de recuperación, la planificación de pruebas periódicas y su validación documental.
    • Estas políticas deben estar armonizadas con las relativas a la subcontratación, en línea con lo dispuesto en el artículo 28 del propio Reglamento.
  • Por su parte, el artículo 25 impone la obligación de realizar pruebas de los planes de continuidad TIC al menos una vez al año. Estas pruebas deben estar basadas en análisis de impacto en el negocio y contemplar escenarios graves pero verosímiles. Además, deben incluir simulaciones que involucren a terceros proveedores de servicios TIC, lo que refuerza la preparación frente a fallos externos. Es fundamental que los resultados de estas pruebas se documenten adecuadamente, que se subsanen las deficiencias detectadas y que cualquier fallo material se comunique sin demora al órgano de dirección.
  • El artículo 26 exige que las entidades dispongan de planes de respuesta y recuperación ante incidentes TIC que definan con claridad las condiciones de activación, aseguren la restauración de la disponibilidad e integridad de los sistemas críticos y contemplen alternativas operativas cuando las medidas primarias no sean viables. Estos planes deben abordar también la respuesta ante incidentes complejos como fallos de infraestructuras, ciberataques o pandemias, e incluir tiempos objetivos de recuperación (RTOs) claramente definidos para cada función crítica o importante (CFI).

Mongolfiera

Los requisitos reforzados para ciertas entidades se contemplan en el art 27:

  • Contrapartes centrales (CCPs): recuperación de servicios esenciales en un máximo de 2 horas, con centros de respaldo en ubicaciones geográficas con riesgo diferenciado.
  • Depositarios centrales de valores (CSDs): enfoque de continuidad con especial atención a sus interdependencias sistémicas.
  • Centros de negociación: capacidad de reanudar operaciones en menos de 2 horas, con pérdida mínima de datos.

Por otro lado, los artículos 28 a 30 establecen las bases de la gobernanza interna y el control del riesgo TIC, señalando que el órgano de dirección de cada entidad es el responsable último del marco de gestión implantado. Este marco debe estar respaldado por una clara asignación y documentación de funciones, garantizar la formación continua y la competencia técnica del personal implicado, así como prever la existencia de una función de auditoría interna independiente que verifique regularmente el cumplimiento de las obligaciones establecidas en materia de riesgo TIC.

Gobernanza Interna y control 

Los artículos 28 a 30 del Reglamento Delegado (UE) 2024/1774 establecen los principios de gobernanza y supervisión interna del marco de gestión del riesgo relacionado con las TIC en las entidades financieras.

  • En primer lugar, el artículo 28 atribuye al órgano de dirección la responsabilidad última sobre la gestión del riesgo TIC. Este órgano debe aprobar y revisar periódicamente el marco de gestión del riesgo, asegurando su adecuación a la naturaleza, escala y complejidad de la entidad. Además, debe supervisar su aplicación efectiva y garantizar que se disponga de los recursos necesarios para su implementación.
  • El artículo 29 exige que las funciones y responsabilidades relacionadas con la gestión del riesgo TIC estén claramente asignadas, documentadas y comunicadas dentro de la organización. Esto incluye tanto a los niveles operativos como a los de supervisión, con el fin de evitar solapamientos o lagunas en la gestión. Asimismo, se establece que el personal implicado debe contar con la formación continua y la competencia técnica adecuadas, lo que implica programas de capacitación adaptados a los riesgos y tecnologías emergentes.
  • Por último, el artículo 30 impone la obligación de contar con una función de auditoría interna independiente, encargada de evaluar periódicamente la eficacia del marco de gestión del riesgo TIC. Esta auditoría debe ser objetiva, estar debidamente documentada y sus resultados deben comunicarse al órgano de dirección. Además, debe incluir recomendaciones para corregir deficiencias y hacer seguimiento de su implementación.

