COMISIÓN EUROPEA

Bruselas, 8.3.2018

COM(2018) 109 final

COMUNICACIÓN DE LA COMISIÓN

Plan de acción en materia de tecnología financiera: por un sector financiero europeo más competitivo e innovador

Introducción

Las tecnofinanzas –la innovación en los servicios financieros posibilitada por la tecnología– se han desarrollado considerablemente a lo largo de los últimos años y están cambiando el modo en que se producen y prestan los servicios financieros. Las tecnofinanzas 1 se encuentran a caballo entre los servicios financieros y el mercado único digital. El sector financiero es el mayor usuario de tecnologías digitales y contribuye de forma muy significativa a impulsar la transformación digital de la economía y la sociedad. Existen importantes sinergias entre la Estrategia para el Mercado Único Digital de la Comisión 2 , la Estrategia de Ciberseguridad de la Unión Europea 3 , el Reglamento eIDAS 4 y las iniciativas en materia de servicios financieros tales como el Plan de acción de servicios financieros destinados a los consumidores 5 y la revisión intermedia de la Unión de Mercados de Capitales (UMC) 6 .

Si bien la innovación en el sector financiero no es nada nuevo, la inversión en tecnología y el ritmo de la innovación se han incrementado considerablemente. Se están empezando a aplicar soluciones tecnofinancieras basadas en la identificación digital, las aplicaciones móviles, la computación en la nube, el análisis de macrodatos, la inteligencia artificial, la cadena de bloques y los registros distribuidos. Las nuevas tecnologías están cambiando la industria financiera y el modo en que consumidores y empresas acceden a los servicios, creando oportunidades para que las soluciones basadas en las tecnofinanzas faciliten un mejor acceso a la financiación y promuevan la inclusión financiera para los ciudadanos conectados digitalmente. Permite a los ciudadanos tomar las riendas, apoya la eficiencia operativa e incrementa aún más la competitividad de la economía de la UE. Las tecnofinanzas son también importantes para la Unión de Mercados de Capitales. Pueden contribuir a profundizar y ampliar los mercados de capitales de la UE al integrar la digitalización para cambiar los modelos de negocio gracias a soluciones basadas en datos, por ejemplo, en la gestión de activos, la intermediación en materia de inversión y la distribución de productos de inversión 7 .

Las tecnofinanzas implican también oportunidades y retos en materia de cumplimiento de la normativa y supervisión. Pueden facilitar, racionalizar y automatizar el cumplimiento y la presentación de información y mejorar la supervisión. Los proveedores de servicios pueden ofrecer servicios de cumplimiento basados en las tecnofinanzas a entidades reguladas. Sin embargo, las propias entidades reguladas siguen siendo responsables del cumplimiento de sus obligaciones. Por ejemplo, las entidades sujetas a la obligación de diligencia debida con respecto al cliente de conformidad con la normativa contra el blanqueo de capitales no pueden delegar la responsabilidad por el cumplimiento de las exigencias correspondientes a proveedores de servicios externos.

Las tecnofinanzas plantea también retos en ámbitos como el riesgo cibernético, las cuestiones relacionadas con la protección de datos, consumidores e inversores y los problemas de integridad de los mercados. El Reglamento general de protección de datos y la Directiva contra el blanqueo de capitales aportan garantías fundamentales para la protección de los datos personales y la integridad del sistema financiero de la UE frente al blanqueo de capitales y la financiación del terrorismo. Un mercado financiero de la UE basado en la tecnología requiere el pleno cumplimiento de estas garantías fundamentales. Los riesgos cibernéticos socavan la confianza y suponen una amenaza para la estabilidad del sistema financiero. Los recurrentes fallos de seguridad 8 ponen de relieve que los ciberataques representan una preocupación cada vez mayor. Estos ataques deberían atajarse de forma decisiva para prevenir y mitigar sus posibles consecuencias negativas para el sector financiero y sus clientes. Conseguir que el sector financiero sea más resiliente en materia cibernética reviste una importancia crucial con vistas a garantizar que el sector esté bien protegido, que los servicios financieros se presten de forma efectiva y sin problemas en toda la UE y que se preserve la confianza de consumidores y mercados.

Los marcos reglamentario y de supervisión de Europa deberían permitir a las empresas que operan en el mercado único de la UE sacar partido a la innovación financiera y ofrecer a sus clientes los productos más apropiados y accesibles. Estos marcos deberían también garantizar un alto nivel de protección para los consumidores e inversores y garantizar la resiliencia y la integridad del sistema financiero. Los beneficios de la innovación tecnológica se situaron ya en el centro de las revisiones de la Directiva sobre servicios de pago 9 y de la Directiva y el Reglamento relativos a los mercados de instrumentos financieros 10 .

La innovación tecnológica ha generado nuevos tipos de activos financieros como, por ejemplo, los criptoactivos. Estos criptoactivos y la tecnología de cadena de bloques subyacente son muy prometedores para los mercados y las infraestructuras financieros. Su utilización también entraña riesgos, como se ha puesto de manifiesto con la gran volatilidad de los criptoactivos, así como con el fraude y las debilidades y vulnerabilidades en los plataformas de intercambio de criptoactivos. Ya se han tomado medidas a nivel de la UE para hacer frente a algunos riesgos específicos. El nivel de amenaza y vulnerabilidad de las monedas virtuales, el blanqueo de capitales y la financiación del terrorismo fue calificado, en el Informe de la Comisión sobre la evaluación de los riesgos de blanqueo de capitales y de financiación del terrorismo 11 , de significativo o muy significativo. En diciembre de 2017, los legisladores europeos acordaron ampliar el ámbito de aplicación de la Directiva contra el blanqueo de capitales 12 a los plataformas de intercambio de monedas virtuales y a los proveedores de monederos. Las Autoridades Europeas de Supervisión (AES) formularon advertencias sobre el naturaleza especulativa del mercado de monedas virtuales y otros riesgos asociados con los criptoactivos 13 . Todas las advertencias ponen de relieve que la inversión en criptoactivos reviste un alto riesgo y que los inversores pueden incurrir en pérdidas significativas debido a su volatilidad, pero también a causa de la falta de transparencia e integridad del mercado y de las deficiencias y vulnerabilidades operativas y de integridad de que adolecen los proveedores de servicios y plataformas de negociación de criptoactivos.

En su reciente iniciativa de revisión del Sistema Europeo de Supervisión Financiera 14 , la Comisión propuso que las Autoridades Europeas de Supervisión tengan en cuenta las tecnofinanzas de forma sistemática en todas sus actividades. El Reglamento general de protección de datos, que entrará en vigor en mayo de 2018, reviste también una importancia crítica para la correcta utilización de los servicios financieros innovadores basados en datos 15 , como también lo es la propuesta de Reglamento relativo al marco para la libre circulación de datos no personales en la UE 16 , cuyo objetivo es permitir que los datos no personales puedan circular libremente por todo el mercado único. Además, el reconocimiento transfronterizo de medios de identificación electrónicos que posibilita el Reglamento eIDAS aportará garantías y mitigará los riesgos derivados de las tecnologías emergentes; asimismo, facilitará el cumplimiento de los requisitos relativos a la diligencia debida con respecto al cliente en materia de lucha contra el blanqueo de capitales y una autenticación fiable de las partes en el entorno digital.

