La operacionalización de las operaciones de SoB para la resolución de bancos medianos requiere una compensación adecuada para los adquirentes adecuados que se hacen cargo de los pasivos sensibles de un banco en quiebra (principalmente depósitos). Dicha compensación debe proporcionarse principalmente mediante la transferencia de activos suficientes y la prestación de apoyo externo. El primero dependería de la disponibilidad de suficiente capital de empresa desaparecida que se amortizaría o permanecería en la entidad residual, lo que permitiría transferir más activos que pasivos. Según CMDI, este último sería proporcionado principalmente por el DIF mientras satisfacía su límite financiero.
Este documento muestra que bajo un régimen como el actual de la UE, en el que los créditos del DIF son preferidos sobre otros depósitos en insolvencia, hay esencialmente poco o ningún margen para que el DIF respalde las transacciones de SoB. Por el contrario, en virtud de una norma general de preferencia por depósitos (como la que prevalece en los Estados Unidos o la incluida recientemente en la propuesta CMDI de las CE) existen combinaciones adecuadas de apoyo del DIF y requisitos de capital de preocupación desaparecida que podrían facilitar efectivamente las transacciones de SoB.
En consecuencia, los requisitos de MREL para los bancos con una estrategia de resolución SoB preferida deben calibrarse principalmente para que la operación sea factible ayudando a los adquirentes a obtener suficiente valor en la transacción, incluido el apoyo DIF esperado. El marco presentado en este documento muestra que es posible desarrollar una metodología estructurada para realizar esa tarea combinando la evaluación de tres factores clave: (i) el valor de franquicia estimado del banco en quiebra; ii) la proporción de depósitos garantizados sobre todos los pasivos (por ejemplo, depósitos totales) que se prevé transferir en el marco de la resolución; y iii) la capacidad del régimen de liquidación bancaria vigente para preservar el valor de los activos de los bancos en quiebra.
Naturalmente, la determinación de MREL es solo un aspecto de la planificación de la resolución. El marco propuesto también confirma que, más allá de una determinación adecuada para MREL, la eficacia de las estrategias de resolución de SoB mejoraría significativamente mediante la promoción de valores de franquicia sólidos, lo que implica, por ejemplo, una contabilidad precisa, y evitando la dependencia excesiva de los bancos SoB en depósitos no cubiertos. Al hacer eso, las transacciones de SoB serían más fácilmente factibles al tiempo que respetarían el límite financiero para el apoyo del DIF y mantendrían el MREL en niveles asequibles.
Categoría: FSI – Instituto de Estabilidad Financiera
La ciberseguridad de los bancos – Una segunda generación de enfoques regulatorios
Las reglamentaciones bancarias relativas a la ciberseguridad y la ciberresiliencia han madurado y ya están bien establecidas en varias jurisdicciones. Las regulaciones relacionadas con la seguridad cibernética y la resiliencia cibernética cubiertas en Crisanto y Prenio (2017) eran bastante nuevas. Estas regulaciones existían solo en unas pocas jurisdicciones, principalmente en AES, y se centraban en establecer un enfoque y controles de gestión de riesgos cibernéticos. Seis años después, muchas jurisdicciones, incluidas las EMED, ya cuentan con regulaciones relacionadas con el ciberespacio. Muchas de estas regulaciones más recientes (o regulaciones cibernéticas de segunda generación) se centran en mejorar las capacidades de resiliencia cibernética y proporcionar a las instituciones y autoridades financieras herramientas para gestionar adecuadamente los riesgos cibernéticos. No obstante, un número importante de EMED todavía no tienen regulaciones relevantes.
Los reguladores están agregando requisitos o expectativas específicas en algunas áreas o agregando nuevos elementos en sus regulaciones cibernéticas. Ahora existen requisitos regulatorios más específicos sobre respuesta y recuperación de incidentes cibernéticos, así como sobre gestión y supervisión de terceros, informes de incidentes y marcos de prueba. Algunas jurisdicciones también han introducido requisitos o expectativas para la fuerza laboral de seguridad cibernética y las métricas de resiliencia cibernética. Sin embargo, la estrategia de seguridad cibernética, los informes de incidentes cibernéticos, el intercambio de inteligencia de amenazas, las dependencias de terceros y las pruebas de resiliencia cibernética siguen siendo el enfoque principal de estas regulaciones.