ESMA publicó sus directrices para prevenir el abuso de mercado en criptoactivos, en desarrollo del Reglamento MiCA

ESMA publica , el 29 abril 2025, directrices para prevenir el abuso de mercado en criptoactivos, en desarrollo del Reglamento MiCA

 

Se trata del  Informe Final sobre las Directrices relativas a las prácticas de supervisión para prevenir y detectar el abuso de mercado en virtud del Reglamento (UE) 2023/1114 sobre los mercados de criptoactivos (MiCA)) .  Este documento constituye una pieza importante en la regulación europea para los criptoactivos. Establece un marco armonizado de actuación para las autoridades nacionales competentes (NCAs) a los efectos de prevenir prácticas abusivas en los mercados de criptoactivos. La publicación se enmarca en el proceso de implementación progresiva del Reglamento (UE) 2023/1114 (MiCA).

Antecedentes

MiCA establece normas uniformes para el mercado de criptoactivos en la UE, un tipo de activos que hasta entonces carecía de regulación (se incluyen en su ámbito los tokens de referencia de activos y los tokens de dinero electrónico),. La regulación abarca la transparencia, la divulgación, la autorización y la supervisión de las transacciones para la protección del mercado y de los consumidores.

Las disposiciones de MiCa se aplican a cualquier persona que realice actos relacionados con criptoactivos admitidos a negociación o respecto de los cuales se haya presentado una solicitud de admisión a negociación, independientemente de que dichas operaciones se realicen o no en una plataforma de negociación, y tanto si se realizan en la UE como en terceros países .El abuso de mercado puede revestir  la forma de utilización de información privilegiada (arts 87 a 90 MiCa), o de otros tipos de manipulación (art 91 MICA)

MiCa reconoce como “información privilegiada” aquella de carácter concreto, aún no divulgada públicamente, que se refiera a emisores, oferentes, solicitantes de admisión a negociación o a los propios criptoactivos, y cuya publicación pudiera afectar significativamente su cotización. Esta definición incluye también información concreta transmitida por clientes respecto a órdenes pendientes. Se exige que los emisores, oferentes o solicitantes de admisión a negociación hagan pública, con prontitud y de forma comprensible, la información privilegiada que les concierna directamente, garantizando su disponibilidad durante al menos cinco años en sus sitios web. Se admite, no obstante, la posibilidad de retrasar su publicación bajo determinadas condiciones, siempre que se preserven la legitimidad del interés, la claridad informativa y la confidencialidad, debiendo informar posteriormente a la autoridad competente y justificar el cumplimiento de los requisitos. Asimismo, se prohíbe expresamente el uso de información privilegiada para operar en el mercado, ya sea mediante adquisición, cesión o transmisión de criptoactivos, incluidas las recomendaciones o incitaciones a terceros para actuar basándose en dicha información. Con estas disposiciones, MiCA busca consolidar un marco homogéneo en la Unión Europea que preserve la integridad y transparencia del incipiente mercado de criptoactivos, equiparándolo en garantías a los mercados financieros tradicionales.

Luminaria, Pisa

Las directrices se fundamentan en dos disposiciones esenciales:

  • En primer lugar, el artículo 92(3) del Reglamento MiCA, que faculta expresamente a la ESMA para emitir directrices dirigidas a las autoridades nacionales con el fin de garantizar una aplicación coherente de las obligaciones relativas a la prevención del abuso de mercado. Los apartados 1 y 2 del mismo precepto, además, imponen a los proveedores de servicios de criptoactivos (CASPs) y a los emisores, la obligación de establecer sistemas eficaces para prevenir y detectar conductas como la manipulación de mercado, el uso indebido de información privilegiada o la difusión de información engañosa.
  • En segundo lugar, en el artículo 16 del Reglamento (UE) n.º 1095/2010, que regula el funcionamiento de la ESMA y le otorga la competencia para emitir directrices y recomendaciones dirigidas tanto a las autoridades como a los participantes del mercado, con el objetivo de fomentar prácticas supervisoras coherentes y eficaces en toda la Unión Europea.

Entre las diferentes medidas previstas en MiCA, las entidades deben adoptar y cumplir con una política de prevención y prohibición de abuso de mercado, y sus comportamientos relativos a esa política y prohibiciones serán supervisadas por los estados.

