TRIBUNA de María Gracia Rubio, socia RdC Abogados.
Hace pocos días, en estas páginas, Miguel Sanchez Monjó daba cuenta con precisión de la respuesta de ESMA a la Consulta que la Comisión Europea publicó el pasado 23 de marzo, declinando distintos aspectos de una misma pregunta: ¿es la regulación financiera europea la adecuada para favorecer el uso de nuevas tecnologías? El pasado viernes 16, otro supervisor europeo, la EBA, daba su propia respuesta, en forma de proyecto o borrador (draft response), centrándose en aquellos aspectos que caen bajo su ámbito de actuación.
El primero es el asesoramiento/gestión automatizados, el fenómeno por el cual los algoritmos o herramientas de automatización reemplazan la relación humana entre el proveedor del servicio y el consumidor que recibe o cree recibir asesoramiento o recomendaciones. La EBA empieza por evocar el Informe que sobre esta materia publicaron en diciembre de 2016 las tres autoridades europeas de supervisión (EBA, ESMA, EIOPA),cuya conclusión fue que por ahora no es necesaria una actuación reguladora transversal, aunque cada una de las autoridades debía continuar vigilando el desarrollo en su propio ámbito de competencia.
El segundo es el uso por las entidades financieras de herramientas de análisis basadas en Big Data, sobre el que las tres autoridades europeas de supervisión han publicado asimismo (diciembre de 2016) un Discussion Paper. Los principales riesgos identificados por aquellas tienen que ver, paradójicamente, con la personalización creciente de los servicios que las entidades ofrecen a los consumidores, que puede dificultar a estos la comparación entre servicios. Igualmente, esa personalización puede inducir a los consumidores a error acerca de la naturaleza, asesorada o no, de la oferta de servicios recibida. Y finalmente, ese carácter personalizado de la invitación puede inducir a consumidores desinformados a tomar decisiones de inversión que no están en su interés. La EBA, en su propio campo de actuación, ha observado riesgos adicionales:
- los consumidores no están suficientemente informados -o enterados- de cómo se usan sus datos;
- los datos de los consumidores podrían ser mal utilizados, o utilizados para finalidades que ellos no consintieron; y
- los consumidores podrían ver limitada su capacidad de cambiar de proveedor de servicios, si la institución financiera no les permite la portabilidad de sus datos.
EBA se inclina por ahora por una regulación que enfatize la información al consumidor, y la convergencia entre supervisores nacionales para asegurar una aplicación común de las normas. En los próximos meses publicará, junto con las otras autoridades europeas, el resultado de su análisis de Big Data, que debería abordar también otros riesgos, tales como la discriminación en los precios, la exclusión financiera (riesgo también subrayado por ESMA) o la falta de transparencia en las clasificaciones de riesgo de crédito o las decisiones adoptadas.
El tercero es cómo están afectando las regulaciones nacionales existentes al desarrollo de la financiación participativa basada en préstamos. La EBA señala que esas regulaciones suelen perseguir el doble objetivo de permitir el desarrollo de la industria como fuente de financiación empresarial alternativa y proteger a los inversores de los riegos posibles de esta actividad, pero que su ámbito de aplicación es, por fuerza, territorial; lo que, sobre todo en el caso de los Estados Miembros más pequeños (EBA no lo cita, pero Letonia es un ejemplo evidente) ha forzado a las PFP a desarrollar su actividad de forma transfronteriza, con las dificultades que resultan de tener que adaptarse a los regímenes legales de cada Estado en el que operan.
EBA subraya las ventajas que tendría un régimen europeo armonizado, y deplora que la Comisión Europea no retomase la propuesta contenida en su Opinión de 2015. EBA retoma ahora aquella propuesta, recordando las medidas allí descritas para mitigar los riegos que para los inversores supone participar en plataformas de financiación participativa basadas en préstamos. Medidas que, dicho sea al paso, en España y en lo sustantivo, han sido ya adoptadas por el Banco de España y la Comisión Nacional del Mercado de Valores en su supervisión compartida (quizás, más propiamente dicha, doble) de esta actividad. EBA, al proponer de nuevo un pasaporte europeo para estas plataformas, evoca los límites que tendría la PSD para conferírselo, puesto que esta regulación no abordaría los riesgos asociados al proceso de evaluación de la solvencia de los prestatarios o al cese de actividad de la plataforma; a lo que habría que añadir, pese a que EBA no lo mencione, que no todas las plataformas prestarán necesariamente a sus clientes servicios de pago.
El establecimiento de este pasaporte, justificado porque las plataformas prestan servicios semejantes a los de entidades reguladas (tales como los servicios de pago o la intermediación de pagos), tendría la ventaja añadida de permitir incluir a las plataformas entre los sujetos obligados bajo la normativa de prevención de blanqueo de capitales.
EBA se pronunciará en los meses próximos, con más detalle, sobre los distintos regímenes nacionales de las plataformas de financiación participativa basadas en préstamos, y también sobre otras formas de financiación no bancaria, tales como los mercados secundarios entre particulares (peer-to-peer marketplace lending) o la financiación de circulante (invoice and supply chain finance).