Las tecnofinanzas también constituyen un ámbito prioritario a nivel internacional, por ejemplo en el G-20. La Comisión contribuye a las discusiones políticas en el Consejo de Estabilidad Financiera y en otros foros internacionales. Un creciente número de jurisdicciones han desarrollado marcos normativos y de supervisión para abordar determinadas formas de innovaciones tecnofinancieras. Fuera de Europa, los reguladores se han centrado principalmente en los instrumentos y servicios de pago y en formas alternativas de financiación, tales como la financiación participativa y los préstamos entre particulares. A fin de tener un contacto más estrecho con los desarrolladores tecnofinancieros, una serie de supervisores (por ejemplo, Australia, Canadá, Estados Unidos, Hong Kong, Singapur y Japón) han creado polos de tecnología financiera. Varias autoridades han creado también marcos de experimentación para empresas innovadoras conocidos como «regulatory sandboxes», es decir, campos de prueba normativos (por ejemplo, Australia, Hong Kong, Singapur y Canadá).

La Comisión se ha propuesto dar respuesta a los llamamientos del Parlamento Europeo 17 y del Consejo Europeo 18 para desarrollar un marco normativo más orientado hacia el futuro que integre plenamente la digitalización y cree un entorno en el que las soluciones y productos tecnofinancieros innovadores puedan empezar a aplicarse en toda la UE de manera que se aprovechen las economías de escala del mercado único sin comprometer la estabilidad financiera o la protección de consumidores e inversores.

Basándose en las conclusiones de la consulta pública 19 realizada entre marzo y junio de 2017 y teniendo en cuenta las iniciativas ya presentadas, la Comisión considera que, actualmente, existen pocos argumentos en favor de una actuación o reforma amplia de tipo legislativo o normativo a nivel de la UE. Sin embargo, existen motivos que justificarían la adopción por parte de la UE de una serie de iniciativas específicas para integrar plenamente la digitalización del sector financiero.

1.Permitir a los modelos empresariales innovadores alcanzar escala europea

1.1.Permitir a los modelos empresariales innovadores expandirse a toda la UE mediante requisitos de concesión de autorizaciones claros y coherentes

En el sector financiero, las empresas obtienen la autorización y son supervisadas en función de sus actividades, servicios o productos, con independencia de si utilizan métodos tradicionales o innovadores para prestar estos servicios. Según los servicios y productos ofrecidos, las empresas pueden obtener la autorización y ser reguladas con arreglo al derecho de la UE o al derecho nacional, o no estar sujetas a ninguna normativa relacionada específicamente con servicios financieros.

Los requisitos de autorización posibilitan la supervisión efectiva de los proveedores de servicios con el fin de garantizar la estabilidad, la integridad y la equidad de los mercados. Garantizan también la protección de consumidores e inversores. Al mismo tiempo, las condiciones operativas uniformes permiten a las empresas de servicios financieros de la UE debidamente autorizadas y supervisadas por sus Estados miembros de origen beneficiarse de un pasaporte europeo. Este pasaporte permite a estas empresas prestar sus servicios en todos los Estados miembros y expandirse a la totalidad del mercado único de la UE.

Los encuestados en el marco de la consulta sobre tecnología financiera consideran que los modelos empresariales más innovadores podrían operar al amparo de la actual normativa de la UE, habida cuenta de que el marco legislativo de la UE ofrece margen para aplicar el principio de proporcionalidad en el proceso de autorización.

No obstante, los supervisores pueden adoptar enfoques distintos a lo hora de determinar el marco legislativo de la UE pertinente y de aplicar la proporcionalidad en la concesión de autorizaciones para modelos empresariales innovadores 20 . La Autoridad Bancaria Europea ha señalado las diferencias en los regímenes de autorización y registro 21 como un ámbito al que hay que prestar una mayor atención. La AESPJ ha observado tendencias similares 22 . Asimismo, el Banco Central Europeo (BCE) ha puesto en marcha recientemente unas consultas sobre el proyecto de «Guía para la evaluación de las solicitudes de autorización de instituciones de crédito fintech» 23 .

Los nuevos servicios financieros no siempre están íntegramente regulados por el marco normativo existente de la UE; esto es lo que sucede con las actividades de tipo «micro» e «inter pares» en el caso de las empresas emergentes y en expansión. Una gran cantidad de encuestados en el marco de la consulta sobre tecnología financiera puso de relieve que las actividades de financiación participativa de inversión y de préstamo se beneficiarían de un marco normativo europeo sólido y equilibrado. Once Estados miembros han adoptado ya regímenes específicos que, a menudo, se contradicen entre sí y dificultan el desarrollo de un mercado único de servicios de financiación participativa. La ausencia de un marco común de la UE también supone un obstáculo para los proveedores de servicios de financiación participativa a la hora de expandirse en el mercado único debido, principalmente, a los enfoques nacionales contradictorios en materia de supervisión y regulación. El marco de la UE propuesto en el presente plan de acción ofrecerá un régimen de pasaporte global para aquellos participantes en el mercado que decidan operar como proveedores europeos de servicios de financiación participativa. Este marco dará incentivos a los proveedores de servicios de financiación participativa para expandirse al tiempo que garantiza una protección suficiente para inversores y promotores de proyectos.

Es necesario realizar mayores esfuerzos para detectar las divergencias en los requisitos de autorización que afectan a las empresas tecnofinancieras. Las acciones de seguimiento podrían incluir:

·la clarificación de las marcos legislativos aplicables de la UE en materia de servicios;

·la evaluación de la necesidad de un marco normativo de la UE que cubra los nuevos modelos de negocio innovadores; y

·la orientación a los supervisores nacionales para garantizar una mayor convergencia de los regímenes normativos nacionales.

Además, los supervisores han estado analizando la evolución en el mercado de los criptoactivos y la aparición de las ofertas iniciales de criptomonedas (en lo sucesivo, «OIC»), una nueva forma de recaudar dinero utilizando «monedas» o «fichas». Si bien estas ventas de fichas pueden ofrecer a las empresas nuevas e innovadoras formas de recaudar capital, también pueden plantear claros riesgos para los inversores. La inversión especulativa en criptoactivos y fichas de OIC expone a los inversores a importantes riesgos de mercado y de fraude, así como a riesgos de ciberseguridad derivados de plataformas de intercambio y de los proveedores de servicios que permiten a los inversores adquirir criptoactivos y fichas, mantenerlos en su cartera o venderlos. En noviembre de 2017, la Autoridad Europea de Valores y Mercados (en lo sucesivo, «ESMA») publicó dos declaraciones 24 para informar a los inversores de los riesgos potenciales que plantean determinadas OIC y recordar a las empresas implicadas en OIC que a este tipo de actividades puede resultarles aplicable la legislación de la UE, según su estructura y características concretas. Autoridades tanto de la UE como del resto del mundo están evaluando las OIC y la normativa que pueda resultarles de aplicación, mientras que China y Corea del Sur las han prohibido.