El objetivo principal de estas directrices es proporcionar a las Autoridades Estatales que supervisan la aplicación de MICA y, en concreto, las prohibiciones de abuso un marco metodológico común para supervisar los mercados. Y, más específicamente, los mercados de criptoactivos, teniendo en cuenta las particularidades de este sector. Entre los riesgos específicos que se abordan destacan la naturaleza transfronteriza de los criptoactivos, que dificulta la trazabilidad de las operaciones; el uso intensivo de redes sociales; y la alta volatilidad y opacidad de ciertos instrumentos, que pueden facilitar conductas abusivas difíciles de detectar con los métodos tradicionales de supervisión.

Las directrives se estructuran en torno a ocho principios operativos:

  • El primero es el de proporcionalidad, que exige adaptar las medidas de supervisión al perfil de riesgo y a las características del mercado supervisado.
  • El segundo principio establece un enfoque general de prevención y detección, que insta a las autoridades a adoptar estrategias proactivas y coordinadas.
  • El tercer principio promueve la integración de prácticas existentes, especialmente aquellas desarrolladas bajo el Reglamento de Abuso de Mercado (MAR), lo que permite aprovechar la experiencia acumulada en mercados financieros tradicionales.
  • El cuarto principio aboga por una cultura supervisora común, basada en la cooperación entre autoridades y en el intercambio de información y buenas prácticas.
  • El quinto principio introduce una supervisión basada en riesgos, que implica priorizar recursos en función de los riesgos más relevantes.
  • El sexto principio fomenta un diálogo abierto con el mercado, para identificar riesgos emergentes y promover el cumplimiento normativo.
  • El séptimo principio impulsa iniciativas de promoción de la integridad del mercado, como campañas de concienciación y formación. Finalmente, el octavo principio recomienda el uso de herramientas tecnológicas avanzadaspara la vigilancia y el análisis de datos en tiempo real, con el fin de detectar patrones sospechosos de comportamiento.

Conforme al procedimiento establecido en el artículo 16 del Reglamento de la ESMA, las autoridades nacionales deberán notificar a ESMA , en un plazo de dos meses, si cumplen, si tienen la intención de cumplir, o si no seguirán las directrices. Esta obligación de notificación permite a la ESMA evaluar el grado de armonización en la aplicación del Reglamento MiCA en los distintos Estados miembros.

Ver

  • ECHEBARRÍA SAENZ, M.,»El abuso de mercado en la propuesta de Reglamento MiCA”, Guía de Criptoactivos MICA, Madrid Parra, A. Pastor Sempere, C. (Dir), Thomson-Reuters-Aranzado, 2021
  • TAPIA HERMIDA, A ,https://ajtapia.com/2024/09/criptoactivos-la-aplicacion-del-reglamento-europeo-sobre-mercados-de-criptoactivos-reglamento-mica-a-partir-del-30-de-diciembre-de-2024-5-funcionamiento/

 

 

Accionistas y política ambiental: Acceso a documentos de un banco para verificar el cumplimiento de las declaraciones ambientales

En este breve comentario se presta atención a una solicitud de acceso a documentos corporativos, por parte de un grupo de accionistas de un banco australiano. Se trataba de averiguar la fidelidad y verdad de las declaraciones de los representes del banco en relación con el cumplimiento de sus políticas medioambientales y sociales, especialmente en lo relativo a ciertos requisitos de las inversiones.

En 2019, el Commonwealth Bank of Australia (CBA) anunció públicamente su

Azaleas

Marco Medioambiental y Social, que incluía el  compromiso de que (sus)  políticas de préstamos empresariales apoyarán la transición responsable hacia una economía de emisiones netas cero para 2050, para lo cual… solo prestaremos servicios  bancarios y de financiación en el sector de los proyectos de explotación de petróleo, gas o carbón fósil cuando estén respaldados por una evaluación de los impactos ambientales, sociales y económicos de dicha actividad que demuestre su coherencia con los  objetivos del Acuerdo de París.

En este contexto, los señores Guy y Kim Abrahams accionistas del banco y representantes (fideicomisarios) del Abrahams Family Trust observaron que algunas inversiones que se estaban realizando suscitaban dudas en cuanto a su compatibilidad y coherencia con la declarada política ambiental del banco.