Las regulaciones cibernéticas en las EMED tienden a ser más prescriptivas. Este es especialmente el caso cuando se trata de la estrategia de seguridad cibernética, los acuerdos de gobernanza, incluidos los roles y responsabilidades, y la naturaleza y frecuencia de las pruebas de resiliencia cibernética. Los reguladores bancarios en las EMED tal vez vean la necesidad de fortalecer la cultura de resiliencia cibernética en todo el sector financiero y/o de ser más claros y específicos en sus expectativas dadas las limitaciones de recursos y el suministro limitado de habilidades y experiencia en sus jurisdicciones. De esta manera, los consejos de administración, la alta dirección y el personal de los bancos tienen una orientación concreta a seguir para mejorar la seguridad cibernética de sus instituciones.
Es necesario protegerse contra un enfoque basado en el cumplimiento para abordar la ciberseguridad. Demasiada prescriptividad puede resultar en un enfoque de casilla de verificación para la seguridad cibernética. La implementación de regulaciones cibernéticas tampoco debe verse como un ejercicio de casilla de verificación. Debe complementarse con recursos de supervisión adecuados para garantizar una aplicación y un cumplimiento efectivos. Por lo tanto, hay margen para que las organizaciones internacionales y las autoridades financieras en Aes apoyen los esfuerzos de desarrollo de capacidades de supervisión en las EMED, en particular en el ámbito de la ciberseguridad. Después de todo, las amenazas cibernéticas no conocen fronteras.
El trabajo internacional (por ejemplo, de los organismos de seguridad y del G7) ha facilitado un nivel útil de convergencia de la ciber resiliencia en el sector financiero, pero es necesario seguir trabajando. Ninguna empresa o regulador puede abordar con éxito el riesgo cibernético por sí solo. Además, la naturaleza transfronteriza del riesgo cibernético requiere un grado razonable de alineación en las expectativas regulatorias nacionales. El trabajo del G7 CEG y los SSB sobre ciberresiliencia ha hecho que las expectativas de regulación y supervisión financiera sean más consistentes en diferentes jurisdicciones y, por lo tanto, es un paso en la dirección correcta. En particular, la propuesta del FSB para una mayor convergencia en la notificación de incidentes cibernéticos es un desarrollo importante, ya que trata de conciliar los diferentes requisitos jurisdiccionales que solo cargan a las instituciones supervisadas en lugar de ayudar a abordar estos incidentes. En el futuro, podría haber margen para alinear las formas en que las autoridades evalúan la resiliencia cibernética de las instituciones supervisadas. Esto podría, por ejemplo, incluir alinear la evaluación de la adecuación de la gobernanza de seguridad cibernética, la fuerza laboral y las métricas de resiliencia cibernética de una empresa. Además, dadas las posibles implicaciones transfronterizas para el sistema financiero de un incidente cibernético en un proveedor externo crítico, particularmente un proveedor de nube, podría haber margen para considerar un marco de supervisión internacional para dichos proveedores.
Crypto, tokens y DeFi – Navegando por el panorama regulatorio
Abordar los riesgos planteados por los criptoactivos se ha convertido en un tema apremiante para los responsables políticos. Los mercados de criptoactivos han experimentado ciclos de crecimiento y colapso, lo que a menudo resulta en grandes pérdidas para los inversores. Estos mercados plantean riesgos que, si no se abordan adecuadamente, podrían socavar la protección del consumidor, la estabilidad financiera y la integridad del mercado. Si bien la agitación experimentada en estos mercados a fines de 2022 hasta ahora no ha llevado a un contagio más amplio, el resultado podría haber sido peor si los mercados de criptoactivos y el sistema financiero tradicional hubieran estado más interconectados.