El rápido incremento de los precios y la volatilidad de los criptoactivos en los últimos meses requiere una mejor comprensión de los riesgos y las oportunidades que conlleva su uso y de la aplicabilidad de la normativa de la UE. Sin embargo, los criptoactivos y las fichas pueden también eludir la regulación y los objetivos de transparencia, gobernanza y protección de los inversores que persigue la regulación. En febrero de 2018, en respuesta a una solicitud de la Comisión Europea, las tres Autoridades Europeas de Supervisión (en adelante, «AES») publicaron una advertencia conjunta a inversores y usuarios sobre los riesgos asociados a la compra de criptoactivos 25 . Asimismo, las modificaciones introducidas en la cuarta Directiva contra el blanqueo de capitales, sobre la cual el Parlamento y el Consejo alcanzaron un acuerdo en diciembre de 2017, reducirán la anonimidad e incrementarán la trazabilidad de las transacciones al exigir de las plataformas de intercambio de criptoactivos y de los proveedores de servicios de custodia de monederos electrónicos en la Unión Europea la identificación de los clientes y la diligencia debida en sus actuaciones.

Es necesaria una evaluación de la idoneidad del actual marco normativo de la UE en lo relativo a las OIC y, de forma más general, a los criptoactivos. Por una parte, el objetivo debería consistir en garantizar que las empresas, los inversores y los consumidores de la UE puedan beneficiarse de esta innovación técnica en un marco justo y transparente a fin de convertir a Europa en uno de los líderes a la hora de desarrollar de nuevas formas de financiar con rapidez a las empresas en crecimiento. Por otra parte, se deben abordar de forma apropiada los posibles riesgos relacionados con la estabilidad financiera, la integridad del mercado, la protección de consumidores e inversores, la protección de los datos personales, el blanqueo de capitales y la financiación del terrorismo. Habida cuenta de que los criptoactivos constituyen un fenómeno mundial, la coordinación y la coherencia a nivel internacional –por ejemplo, en el G-20, en el Consejo de Estabilidad Financiera y entre los organismos internacionales de normalización financiera– resultarán esenciales. La Comisión colaborará con los supervisores, los reguladores, la industria y la sociedad civil, tanto dentro de la UE como con sus socios a escala internacional a fin de determinar la forma de proceder de cara al futuro.

1.2.Incrementar la competencia y la cooperación entre los operadores del mercado a través de estándares comunes y soluciones interoperables 

La producción y la prestación de servicios financieros requiere la cooperación y la interacción entre diferentes operadores en la cadena de valor. Un mercado tecnofinanciero que abarque la totalidad de la UE no podrá realizar plenamente su potencial sin el desarrollo de estándares abiertos que incrementen la competencia, refuercen la interoperabilidad y simplifiquen el intercambio de información entre operadores del mercado, así como el acceso a esta información.

Existen diversas maneras de lograr la interoperabilidad. Las empresas o los proveedores de tecnología pueden desarrollar interfaces ad hoc a las que las demás partes tengan que adaptarse. Otro enfoque consiste en alcanzar un consenso sobre estándares de interoperabilidad para el conjunto del mercado, reduciendo así los esfuerzos necesarios para que los proveedores de servicios puedan intercambiar información con diferentes plataformas. Los procesos de normalización (estandarización) deben estar basados en los principios de apertura, transparencia y consenso, según se establece en el Reglamento (UE) n.º 1025/2012 sobre la normalización europea. Para que los estándares favorezcan la competencia, la participación debe ser libre y el proceso de adopción del estándar transparente, permitiendo así a las partes interesadas informarse de manera efectiva sobre los trabajos de normalización. El acceso efectivo a los estándares ha de concederse en condiciones equitativas, razonables y no discriminatorias.

La mayoría de los encuestados en la consulta sobre tecnofinanzas han resaltado que es prioritario desarrollar estándares, promover su adopción y garantizar la interoperabilidad entre sistemas. El enfoque más deseable sería el liderado por la industria y los operadores del mercado, desarrollando estándares globales en vez de locales o regionales. Existe una particular demanda de mayor estandarización en las tecnologías de cadena de bloques/registros descentralizados, interfaces de programación de aplicaciones y gestión de la identidad. La Directiva sobre servicios de pago revisada, en vigor desde enero de 2018, representa un interesante caso de ensayo: se exige a los bancos que creen canales de comunicación adecuados para que las empresas tecnofinancieras presten sus servicios sobre la base del acceso a las cuentas de pago. El desarrollo de interfaces de programación de aplicaciones estandarizadas crearía unas condiciones equitativas de competencia que posibilitarían la prestación de servicios nuevos y mejorados en un entorno verdaderamente abierto, manteniendo al mismo tiempo niveles altos de protección de los datos personales y de los consumidores.

1.3.Facilitar la emergencia de modelos de negocio innovadores en toda la UE a través de facilitadores de innovación

Las compañías innovadoras sacan al mercado nuevos productos o encuentran modos de prestar servicios bien conocidos de formas innovadoras o a precios más competitivos. Los innovadores deben estar en condiciones de hacer llegar sus servicios a una base de usuarios lo más amplia posible, aprovechando así las economías de escala. A fin de sacar el máximo partido al mercado interior, los innovadores deberían poder valerse de un pasaporte europeo. Para esto sería necesaria la observancia de requisitos normativos que pueden resultar difíciles de cumplir. Tal es el caso, en particular, de los negocios de nueva creación y de aquellos que emplean tecnologías o modelos innovadores que pueden apartarse de las prácticas estándar prevalentes en el momento en que se adoptaron las normas.

Los enfoques y las tecnologías innovadoras suponen también un reto para los supervisores financieros a la hora de decidir si autorizar o no una empresa o actividad y determinar cómo cumplir sus obligaciones de supervisión. Las respuestas a la consulta pública de la Comisión sugieren que existe un fuerte deseo entre los supervisores de entender mejor las últimas tecnologías financieras y de reforzar los contactos con empresas y otros proveedores de tecnología.

En la UE, trece Estados miembros han creado lo que se conoce como «facilitadores tecnofinancieros» (polos de innovación 26 o entornos de pruebas normativos 27 ) para ofrecer orientación general a las empresas durante el proceso de autorización. Esto permite a las empresas obtener un acceso más rápido al mercado y comprender mejor las normas y las expectativas de los supervisores. Los facilitadores pueden también ofrecer orientación a las entidades financieras consolidadas. Desde la perspectiva de los supervisores, este tipo de enfoques ofrecen una importante fuente de información, ayudándoles a comprender mejor los modelos de empresa innovadores y la evolución del mercado en una fase temprana.