EBA se pronuncia también sobre las exigencias de transparencia que deberían imponerse a los demandantes de financiación a través de las plataformas y a éstas. Evoca nuevamente su Opinión de 2015, donde proponía que se exigiera a las PFP llevar a cabo análisis de los riesgos de cada proyecto de financiación, por ejemplo clasificando a los prestatarios según su riesgo, y hacer públicos los criterios empleados en esa clasificación y las verificaciones llevadas a cabo sobre el prestatario. Igualmente, la PFP podría clasificar también a los inversores, con las categorías MiFID (institucionales, profesionales, no profesionales), y la PFP permitiría a cada inversor invertir únicamente en las categorías de préstamos que se ajustasen a su perfil de riesgo. Ahora, EBA propone que las PFP incluyan en su web declaraciones generales acerca del riesgo de los préstamos, que se ajustan exactamente a las previstas en la ley española (art. 83 Ley 5/2015) y declaraciones específicas acerca de las valoraciones de riesgo llevadas a cabo y, si no ha sido éste el caso, que la PFP lo ponga asimismo de manifiesto con claridad. En fin, EBA propone que se exija a los promotores datos relevantes acerca de su solvencia.
En cuanto al RegTech, el uso de nuevas tecnologías con finalidades regulatorias y de cumplimiento normativo, EBA manifiesta, como en el chiste, “ser partidaria”, y su disposición a trabajar con las autoridades competentes y la industria para identificar los usos más relevantes para mejorar la eficiencia en la supervisión y lograr un cierto grado de estandarización e interoperabilidad.
En cuanto a los servicios en la nube por parte de la industria financiera, EBA ha identificado que las entidades financieras tienen interés en su uso, pero se inquietan por la reacción de los supervisores, frenando su adopción. No puede ignorarse el riesgo de ciberataques, y por otra parte existen diferencias en los regímenes nacionales aplicables; EBA concluye que es necesaria una armonización de la regulación del uso de los servicios en la nube, a menos que la Comisión Europea considere que la normativa existente ya la ofrece. EBA evoca sus recientes Recomendaciones a la industria financiera sobre la delegación a proveedores de servicios en la nube (del pasado 17 de mayo), y señala que estas Recomendaciones, que fijan las condiciones que los supervisores esperan ver cumplir a las entidades, deberían permitir a éstas exigir de sus proveedores mejores condiciones de servicio, en particular respecto de las cinco áreas clave que EBA identifica: la seguridad de los datos y sistemas, la localización de los datos y su procesamiento, los derechos de acceso y auditoría, la subcontratación de terceros por el proveedor de servicios en la nube, y la necesidad de adoptar planes de contingencia y recuperación del servicio. La necesidad de cumplir estas condiciones podría ayudar, sobre todo a las entidades financieras de menor tamaño, en la negociación de los términos de sus contratos con los proveedores de servicios en la nube.
La capacidad de exigir que se cumplan las condiciones de servicio es particularmente relevante, porque la responsabilidad última de cumplir con las exigencias regulatorias permanece siempre con la entidad financiera delegante. Esto obliga a las entidades financieras a recoger formalmente en un contrato los términos de la delegación, a establecer líneas claras de supervisión de la entidad delegada y a exigir a la entidad delegada que permita al supervisor de la entidad delegante a acceder a los datos de la entidad delegada (y sus locales, cuando fueran relevantes). El hecho de que la entidad delegada preste sus servicios en la nube no debería suponer un impedimento a estas exigencias. EBA anuncia que publicará nuevas Recomendaciones sobre delegación en los meses siguientes.
En cuanto a la necesidad general de regular los servicios de Fintech, EBA hace dos constataciones: la primera es la necesidad de una regulación armonizada de las obligaciones de identificación de clientes de estos servicios para prevenir el blanqueo de capitales y la financiación del terrorismo. La Cuarta Directiva en la materia establece los objetivos en la identificación de clientes, pero permite a los Estados Miembros adoptar sus propios estándares de cumplimiento; esto ha llevado a que algunos Estados Miembros hayan adoptado reglas que sofocan la utilización de herramientas innovadoras o de FinTech en la identificación de clientes. Adicionalmente, una regulación armonizada, que debería seguir el principio de “misma actividad, mismos riesgos, mismas reglas”, es necesaria: los servicios FinTech se prestan a través de Internet, lo que complica la determinación de si esos servicios se están prestando de forma transfronteriza y por consiguiente la de las normativas aplicables (incluidas las normas de conducta). EBA insta a la Comisión a clarificar o adoptar las reglas aplicables, que deben estar guiadas por los principios de neutralidad tecnológica, proporcionalidad, integridad del mercado y la protección de los consumidores, en particular frente a los ciberataques.
Finalmente, EBA anuncia su intención de continuar trabajando en esta materia junto a los otros dos supervisores europeos (ESMA, EIOPA) y sugiere la conveniencia de establecer acuerdos con supervisores de terceros estados (Australia, Hong Kong Japón y Singapur) que parecen haber desarrollado con éxito modelos que favorecen la innovación.