  • El banco estaba, en efecto, proporcionando más de 50 millones de dólares (septiembre de 2019) abriendo una línea de crédito de 545 millones de dólares para la construcción y desarrollo inicial del nuevo gasoducto Permian Highway Pipeline, de 692 km. Esta infraestructura ya ha sido terminada y transporta 2. 1.000 millones de pies cúbicos diarios de gas natural a través de Texas, en Estados Unidos.
  • Además CBA era uno de los promotores y miembros principales  de un sindicato de préstamos que proporciona financiación (deuda) por valor de 1.050 millones de dólares para construir nuevos buques de GNL por parte de Gaslog Ltd (2019)
  • También lideraba el pool de financiadores para los nuevos buques de GNL de FLEX LNG Ltd de (2020), entre otros proyectos 

El 26 de agosto de 2021, Guy y Kim Abrahams  presentaron una solicitud ante el Tribunal Federal de Australia para acceder a documentos del banco, apoyándose  en lo dispuesto en la Ley de Sociedades de Australia de 2001. Concretamente pedían acceder a documentos vinculados con la  participación del banco en los mencionados proyectos (y en otros que suscitaban similares preocupaciones).  A raíz de la audiencia de 4 de noviembre de 2021, el Tribunal Federal de Australia accedió a la solicitud de inspección de documentos, estableciendo los periodos y etapas al efecto (entre el 9 de diciembre de 2021 y el 10 de febrero de 2022).

 

Primeros desarrollos reglamentarios y de normas técnicas de DORA. Listados

Las normas de desarrollo del DORA, aprobadas por la Comisión Europea  con el apoyo en las normas técnicas de las autoridades independientes financieras  han sido ya en su mayoría  adoptadas, o al menos han sido publicadas los borradores finales de normas técnicas:

Rio Arno, Luminaria, di San Rainieri, 2024

 

 

¿Es viable una supervisión centralizada de los proveedores TIC para sector financiero? Informe ESMA

La creciente dependencia de las entidades financieras en tecnologías digitales ha incrementado la exposición a riesgos cibernéticos. Como es sabido, el Reglamento (UE) sobre Resiliencia Digital Operativa (DORA) establece un marco regulatorio para reforzar la resiliencia digital del sector financiero, exigiendo la notificación de incidentes TIC significativos a las autoridades competentes. Actualmente, estas notificaciones se realizan a nivel nacional, lo que puede generar dificultades en la supervisión que de lugar a respuestas descoordinadas dentro de la UE. En cambio, parecería que la centralización de la notificación de incidentes TIC tendría impacto significativo en la resiliencia digital del sector financiero especialmente en el sentido de fortalecer la confianza en la seguridad de los sistemas financieros europeos.

Sanabria. Desde el restaurante del camping

Sobre la base de tales reflexiones, el 17 de enero de 2025, las tres Autoridades Europeas de Supervisión (EBA, EIOPA y ESMA) publicaron un informe conjunto sobre la viabilidad de una mayor centralización en la notificación de incidentes importantes relacionados con las Tecnologías de la Información y la Comunicación (TIC) . El informe plantea la pregunta de si sería viable una mayor centralización en la notificación de incidentes significativos relacionados con las Tecnologías de la Información y la Comunicación (TIC) dentro del sector financiero de la Unión Europea (UE). Esta evaluación se lleva a cabo en el marco del Artículo 21 de la Ley de Resiliencia Operativa Digital (DORA) . Destaca la necesidad de mejorar la eficiencia y coherencia en la notificación de incidentes TIC dentro del sector financiero a cuyos efectos formula tres posibles modelos sobre los que analiza su viabilidad:

  • Modelo de referencia básica (baseline): consiste en mantener las estructuras actuales de notificación de incidentes sin cambios significativos, aunque con ciertas mejoras en los estándares de notificación. En este modelo, cada entidad financiera continuaría notificando incidentes TIC a su autoridad nacional competente, que luego transmitiría la información a las autoridades europeas de supervisión. Aunque este modelo respeta la estructura regulatoria actual, su principal desventaja es la falta de una respuesta coordinada a nivel europeo y posibles duplicaciones en la notificación.
  • Modelo mejorado intercambio de datos: cuya esencia radica en la introducción de mecanismos avanzados para compartir información entre las autoridades competentes. Resultaría aparentemente sencillo de poner en marcha , dado que no exige grandes cambios en la arquitectura de las notificaciones. Sin embargo, su mayor coste y dificultad técnica deriva de que actualmente existen distintos modelos y estándares nacionales cuya armonización exige esfuerzos e inversión. Y cuya perfecta compatibilidad no está garantizada a día de hoy.
  • Modelo totalmente centralizado que plantea la creación de una plataforma única en toda la Unión Europea para la recopilación y gestión de informes de incidentes relacionados con las TIC. Conforme a este planteamiento, las entidades financieras reportarían directamente a un organismo central, eliminando la necesidad de notificaciones a nivel nacional. La mayor centralización, además de viable, ofrece ciertos beneficios. Con todo, también identifica que la alta concentración de información sensible conlleva un mayor riesgo de pérdida de datos, lo que requeriría la puesta en marcha de controles integrales de seguridad de la información en una solución centralizada. Y, que implica retos significativos en términos de costos y armonización regulatoria.

El estudio, que  ha sido remitido al Parlamento Europeo, al Consejo Europeo y a la Comisión Europea para su consideración en futuros desarrollos regulatorios formula recomendaciones clave, que incluyen:

  • Evaluación de costos y beneficios antes de poner en marcha cualquier cambio en la estructura de notificación.
  • Desarrollo de infraestructura tecnológica que facilite la interoperabilidad entre sistemas nacionales y europeos.
  • Promoción de la cooperación regulatoria para garantizar una transición eficiente hacia modelos más centralizados.

La Comisión Nacional del Mercado de Valores (CNMV) de España realizó (poco antes de haberse hecho público el informe mencionado, un ejercicio de autoevaluación con 245 entidades financieras para evaluar su preparación ante la entrada en vigor de DORA. El informe reveló buenas medidas de gobernanza y ciberseguridad en general, pero también identificó carencias en la gestión de incidentes y en la gestión del riesgo de proveedores de servicios TIC, especialmente en entidades de menor tamaño que no pertenecen a un grupo.

 

 

Responsabilidad ambiental de sociedades y de sus administradores. RU (II)

Fundamentos para la exigencia de responsabilidad ambiental contra administradores. A propósito de  Reino Unido (II)

 

  • Incumplimiento de deberes (fiduciarios) de los administradores. Como ejemplo cabe recordar que, en marzo de 2024, la ONG ClientEarth anunció que estaba dando el primer paso para iniciar acciones legales en el Reino Unido contra 13 de los directores de Shell, alegando incumplimientos de los deberes de los administradores y directivos por no haber preparado suficientemente el riesgo de transición de Shell a cero emisiones netas. Si el caso prospera, será el primero en el Reino Unido en el que se pretenda responsabilizar personalmente a los consejeros por no haber gestionado adecuadamente el riesgo climático. Ver.
    • El principal fundamento jurídico sustantivo consistió en la acusación de infracción de deberes de los administradores, dado que el artículo 172 de la Ley de Sociedades de 2006 exige a los administradores que actúen de la forma más adecuada para promover el éxito de la empresa, teniendo en cuenta el impacto sobre la comunidad y el medio ambiente. Para ello, los administradores deben actuar con la diligencia, destreza y cuidado razonables.
    • Conforme a los demandantes, los administradores habrían debido adoptar medidas para abordar cuestiones medioambientales como el cambio climático para evitar daños o pérdidas causados a la sociedad.
    • Esta reclamación de la ONG ClientEarth contra los miembros del consejo de Shell por no haber aplicado políticas adecuadas para cumplir las obligaciones de cero emisiones netas poniendo así en peligro el valor a largo plazo de Shell .
  • Otras reclamaciones climáticas pueden derivar de la falta de trasparencia corporativa como ponen de manifiesto los trabajos del Grupo de Trabajo sobre Divulgación de Información Financiera Relacionada con el Clima (TCFD).
    • Desde su publicación en 2017, las recomendaciones del TCFD han sido adoptadas por numerosas organizaciones, convirtiéndose en un estándar de facto para la divulgación de información financiera relacionada con el clima. Se estructuran en torno a :
      • Gobernanza: Divulgar la gobernanza de la organización en torno a los riesgos y oportunidades relacionados con el clima
      • Estrategia: Divulgar los impactos reales y potenciales de los riesgos y oportunidades relacionados con el clima en los negocios, la estrategia y la planificación financiera de la organización
      • Gestión de riesgos: Divulgar cómo la organización identifica, evalúa y gestiona los riesgos relacionados con el clima.
      • Métricas y objetivos: Divulgar las métricas y objetivos utilizados para evaluar y gestionar los riesgos y oportunidades relacionados con el clima.
    • Incluso si estas recomendaciones son autoasumidas por las empresas,  existen importantes obstáculos jurídicos para presentar demandas por falta de trasparencia (o por informaciones erróneas)  sobre riesgos climáticos pues, esa información tendría que estar dirigida a un demandante específico que se hubiera apoyado en ella y que, en consecuencia hubiera sufrido daños. La individualización de los efectos parece poco probable a la luz de la documentación que cumplimentan las empresas en relación con los riesgos climáticos (que suene ser informes de tipo general).
  • Alternativamente, se podría presentar una demanda en el Reino Unido  en virtud de la sección 90A de la Ley de Servicios y Mercados Financieros de 2000 (FSMA), que se ocupa de la información errónea publicada que afecta al mercado. Sin embargo, este tipo de demandas sólo pueden interponerse contra un emisor concreto y siempre que su actuación (o la de sus dirigentes responsables de la publicación de información ) sea deshonesta o temerariamente imprudente temeraria dando lugar a inexactitues en la información.