Los entornos de prueba normativos llevan el concepto de los polos de innovación un paso más allá, al crear un entorno en el que la supervisión se adapta a las empresas o servicios innovadores. Las autoridades nacionales competentes han de aplicar la legislación sobre servicios financieros de la UE correspondiente. Sin embargo, estas normas conceden un margen de discreción en la aplicación de los principios de proporcionalidad y de flexibilidad, principios que forman parte integrante de dichas normas. Esto puede resultar particularmente útil en el contexto de la innovación tecnológica.

La utilización de entornos de pruebas normativos ha obtenido el respaldo de los representantes de la industria encuestados en la consulta pública. Las autoridades nacionales han expresado opiniones diversas: algunos supervisores consideran que este tipo de iniciativas no son de su competencia; en cambio, los supervisores que se muestran dispuestos a recurrir a entornos de prueba normativos consideran que los demás deberían adoptar iniciativas similares. Un enfoque coherente por parte de los supervisores fomentaría el despliegue de las innovaciones en todo el mercado único de la UE.

Recientemente, tanto la ABE como la AESPJ y la AEMV han realizado un estudio sobre los facilitadores de innovación en toda la UE. La Comisión acogería favorablemente la continuación de estos esfuerzos por determinar cuáles son las mejores prácticas a escala de la UE y fijar principios y criterios comunes para los polos de innovación y los entornos de prueba normativos. Otras medidas de seguimiento podrían incluir la creación de polos de innovación en todos los Estados miembros y la coordinación de sus actividades. Esto podría llevar a que se considerase la posibilidad de un marco de experimentación de la UE para adoptar nuevas tecnologías y adaptarse a ellas.

2.Apoyar la adopción de las innovaciones tecnológicas en el sector financiero

2.1.Revisar la idoneidad de nuestras normas y asegurar la existencia de garantías para las nuevas tecnologías en el sector financiero

La neutralidad tecnológica es uno de los principios rectores de las políticas de la Comisión.

No obstante, las normas de la UE anteriores a la aparición de determinadas tecnologías innovadoras pueden no resultar siempre, en la práctica, tecnológicamente neutrales con respecto a dichas innovaciones. Los encuestados en la consulta pública han llamado la atención sobre, por ejemplo, la exigencia de que se presente la información en papel –o la preferencia por este soporte– o la necesidad de encontrarse presente físicamente. Asimismo, se consideró también que la falta de procesos claros y armonizados para la identificación en línea de consumidores y negocios que cumplan plenamente con las normas relativas al blanqueo de capitales y la protección de datos representa un reto para las soluciones tecnofinancieras. En la misma línea, los encuestados expresaron su preocupación por el menor atractivo de la inversión en software con arreglo a las normas prudenciales vigentes para los bancos, las cuales establecen que las inversiones en software por parte de los bancos de la UE han de ser deducidas de los fondos propios, a diferencia de lo que sucede con los bancos en los EE. UU., que gozan de un tratamiento más favorable.

La Comisión ya ha reflexionado sobre algunos de estos asuntos. En el Plan de acción de servicios financieros destinados a los consumidores 28 , la Comisión anunció su intención de facilitar la aceptación transfronteriza de la identificación electrónica y de los procesos remotos de conocimiento del cliente. El objetivo es permitir a los bancos que identifiquen digitalmente a los consumidores cumpliendo las exigencias en materia de blanqueo de capitales y de protección de datos, utilizando plenamente las herramientas de identificación electrónica y de autenticación electrónicas ofrecidas en el marco del Reglamento eIDAS. A fin de facilitar la utilización de la identificación y la autenticación electrónicas, la Comisión ha creado 29 un grupo de expertos dedicado específicamente a la identificación electrónica y a los procesos remotos de conocimiento del cliente. La adopción de tecnologías disruptivas, tales como los registros distribuidos y la inteligencia artificial, podría plantear retos normativos adicionales. Hay que actuar en lo relativo a las exigencias de presentación de información en papel. En las respuestas a la consulta pública se pone de manifiesto la preocupación por la posibilidad de que las normas vigentes puedan impedir o limitar el uso de estas tecnologías; esto podría suceder, por ejemplo de las formas siguientes:

·las aplicaciones que funcionen con cadenas de bloques pueden plantear problemas de jurisdicción en cuanto a las leyes aplicables y las cuestiones de responsabilidad;

·podría ser necesario aclarar la cuestión de la validez legal y la exigibilidad de los contratos inteligentes;

·existe cierta incertidumbre en torno a la naturaleza jurídica de las ofertas iniciales de criptomonedas y las normas que les son aplicables, tal como se expone más arriba en el punto 1.1;

Es necesario continuar analizando la situación para determinar hasta qué punto el marco jurídico aplicable a los servicios financieros es tecnológicamente neutral y capaz de dar cabida a las innovaciones tecnofinancieras, y en qué medida ha de ser adaptado con este fin. Al mismo tiempo, es necesario garantizar la estabilidad financiera, la protección de consumidores e inversores, el cumplimiento de las exigencias en materia de blanqueo de capitales y la aplicación de la ley.

2.2.Eliminar los obstáculos a los servicios en la nube

La computación en la nube puede incrementar la eficiencia de las infraestructuras digitales en que se sustentan los servicios financieros. La externalización del tratamiento y el almacenamiento de datos a proveedores de servicios en la nube reduce los costes que soportan las empresas en concepto de alojamiento, infraestructuras y software, y puede contribuir a racionalizar los gastos informáticos. Al mismo tiempo, puede garantizar un rendimiento, flexibilidad y adaptabilidad mayores.

Las empresas reguladas que externalizan actividades a proveedores de servicios en la nube han de cumplir con todos los requisitos legales en términos, por ejemplo, de gestión de riesgos óptima, protección de datos y control apropiado por parte de los supervisores. Algunas partes interesadas encuestadas en el marco de la consulta de la Comisión expresaron su preocupación por el hecho de que la incertidumbre en cuanto a las expectativas de las autoridades de supervisión financiera está limitando la utilización de servicios de computación en la nube. Esta incertidumbre se debe, en particular, a la ausencia de armonización de las normas nacionales y a las diferentes interpretaciones de las normas sobre externalización 30 .

La ABE ha publicado recientemente recomendaciones sobre la externalización a proveedores de servicios en la nube 31 . La AEMV, en su calidad de supervisor directo de las agencias de calificación crediticia y de los registros de operaciones, está estudiando estas cuestiones y tiene la intención de aclarar, en el transcurso de 2018, cuáles son los requisitos que estas firmas han de cumplir a la hora de externalizar a servicios en la nube. La externalización a servicios en la nube forma también parte del mandato de la AESPJ en el ámbito de la tecnología aplicada al sector de los seguros. Sin embargo, la cuestión merece una atención que vaya más allá de lo cubierto por las iniciativas existentes. Se lograría un mayor grado de certidumbre si las expectativas en materia de supervisión se plasmasen en forma de directrices oficiales de las AES 32 .

