Sistema de pago de importancia sistémica (SIPS)

PUNTOS CLAVE

De conformidad con el Tratado de Funcionamiento de la Unión Europea y los Estatutos del Sistema Europeo de Bancos Centrales y del BCE, el Eurosistema promueve el buen funcionamiento de los sistemas de pago¹ mediante la vigilancia.

De conformidad con el Reglamento (UE) 2025/1355, el Consejo de Gobierno del BCE adopta decisiones motivadas para determinar qué sistemas de pago son SIPS sobre la base de:

• determinados umbrales cuantitativos; o
• una metodología flexible que tenga en cuenta aspectos cualitativos, como la naturaleza, el tamaño y la complejidad del sistema de pago, la naturaleza y la importancia de sus participantes y la sustituibilidad del sistema de pago.

El proceso para determinar un sistema de pago como SIPS está claramente establecido. El BCE realiza anualmente un ejercicio de revisión e identificación y la lista de SIPS se mantiene en el sitio web del BCE.

El Consejo de Gobierno del BCE identifica un operador de SIPS² para cada SIPS. El operador del SIPS identificado es responsable frente a la autoridad competente³ del cumplimiento por el SIPS de los requisitos de vigilancia establecidas en el Reglamento (UE) 2025/1355.

El operador del SIPS debe contar con una estrategia y un marco de ciberresiliencia en consonancia con los requisitos pertinentes. Además, el operador del SIPS debe mantener siempre la responsabilidad de las funciones, operaciones o servicios externalizados y debe contar con acuerdos y marcos contractuales adecuados.

Los operadores del SIPS deben:

• garantizar que los marcos jurídicos en los que operan proporcionan un alto grado de seguridad jurídica para sus actividades;
• contar con objetivos documentados que den prioridad a la seguridad y la eficiencia de su sistema;
• contar con mecanismos de gobierno eficaces y documentados que prevean líneas directas y claras de responsabilidad y rendición de cuentas para su consejo y su órgano rector;
• establecer marcos sólidos para gestionar los riesgos y abordar las garantías y la firmeza de la liquidación, de conformidad con los requisitos del Reglamento.

Los operadores del SIPS debe:

• establecer y mantener un marco sólido que permita identificar, medir, controlar y gestionar de forma integral los riesgos, como los riesgos de liquidez o crédito, los riesgos empresariales generales, los riesgos de custodia y de inversión y los riesgos operacionales y ciberriesgos, que surjan en el SIPS o este corra;
• aceptar como garantía únicamente efectivo o activos con bajo riesgo de crédito, de liquidez y de mercado que cumplan determinadas condiciones;
• establecer normas y procedimientos para permitir que las liquidaciones adquieran firmeza como muy tarde al final del día de la fecha de liquidación prevista y que le permitan seguir cumpliendo sus obligaciones en caso de incumplimiento de un participante, abordando la reposición de recursos tras un incumplimiento;
• establecer procedimientos para garantizar la liquidación en dinero;
• conserva los activos propios y los de los participantes en organismos supervisados y regulados (conocidos como «los custodios») que sean competentes para proteger por completo esos activos;
• determinar su propia estrategia de inversión, garantizada por deudores⁴ de alta calidad;
• establecer y anunciar al público criterios de acceso y participación no discriminatorios, que se revisen al menos anualmente, en relación con sus servicios;
• disponer de un proceso para identificar y satisfacer las necesidades de los mercados a los que prestan servicios;
• adoptar normas y procedimientos claros y amplios que se divulguen plenamente a los participantes;
• elaborar planes de recuperación para restablecer el funcionamiento normal;
• elaborar planes de terminación gradual ordenada para su cierre ordenado;
• mantener un capital y unos activos líquidos suficientes para cubrir los riesgos empresariales generales;
• realizar pruebas de resistencia anuales de los marcos de liquidez y de garantías;
• adoptar un marco y una estrategia de ciberresiliencia;
• probar la ciberresiliencia de los controles y sistemas mediante el marco TIBER-EU de pruebas de penetración guiadas por amenazas;
• notificar los ciberincidentes importantes.

Si un operador del SIPS no cumple el Reglamento:

• la autoridad competente podrá imponer medidas correctoras⁵ en el plazo de dos años a partir de la finalización de la evaluación para subsanar el incumplimiento o evitar que se repita [de conformidad con la Decisión (UE) 2017/2098 del BCE]; o
• el BCE podrá imponer sanciones [de conformidad con el Reglamento (CE) n.º 2532/98 del Consejo y con el Reglamento (CE) n.º 2157/1999 del Banco Central Europeo sobre las competencias del Banco Central Europeo para imponer sanciones], en cuyo caso el importe de las sanciones se calculará de conformidad con la Decisión (UE) 2017/2097.

De conformidad con la Decisión (UE) 2019/1349 del BCE, con fines de vigilancia, las autoridades competentes pueden:

• exigir a los operadores del SIPS que: a) presentar toda la información y los documentos necesarios para el desempeño eficiente y eficaz de las funciones de vigilancia; b) designar un experto independiente para que investigue o revise la operación del SIPS;
• llevar a cabo una vigilancia continua o especial para garantizar que los operadores del SIPS cumplen todos los requisitos;
• cooperar con otras autoridades.

La Decisión (UE) 2017/2097 establece la metodología que debe seguir el BCE para calcular el importe de las sanciones (multas o pagos periódicos coercitivos) que deben imponerse al operador del SIPS por incumplimientos de los requisitos de vigilancia pertinentes. En dicha Decisión se establece el importe de referencia en el 50 % de la suma de las cantidades siguientes:

• el 1 % del volumen de negocio, y
• el 0,0001 % del importe de los pagos procesados.

La Decisión también establece los límites del importe de las sanciones y a la duración de los pagos periódicos coercitivos que deben imponerse.