Defensas y protección de los administradores frente a la exigencia de responsabilidad por daños ambientales

 

Garexo no verán

Garexo no verán

  • La sección 463 de la Ley de Sociedades del Reino Unido de 2006 ofrece un posible puerto seguro para los administradores. En virtud de esta disposición, sólo serán responsables ante la empresa por la información contenida en el informe de gestión, el informe de remuneración de los directores, el informe estratégico, la declaración de gobierno corporativo (u otros informes corporativos preceptivos) ,  en la medida en que conociesen que la información es inexacta o falsa  (o si  ignorasen,  por su propia negligencia, que la declaración era falsa o deshonesta (sección 90A).
Corporate Indemnification (y límites)
  • Algunos administradores se benefician de una indemnización corporativa pactada. O pueden resultar protegidos mediante la contratación de seguros. Sin embargo, existen una serie de límites a estas protecciones. Aunque está admitido que la sociedad puede pagar los costes de los administradores derivados de su defensa en procedimientos civiles (corporate indemnification),  si se dicta sentencia firme contra el administrador o administradores en cuestión, dichas sumas deben ser reembolsadas.
  • Ello es así porque artículo 232 de la Ley de Sociedades de 2006 prohíbe a las sociedades indemnizar a los administradores por su responsabilidad por negligencia, incumplimiento, vulneración del deber o abuso de confianza en relación con la sociedad o una de su grupo.
  • Por otro lado, es lícito que la sociedad financie los gastos de defensa de los administradores en procedimientos iniciados por la autoridad reguladora. Pero, no le está permitido indemnizar al administrador por las sanciones impuestas por la autoridad reguladora (ni abonarlas).
Seguros
  • Las pólizas de administradores y directivos (D&O) aseguran a los administradores (tanto ejecutivos como no ejecutivos) y/o a los directivos corporativos frente a su responsabilidad y a los costes de defensa. La cobertura ofrecida suele ampliarse para cubrir investigaciones, incluidas las penales, reclamaciones relacionadas con mercados de valores, entre otras.
  • Los litigios climáticos contra empresas y sus directivos han implicado hasta la fecha la articulación novedosa de causas  que se hacen valer en procedimientos clásicos (como el incumplimiento de deberes fiduciarios y estatutarios, acciones derivadas, reclamaciones sobre folleto, e investigaciones del regulador) , Estos procedimientos entran de lleno en las que pudieron ser diseñadas en las pólizas de D&O.

Mas:

 

¿Responsabilidad civil de administradores por incumplimientos que perjudican al medio ambiente?. Reino Unido.

autumn trecking

En varias jurisdicciones, como la británica,  la responsabilidad civil de administradores por daños ambientales ha alcanzado los tribunales. Ya contamos con alguna jurisprudencia sobre ese tema.