La propuesta de la Comisión de Reglamento por el que se crea un marco para la libre circulación de datos no personales en la Unión Europea tiene como objetivo la eliminación de las restricciones injustificadas a la localización de datos y puede, por tanto, dar respuesta a uno de los principales problemas detectados. La propuesta también aborda otras cuestiones relacionadas con la nube, tales como la prevención de la dependencia de proveedores de servicios en la nube determinados. A fin de facilitar la aplicación del Reglamento propuesto, en particular en lo relativo al uso de servicios en la nube, la Comisión reunirá en 2018 a las partes interesadas afectadas, es decir, a los usuarios de la nube, a los proveedores de servicios en la nube y a las autoridades reguladoras.

2.3.Facilitar las aplicaciones tecnofinancieras mediante la iniciativa relativa a las cadenas de bloques de la UE

Las tecnologías de cadena de bloques y de registros descentralizados podrían posibilitar la realización de importantísimos avances que transformarán la manera en que se intercambia, valida, comparte y accede a la información o los activos a través de las redes digitales. Es probable que su desarrollo continúe en los próximos años y que se conviertan en un componente esencial de la economía y la sociedad digitales.

Es importante evitar la confusión entre las tecnologías de cadena de bloques y los criptoactivos (mencionados anteriormente), que constituyen tan solo un tipo de aplicación de la cadena de bloques. La cadena de bloques puede servir de base a una amplia gama de aplicaciones en varios sectores, con lo que su aplicación podría no estar en absoluto limitada a los criptoactivos, o quizá ni siquiera las tecnofinanzas.

El sector financiero ha asumido un papel de liderazgo en el estudio del potencial de la cadena de bloques con numerosas pruebas de concepto y proyectos piloto en una gran variedad de ámbitos como, por ejemplo, los pagos, los valores, los depósitos y los préstamos, la captación de capital, la gestión de las inversiones, el suministro de mercados, la negociación y la postnegociación, la financiación comercial y la presentación de informes (por ejemplo, la tecnología normativa o «RegTech»).

Las tecnologías de cadena de bloques y de registros descentralizados tienen un gran potencial de cara a la potenciación de la simplicidad y la eficiencia a través de la creación de nuevas infraestructuras y procesos. Estas tecnologías podrían acabar ocupando un lugar central en la futura infraestructura de los servicios financieros. Las aplicaciones con mayor impacto requerirán una estrecha colaboración entre los operadores establecidos, los innovadores y los reguladores, de forma que puedan ser aplicadas con éxito y provecho. El ámbito de aplicaciones potenciales es muy amplio y debería ser sometido a una rigurosa vigilancia.

A pesar de que las tecnologías de cadena de bloques se encuentran aún en una fase temprana, es necesario hacer frente a una serie de retos y riesgos. El Observatorio y Foro de la Cadena de Bloques de la UE 33 , que entró en funcionamiento en febrero de 2018 por un periodo de dos años, tiene como objetivo la vigilancia de las tendencias y de la evolución, la puesta en común de conocimientos especializados para abordar los problemas sectoriales e intersectoriales y la búsqueda de soluciones conjuntas para los casos de utilización transfronteriza de la cadena de bloques. Asimismo, el Parlamento Europeo ha prestado su apoyo en la puesta en marcha del portal europeo de transparencia financiera, un proyecto piloto que emplea la tecnología de registro descentralizado para facilitar acceso a la información sobre todas las empresas cotizadas en los mercados de valores regulados de la UE en el contexto de la Directiva sobre la transparencia 34 . El objetivo de esta iniciativa es incrementar la transparencia de los mercados regulados de la UE, fomentando tanto la integración del mercado como su liquidez, en consonancia con los objetivos de la Unión de los Mercados de Capitales. La Comisión Europea ha puesto también en marcha, por ejemplo, la cadena de bloques para las transformaciones industriales (#Blockchain4EU) y la prueba de concepto para la utilización de la cadena de bloques con el objetivo de facilitar la recaudación de los impuestos especiales.

Habida cuenta del carácter transversal de la cadena de bloques, cuya importancia transciende los servicios financieros y que podría encontrar aplicación en todos los sectores de la economía y la sociedad, la Comisión ha tomado ya medidas para poner en marcha una iniciativa relativa a las cadenas de bloques de la UE con la creación del Observatorio y Foro de la Cadena de Bloques de la UE. La iniciativa propondrá actuaciones, medidas de financiación y un marco para posibilitar la escalabilidad, desarrollar la gobernanza y los estándares y apoyar la interoperabilidad. Se trata de una iniciativa intersectorial de la que se espera que permita la adopción temprana de esta tecnología en el sector financiero y refuerce la competitividad y el liderazgo tecnológico de Europa, en combinación con otras medidas de este plan de acción (en particular, con la verificación de la idoneidad de la legislación financiera de la UE). También se beneficiará de las acciones piloto financiadas con cargo al programa Horizonte 2020, que serán ampliadas entre 2018 y 2020. Asimismo, la Comisión ha establecido vínculos con el comité técnico 307 sobre tecnologías de cadena de bloques y registros descentralizados de la Organización Internacional de Normalización. Se ha invitado a las organizaciones europeas de normalización 35 a asumir un papel de liderazgo a fin de determinar los aspectos de la cadena de bloques que pueden resultar de especial interés para la UE.

2.4.Desarrollar las capacidades y reforzar los conocimientos entre reguladores y supervisores en un Laboratorio de Tecnología Financiera de la UE

Entre los obstáculos más importantes que impiden la adopción de nuevas tecnologías por parte del sector financiero se encuentran la falta de seguridad y orientación sobre cómo utilizarlas, la fragmentación y la falta de enfoques comunes a reguladores y supervisores nacionales.

Algunos proveedores tecnológicos ya están realizando esfuerzos para informar a reguladores y supervisores sobre la naturaleza de sus tecnologías y sobre cómo estas se aplican en el sector financiero. Sin embargo, muchas autoridades son reacias a recibir formación o a participar en debates cuando estos son organizados por proveedores seleccionados.

La Comisión creará un Laboratorio de Tecnología Financiera de la UE para aumentar las capacidades normativas y de supervisión y el nivel de conocimiento sobre las nuevas tecnologías. Se intentará alcanzar estos objetivos mediante demostraciones y debates de expertos en un laboratorio de tecnologías financieras neutro y no comercial. El laboratorio reunirá a numerosos proveedores –sobre todo de la UE– y a reguladores y supervisores de forma que puedan plantear los problemas normativos y de supervisión y debatir sobre ellos.

Las tecnologías objeto de debate podrían ser:

·las tecnologías de autenticación e identificación,

·los casos específicos en que quepa utilizar la tecnología de registros descentralizados, la tecnología de la nube, el aprendizaje automático y la inteligencia artificial,

·las interfaces de programación de aplicaciones, las normas para la banca abierta y

·la tecnología normativa («RegTech»).

2.5.Sacar el máximo partido a la tecnología para apoyar la distribución de productos de inversión minorista en todo el mercado único

Actualmente, los inversores minoristas que participan en los mercados de capitales se ven abrumados por la enorme complejidad, los costes y la incertidumbre que caracterizan a los productos de inversión. Se han realizado progresos importantes a la hora de aumentar la comparabilidad de los productos de inversión minorista, especialmente a través de requisitos de información. Si bien esto debería mejorar la calidad de los productos, los inversores minoristas aún han de hacer frente a costes de búsqueda importantes a la hora de seleccionar los productos de inversión más apropiados.

La superior transparencia necesaria para estimular la competencia y ampliar las opciones de los inversores minoristas en los mercados de capital debería, por tanto, fundamentarse en soluciones basadas en datos que utilicen tecnologías nuevas y más eficaces a fin de garantizar que la información sea completa, comparable y fácilmente accesible. Estas herramientas podrían, a su vez, estar basadas en información públicamente accesible y ofrecer interfaces de fácil utilización que conecten las bases de datos o herramientas digitales existentes como, por ejemplo, calculadoras en línea, herramientas de comparación, asesores automatizados o supermercados de fondos. A estos efectos, se requiere una gran cantidad de trabajo para asegurar la interoperabilidad de los conjuntos de datos y el desarrollo de algoritmos apropiados, al tiempo que se garantiza que los resultados sean presentados de forma justa y fácil de entender. Por tanto, la Comisión analizará el actual panorama y la situación de las interfaces digitales basadas en la tecnología que ayudan a los individuos a encontrar productos de inversión minorista apropiados y con una buena relación entre coste y rentabilidad en todos los mercados de capitales de la UE.

3.Reforzar la seguridad y la integridad del sector financiero

La ciberseguridad sigue ocupando un lugar central en la actuación política de la UE, y lograr que el sector financiero de la UE sea más ciberresiliente es una prioridad política para la Comisión. No obstante, los ciberataques de perfil alto hacen que la atención se centre en la necesidad permanente de garantizar la resiliencia y la integridad de los sistemas. La naturaleza transfronteriza de los ciberataques requiere un alto grado de armonización entre los requisitos y las expectativas normativos y de supervisión nacionales. A medida que el sector financiero se hace más dependiente de las tecnologías digitales, es vital garantizar la seguridad y la resiliencia del sector financiero. A este respecto, la Comisión reconoce la importancia de que los servicios digitales apliquen un «enfoque de seguridad mediante el diseño» y, en este sentido, ya ha presentado una propuesta 36 para crear un marco de certificación de la UE para los productos y servicios relacionados con las tecnologías de la información y la comunicación (en lo sucesivo, «TIC»).

Si bien el sector financiero está mejor preparado que otros, también es cierto que se trata del sector que sufre el mayor número de ataques. Los riesgos operativos y cibernéticos suponen una creciente amenaza para la estabilidad del sistema financiero y socavan la confianza que tan vital resulta para nuestros mercados financieros. Reconociendo la potencial amenaza para la estabilidad del sector financiero, el Parlamento Europeo ha pedido a la Comisión que «haga de la ciberseguridad la primera prioridad del plan de acción en materia de tecnología financiera 37 ». Una serie de ciberincidentes reiterados causados por la explotación de defectos básicos de seguridad en sistemas y organizaciones pone de relieve la importancia vital que reviste la aplicación de principios fundamentales de ciberhigiene 38 en cualquier organización. A fin de garantizar la integridad, son cruciales unas medidas y unos requisitos más estrictos en materia de ciberhigiene. Sin embargo, el grado en que las empresas están sujetas a estándares de ciberhigiene y refuerzan estos estándares varía según el país de la UE, y depende en gran medida de las prácticas nacionales y del sector. A nivel de la UE, la actual legislación sobre servicios financieros, en particular la relativa a las infraestructuras de los mercados financieros y a los pagos, incluye ya requisitos específicos relativos a la integridad de los recursos y sistemas informáticos, así como sobre su gobernanza. En otros ámbitos, los requisitos son más generales, por ejemplo en el caso de la continuidad operativa o de los requisitos generales sobre el riesgo operativo.

La transposición por parte de los Estados miembros de las disposiciones de la Directiva sobre la seguridad de las redes y los sistemas de información 39 relativas a los requisitos de seguridad en otros servicios financieros está en curso. No obstante, puede que persistan lagunas en la legislación de la UE relativa al sector financiero que deban colmarse a fin de reforzar la resiliencia del sector. Antes de actuar en ese sentido, las prácticas y los requisitos de supervisión 40 deben ser estudiados minuciosamente. Así, podrá determinarse cuáles son las mejores prácticas para la aplicación de requisitos generales.

El acceso a la información de los servicios de inteligencia sobre amenazas y la puesta en común de información son también fundamentales para reforzar la ciberseguridad. Una cooperación más estrecha y una coordinación de la puesta en común en todo el sector financiero de la UE de la información de los servicios de inteligencia sobre amenazas contribuirá a prevenir y reducir las ciberamenazas. Algunos de los encuestados en la consulta sobre tecnología financiera manifestaron su preocupación por la posibilidad de que la legislación pueda limitar la compartición de información sobre ciberamenazas. Esta podría, por ejemplo, no ser compatible con el Reglamento general de protección de datos. No obstante, este Reglamento reconoce que el tratamiento de datos personales, siempre que sea necesario y proporcionado al objetivo de garantizar la seguridad de las redes y de la información, constituye un interés legítimo.

Los supervisores realizan cada vez más pruebas de penetración y resiliencia para evaluar la eficacia de las ciberdefensas y de los requisitos de seguridad. Las pruebas rigurosas se consideran ya mejor práctica en el sector, y es cada vez más frecuente que sean las autoridades quienes determinan las pruebas que se han de realizar y sus modalidades. Dado que las operaciones de las entidades financieras y las infraestructuras de los mercados financieros revisten carácter transfronterizo, se considera que la multiplicación de los marcos para la realización de pruebas incrementa los costes de forma innecesaria y aumenta los riesgos potenciales. Las partes interesadas pusieron de relieve la necesidad de una mayor coordinación en materia de regulación y de supervisión a escala europea. Sostuvieron que ello debería ir acompañado de una mayor cooperación entre jurisdicciones y de confianza mutua entre las autoridades en lo relativo a los resultados de las pruebas, cuya naturaleza sensible debe protegerse. En este contexto, la Comisión considera que los esfuerzos que están realizando el BCE, las AES y los supervisores nacionales a la hora de, por ejemplo, desarrollar un marco de pruebas europeo para la formación de equipos independientes de adversarios ficticios éticos que evalúen las posibles amenazas en función de los datos de los servicios de inteligencia (Threat Intelligence Based Ethical Red Teaming, o TIBER-EU), son prometedores. La evaluación de la ciberresiliencia de los operadores del mercado financiero significativos en el sector financiero de la UE podría permitir la identificación eficaz y eficiente de las vulnerabilidades de la estabilidad y la integridad del sistema financiero de la UE en su conjunto.