ClientEarth v Shell. La ONG verde ClientEarth reclamó la responsabilidad civil de los consejeros de la energética Shell. Les acusaba de no haber hecho lo necesario para preparar la transición energética en esa compañía y grupo.

En su calidad de accionista minoritario de Shell, la organización ecologista alegó que los administradores habían incumplido las obligaciones que les impone la Ley de Sociedades del Reino Unido (Companies Act , CA, de 2006). Las pretensiones de la demandante fueron desestimadas, con condena en costas contra ClientEarth. Este asunto es también comentado aquí

McGaughey  v Universities Superannuation Scheme. En 2023, los tribunales británicos desestimaron una demandar presentada por beneficiarios del llamado Universities Superannuation Scheme (USS), un fondo de pensiones de empleo. Argumentaban los reclamantes que los administradores de la gestora de USS había incumplido sus obligaciones al seguir invirtiendo en combustibles fósiles. Se trata del asunto McGaughey & Anor v Universities Superannuation Scheme Ltd & Ors [2023] EWCA Civ 873 (21 July 2023) , dirimido ante el Court of Appeal o Tribunal de Apelación en una decisión que puede leerse aquí

El University Superannuation Scheme (USS) es uno de los mayores planes de pensiones  privados del Reino Unido (planes de pensiones de empleo). Se especializa en las prestaciones de jubilación al personal académico y similar de las universidades y otras instituciones de enseñanza superior. El fondo está administrado por su fideicomisario corporativo, una gestora denominada Universities Superannuation Scheme Limited («USSltd»). Esta gestora adopta una forma de personificación corporativa vigente en Reino Unido, que permite la creación de sociedades limitadas por garantía y sin que sus socios sean titulares de partes alícuotas del capital social.

Los demandantes, personal académico de las universidades, eran partícipes en el USS. Canalizaron sus pretensiones solicitando ante los tribunales que se tuviese por interpuesta una demanda derivativa (es decir, en beneficio de USSltd), contra los administradores de la misma sociedad. Acusaban a éstos de haber incumplido sus deberes como tales administradores, y apoyaban su reclamación en una serie de argumentos:

  • Por un lado, que pese al objetivo publicamente declarado de la USS ltd de que sus fondos alcanzasen la neutralidad («carbono neutral») en 2050, el USS continúa invirtiendo en combustibles fósiles y los administradores de la gestora no habían puesto en marcha ningún plan de desinversión. Por ello, los demandantes consideraban que los administradores incumplían las obligaciones establecidas en los artículos 171 y 172 de la CA de 2006.
  • Por otro que con su comportamiento, los administradores de la gestora no tuvieron en cuenta una serie de consideraciones pertinentes, incluidos los resultados de una encuesta que se había realizado a los miembros partícipes del fondo en relación con aspectos éticos y con sus preferencias de inversión.
  • También aducían que los intereses a largo plazo de la sociedad USSltd y del fondo  podrían satisfacerse mediante «un programa inmediato de desinversión» , resultando, según los demandantes, que la única «medida racional» que los administradores podían adoptar en virtud de los artículos de la CA de 2006 que regulan obligaciones de administradores (arts 171 y 172) consistía en «idear y aplicar dicho programa lo antes posible».
  • Que carecer de «un programa inmediato de desinversión» había perjudicado el éxito de la sociedad, que había sufrido pérdidas como consecuencia de ello.
  • Además, los relamantes alegaban que los administradores  de la sociedad gestora del fondo habían antepuesto sus propias creencias con respecto a los combustibles fósiles, por encima de las preferencias e intereses de los beneficiarios y de la propia sociedad.

En suma, los demandantes solicitaban que se declarase que la ausencia de «un programa inmediato de desinversión» constituía un incumplimiento de los deberes estatutarios y fiduciarios, y que tales incumplimientos causaron pérdidas a la sociedad.