Para una ciberresiliencia sólida se requiere un enfoque colectivo y de amplio alcance, así como medidas de formación y sensibilización eficaces. A estos efectos, la Comisión ha aprobado recientemente su Plan de Acción de Educación Digital con el fin de reforzar los conocimientos en materia digital a escala europea, incluido en lo relativo a la ciberseguridad 41 . La naturaleza inherentemente global de las ciberamenazas ha puesto de manifiesto que la cooperación internacional es crucial para hacer frente a dichos riesgos: por esta razón, la Comisión participa activamente en los trabajos del G-20 y el G-7 sobre ciberseguridad en los servicios financieros.

CONCLUSIONES

Los rápidos avances en el ámbito de las tecnofinanzas están causando cambios estructurales en el sector financiero. Al tratarse de un entorno en rápida evolución, una normativa excesivamente prescriptiva y precipitada entrañaría un riesgo de resultados indeseados. No obstante, también se corre el riesgo de que la no actualización de las políticas y los marcos normativos pueda poner a los proveedores de servicios financieros de la UE en una situación de desventaja en un mercado cada vez más global. También se da la posibilidad –por ejemplo, en el caso de la ciberseguridad– de que sigan sin abordarse riesgos clave.

El presente plan de acción en materia de tecnofinanzas combina medidas de apoyo para ayudar a poner en práctica soluciones tecnofinancieras y medidas proactivas para fomentar y estimular nuevas soluciones y actuar con determinación frente a los riesgos y retos emergentes. La Comisión ha presentado sus planes de cara a los futuros trabajos para posibilitar, tener en cuenta y, cuando resulte posible, promover la innovación en el sector financiero al tiempo que se garantiza en todo momento la preservación de la estabilidad financiera y un elevado nivel de protección de inversores y consumidores. Esto constituye un pilar importante del enfoque estratégico más amplio en materia de regulación en un contexto postcrisis. Se persiguen tres objetivos: encauzar y sacar partido a los avances tecnológicos en beneficio de la economía, los ciudadanos y la industria de la UE, fomentar un sector financiero europeo más competitivo e innovador y garantizar la integridad del sistema financiero de la UE.

(1)      El término «tecnofinanzas» se emplea para referirse a la innovación en los servicios financieros posibilitada por la tecnología que podría dar lugar a nuevos modelos empresariales, aplicaciones, procesos o productos y podría conllevar efectos asociados significativos en los mercados e instituciones financieros y en el modo en que se prestan los servicios financieros. Véase:    
http://www.fsb.org/what-we-do/policy-development/additional-policy-areas/monitoring-of-FinTech/

(2)      COM(2015) 192 final, «Una Estrategia para el Mercado Único Digital de Europa».

(3)      JOIN(2017)0450 final, «Resiliencia, disuasión y defensa: fortalecer la ciberseguridad de la UE».

(4)      Reglamento (UE) n.º 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE.

(5)      COM/2017/0139 final, «Plan de acción de servicios financieros destinados a los consumidores: mejores productos y una oferta más variada».

(6)      COM(2017) 292 final, «Comunicación sobre la revisión intermedia del plan de acción para la unión de los mercados de capitales».

(7)      Revisión intermedia del plan de acción para la unión de mercados de capitales, disponible aquí .

(8)      En 2016, el sector financiero fue objeto de ciberataques con una frecuencia un 65 % mayor que cualquier otro sector. Como consecuencia de ello, se violó la seguridad de más de 200 millones de registros, lo cual supone un incremento del 937 % con respecto a 2015, año en que fueron violados algo menos de 20 millones de registros. Fuente: «Security trends in the financial services sector», IBM, abril de 2017.

(9)      Directiva 2015/2366/UE del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior.

(10)      Directiva 2014/65/UE del Parlamento Europeo y del Consejo, de 15 de mayo de 2014, relativa a los mercados de instrumentos financieros y Reglamento (UE) n.º 600/2014 del Parlamento Europeo y del Consejo, de 15 de mayo de 2014, relativo a los mercados de instrumentos financieros.

(11)      Informe de la Comisión al Parlamento Europeo y al Consejo sobre la evaluación de los riesgos de blanqueo de capitales y financiación del terrorismo que afectan al mercado interior y están relacionados con actividades transfronterizas. COM(2017) 340 final, 26.6.2017.

(12)      Directiva (UE) 2015/849 del Parlamento Europeo y del Consejo, relativa a la prevención de la utilización del sistema financiero para el blanqueo de capitales o la financiación del terrorismo.

(13)      Advertencia a los consumidores sobre las monedas virtuales, EBA/WRG/2013/01,     https://eba.europa.eu/documents/10180/598344/EBA+Warning+on+Virtual+Currencies.pdf ;
Dictamen de la ABE sobre las monedas virtuales, EBA/Op/2014/08,     https://www.eba.europa.eu/documents/10180/657547/EBA-Op-2014-08+Opinion+on+Virtual+Currencies.pdf ; la AEVM alerta a los inversores sobre el alto riesgo de las ofertas iniciales de criptomonedas («OIC»), ESMA50-157-829,     https://www.esma.europa.eu/sites/default/files/library/esma50-157-829_ico_statement_investors.pdf ;    
la AEVM alerta a las empresas que recurren a ofertas iniciales de criptomonedas («ICO») de la necesidad de cumplir los requisitos normativos aplicables, ESMA50-157-828,     https://www.esma.europa.eu/sites/default/files/library/esma50-157-828_ico_statement_firms.pdf ; la AEVM, ABE y AESPJ advierten a los consumidores de los riesgos de las monedas virtuales, 12 de febrero de 2018, https://www.eba.europa.eu/documents/10180/2120596/Joint+ESAs+Warning+on+Virtual+Currencies.pdf

(14) https://ec.europa.eu/info/business-economy-euro/banking-and-finance/financial-supervision-and-risk-management/european-system-financial-supervision_en#reviewoftheesfs .

(15)      El Reglamento general de protección de datos crea un verdadero mercado único para la libre circulación de datos personales con un alto nivel de protección de dichos datos. Las tecnofinanzas deberán cumplir plenamente la normativa aplicable en materia de protección de datos personales.

(16)      COM(2017) 495.

(17)      El Parlamento Europeo ha pedido a la Comisión que «aplique un enfoque proporcionado, intersectorial y holístico a sus trabajos en el ámbito de la tecnología financiera» [«Informe sobre la tecnología financiera (FinTech): influencia de la tecnología en el futuro del sector financiero», Comisión de Asuntos Económicos y Monetarios, ponente: Cora van Nieuwenhuizen, 2016/2243(INI), 28 de abril de 2017].

(18)      EUCO 14/17, CO EUR 17, CONCL 5, véase    
http://www.consilium.europa.eu/media/21620/19-euco-final-conclusions-en.pdf  El Consejo Europeo «pide [a la Comisión] que presente las iniciativas necesarias para reforzar las condiciones marco con el fin de que la UE pueda buscar nuevos mercados gracias a innovaciones radicales basadas en el riesgo y reafirmar el liderazgo de su industria», 19 de octubre de 2017.

(19)       https://ec.europa.eu/info/finance-consultations-2017-fintech_en  

(20)      Como, por ejemplo, las plataformas en línea que actúan como agentes/intermediarios, las aseguradoras inter pares, el asesoramiento financiero automatizado y en monedas virtuales, las ofertas iniciales de criptomonedas, etc.

(21)       https://www.eba.europa.eu/-/eba-publishes-a-discussion-paper-on-its-approach-to-FinTech .

(22)       https://eiopa.europa.eu/Publications/Reports/Sixth%20Consumer%20Trends%20report.pdf  

(23)       https://www.bankingsupervision.europa.eu/press/pr/date/2017/html/ssm.pr170921.es.html .

(24)

      https://www.esma.europa.eu/press-news/esma-news/esma-highlights-ico-risks-investors-and-firms , 13 de noviembre de 2017

(25)      AEVM, ABE y AESPJ advierten a los consumidores de los riesgos de las monedas virtuales, 12 de febrero de 2018,     https://www.eba.europa.eu/documents/10180/2120596/Joint+ESAs+Warning+on+Virtual+Currencies.pdf

(26)      Véase EBA/DP/2017/02. Un «polo de innovación» es un régimen institucional por el que entidades reguladas y no reguladas (es decir, empresas no autorizadas) mantienen un diálogo con las autoridades competentes para discutir cuestiones relacionadas con las tecnofinanzas (compartir información, intercambiar opiniones, etc.) e intentar que se aclaren cuestiones como la compatibilidad de sus modelos de negocio con el marco normativo o los requisitos normativos o de concesión de licencias (esto es, orientación individual a las empresas sobre la interpretación de las normas vigentes).

(27)      Véase EBA/DP/2017/02. Los entornos de pruebas normativos facilitan a las entidades financieras y a las empresas no financieras un espacio controlado en el que experimentar con soluciones tecnofinancieras innovadoras con el apoyo de una autoridad durante un periodo de tiempo limitado, permitiéndoles validar y probar su modelo de negocio en un entorno seguro.

(28)      C(2017) 139 final.

(29)      Decisión C(2017) 8405 de la Comisión, de 14 de diciembre de 2017.

(30)      Los encuestados en la consulta sobre tecnología financiera señalaron que los acuerdos contractuales estandarizados entre proveedores de servicios en la nube y proveedores de servicios financieros podrían reflejar mejor las limitaciones normativas propias del sector (por ejemplo, las obligaciones de auditoría o los requisitos relativos a las inspecciones in situ). Las restricciones en cuanto a la localización de datos por parte de las autoridades públicas son otro de los obstáculos importantes identificados por los consultados. Habida cuenta del alto grado de concentración existente en el mercado de los servicios en la nube, las entidades financieras y los supervisores llamaron también la atención sobre el riesgo que representa la alta dependencia con respecto de un puñado de proveedores de fuera de la UE y la necesidad de impedir que las entidades financieras europeas se encuentren en una posición de dependencia respecto de estos proveedores.

(31)      EBA/REC/2017/03, Recommendations on outsourcing to cloud service providers(Recomendaciones sobre la externalización a proveedores de servicios en la nube), diciembre de 2017, disponible aquí .

(32)      En lo tocante a los requisitos impuestos por la legislación en materia de protección de datos personales, la coordinación de los enfoques aplicados por los supervisores de protección de datos ya está regulada por el Reglamento general de protección de datos.

(33)       https://ec.europa.eu/digital-single-market/en/news/pre-information-notice-eu-blockchain-observatory-forum .

(34)      Directiva 2013/50/UE.

(35)      Comité Europeo de Normalización («CEN»), Comité Europeo de Normalización Electrotécnica («Cenelec») e Instituto Europeo de Normas de Telecomunicación («ETSI»).

(36)      Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a ENISA, la «Agencia de Ciberseguridad de la UE», y por el que se deroga el Reglamento (UE) n.º 526/2013, y relativo a la certificación de la ciberseguridad en las tecnologías de la información y la comunicación («Reglamento de Ciberseguridad»).

(37)      «Informe sobre la tecnología financiera (FinTech): influencia de la tecnología en el futuro del sector financiero», Comisión de Asuntos Económicos y Monetarios, ponente: Cora van Nieuwenhuizen, 2016/2243(INI), 28 de abril de 2017].

(38)      ENISA, Review of the Cyber Hygiene practices, diciembre de 2016, p.14, disponible aquí .La ciberhigiene constituye un principio fundamental relativo a la seguridad de la información [...], equivale a establecer medidas rutinarias simples para minimizar el riesgo de ciberataques. La asunción subyacente es que las buenas prácticas de ciberhigiene pueden promover una mayor inmunidad en todas las empresas reduciendo el riesgo de que una organización vulnerable sea utilizada para organizar ataques o comprometer una cadena de suministros.

(39)      Directiva (UE) 2016/1148.

(40)      Consejo de Estabilidad Financiera, Stocktake of publicly released cybersecurity regulations, guidance and supervisory practices, octubre de 2017, p. 65, disponible aquí (pendiente de confirmación).

(41)      La medida n.º 7 del Plan de Acción de Educación Digital tiene como objetivo «afrontar los desafíos que conlleva la transformación digital poniendo en marcha: i) una campaña de concienciación a nivel europeo orientada a los educadores, los padres y los estudiantes para fomentar la seguridad en línea, la higiene cibernética y la alfabetización mediática; y ii) una iniciativa docente de ciberseguridad basada en el Marco de Competencias Digitales para los Ciudadanos, con el fin de capacitar a los ciudadanos para utilizar la tecnología con confianza y de manera responsable».

COMISIÓN EUROPEA

Bruselas, 8.3.2018

COM(2018) 109 final

ANEXO

de la

COMUNICACIÓN DE LA COMISIÓN AL PARLAMENTO EUROPEO, AL CONSEJO, AL BANCO CENTRAL EUROPEO, AL CONSEJO ECONÓMICO Y SOCIAL EUROPEO Y AL COMITÉ EUROPEO DE LAS REGIONES

Plan de acción en materia de tecnología financiera: por un sector financiero europeo más competitivo e innovador

Anexo – Plan de trabajo para las iniciativas incluidas en el plan de acción en materia de tecnología financiera

El presente anexo proporciona una visión general de las iniciativas incluidas en el plan de acción en materia de tecnología financiera