Las pretensiones de los reclamantes no tuvieron exito y el Court of Appeal estableció una serie de conclusiones:

  • La acción que se intentó hacer valer no puede caracterizarse como una acción derivativa dado que no cumple los requisitos de este tipo de petición, conforme al ordenamiento jurídico británico. Señalaba el Tribunal que no existían prima facie, daños causados o pérdidas para la sociedad como resultado de las supuestas infracciones de los deberes de los administradores. Y por lo tanto, no era procedente la interposición de una acción derivativa a favor de USSltd.
  • Los demandantes tampoco evidenciaron mala fe de los administradores, ni que hubieran actuado de modo distinto a lo que consideraban el mejor interés de la sociedad o del fondo de pensiones USS.
  • El criterio de los administradores se había formado tras haber recibido el asesoramiento adecuado, como  corresponde a una administración diligente.
  • Los demandantes no habían probado que las supuestas infracciones de los administradores favorecieran sus propios intereses. Ni tampoco, que las acciones de los administradores se realizasen anteponiendo las propias convicciones de éstos con respecto a los combustibles fósiles, por encima de los intereses de los beneficiarios y de la sociedad. En suma, si bien los demandantes ponían en cuestión la gestión de la sociedad fideicomisaria y sus decisiones de inversión, sus argumentos carecían de fundamento. Nada sugería que hubieran ejercido sus poderes de forma indebida.

El Court of Appleal añadió que las reclamaciones podrían haber sido sustanciadas por otra vía procesal más adecuada. Concretamente, podría haberse formulado como una demanda directa por abuso de confianza, vía procesal disponible en Reino Unido. Para objetar frente a la política de inversión de una sociedad gestora de fondos la demanda directa, con sus exigencias procesales, podría haber tenidido más razón de ser.  En su lugar, interpusieron una acción derivativa, que permitiría ahorrar ciertos trámites procesales, pero que no es la vía procesal adecuada en este asunto.

Litigios de inversión en valores (security litigation)

En mayo de 2024, los inversores institucionales de Boohoo Group PLC presentaron una demanda colectiva de valores solicitando una indemnización de alrededor de 100 millones de libras esterlinas por las pérdidas financieras causadas por la no divulgación por parte de la empresa de violaciones de los derechos humanos y de la esclavitud moderna en las fábricas de sus proveedores, que, cuando se expusieron en la prensa, hicieron que el precio de las acciones cayera más de un 40%.

Los inversores pretenden recuperar estas pérdidas, alegando que se derivan de las declaraciones u omisiones falsas o engañosas sobre la empresa. Ciertamente, su demanda aborda cuestiones ASG más amplias. Pero, cuando esté resuelta las conclusiones serán aplicables a la supuesta falta de divulgación o tergiversación de cualquier riesgo material, incluido el riesgo climático. Se trata de la primera demanda de valores de este tipo (de la que se tiene noticia) en el Reino Unido.

  • Más sobre este asunto aquí.

 

Iluminación navideña

Guías y Recomendaciones Soft

Más allá de los asuntos judicializados, en 2023 la Law Society publicó una guía para abogados sobre cómo asesorar a los consejos de administración de las empresas sobre el riesgo climático. Esta guía constituye un marco para ayudar a las empresas a evaluar su impacto mediambiental (ver la noticia publicada en The Guardian).

Sin olvidar que un creciente número de empresas está adoptando las recomendaciones del Grupo de Trabajo sobre Divulgación de Información Financiera Relacionada con la Naturaleza para lograr una mayor transparencia sobre sus riesgos relacionados con la naturaleza (ver aquí las recomendaciones)

 

Más información: The transformation of European climate litigation (LSE/Grantham Research Institute on Climate Change and the Environment)

Entrada realizada con el apoyo del Proyecto orientados a la transición ecológica y a la transición digital, financiado por el Ministerio de Ciencia e Innovación, Agencia Estatal de Investigación. Proyecto competitivo nacional, con referencia:  TED2021-130344B-I00, titulado DESAFÍOS Y RETOS DE LA ORDENACIÓN DE LAS INNOVACIONES DE CAMBIO CLIMÁTICO,

 

 

 

Los Estados de Información No Financiera, fundamento normativo y actualidad en el Informe anual de 2023 de la CNMV

Galería

La Comisión Nacional del Mercado de Valores (CNMV) ha publicado el “Informe sobre la supervisión por la CNMV de la información no financiera y principales áreas de revisión del ejercicio siguiente. Ejercicio 2022”. La obligatoriedad de elaborar el Estado de … Sigue leyendo