Los responsables políticos están considerando su respuesta a los riesgos relacionados con la criptografía. Las posibles líneas de acción, que no son mutuamente excluyentes, incluyen prohibir actividades específicas, aislar los mercados de criptoactivos del sistema financiero tradicional, regular las actividades de criptoactivos de una manera similar a las finanzas tradicionales y desarrollar alternativas que mejoren la eficiencia del sector financiero tradicional (Aquilina et al (2023)). Estas líneas de acción dependerán de los riesgos que suponen para la prestación de servicios financieros las diversas actividades que involucran criptoactivos y su tecnología subyacente, referidas en este documento bajo el término general de tecnología de contabilidad distribuida (DLT). Para las líneas de acción que consideran la regulación de las actividades de criptoactivos, la pregunta depende de la evaluación de los responsables políticos de qué riesgos planteados por los criptoactivos y las actividades relacionadas deben ser capturados por la regulación y si esos riesgos son capturados por la regulación existente o si hay brechas que deben abordarse.
Este documento proporciona una visión general de las medidas de política adoptadas en 19 jurisdicciones para abordar los riesgos asociados con las actividades que incorporan criptoactivos y capacidades de programación DLT en los servicios financieros. En este documento, las actividades de criptoactivos se clasifican en tres categorías basadas en la taxonomía propuesta por el FSB: (a) emisión; b) explotación de una infraestructura de TRD; y (c) prestación de servicios (por ejemplo, billetera, custodia, pago, intercambio, préstamo). Para la visión general de las medidas políticas, las iniciativas se clasifican en tres categorías dependiendo de si abordan los riesgos asociados con (i) actividades de criptoactivos gestionadas centralmente; (ii) actividades de criptoactivos gestionadas por la comunidad; o (iii) exposiciones directas de los usuarios a criptoactivos y actividades relacionadas.
Los diferentes tipos de medidas políticas en todas las jurisdicciones incluyen prohibiciones, restricciones, aclaraciones, requisitos a medida e iniciativas para facilitar la innovación. Dado que estas medidas tienden a reflejar la evolución de la evolución del mercado, la mayoría de las iniciativas actuales se dirigen a las actividades de criptoactivos gestionadas centralmente, con un enfoque particular en la prestación de servicios.
Para las actividades de emisión gestionadas centralmente, las iniciativas regulatorias actuales se centran principalmente en los emisores de tokens de seguridad y monedas estables. Todas las jurisdicciones que cubrimos aquí requieren que los emisores de tokens de seguridad cumplan con la regulación de valores. Algunos están desarrollando marcos para los emisores de monedas estables utilizadas para el pago. Las iniciativas propuestas introducen requisitos de licencia, capital y reservas, pero difieren entre países en términos de terminología, tipo de licencia, derechos de reembolso y estándares para las prácticas de gobernanza y gestión de riesgos. Solo un pequeño número ha adoptado un marco regulador para los emisores de monedas estables utilizadas para otros fines. Además, solo unos pocos han aclarado si las leyes de valores se aplican a los emisores de tokens de utilidad.
Las iniciativas relacionadas con las actividades de infraestructura gestionadas centralmente exploran principalmente los beneficios y riesgos del uso de DLT por parte de los intermediarios financieros tradicionales y sus capacidades de programabilidad. Algunas jurisdicciones están colaborando en casos de uso de pruebas piloto de infraestructuras basadas en DLT para la compensación y liquidación de pagos y valores. Otros están facilitando la innovación en un entorno controlado a través de regímenes de licencias y sandboxes a medida. Solo una jurisdicción ha emitido una guía específica para DLT.
Las iniciativas relacionadas con las actividades de prestación de servicios gestionados centralmente a menudo amplían el perímetro regulatorio a nuevos intermediarios centralizados no bancarios. La mayoría de las jurisdicciones han introducido requisitos de autorización, prudencia, lucha contra el blanqueo de capitales y la financiación del terrorismo (ALD / CFT) y protección del consumidor. Los enfoques regulatorios incluyen el establecimiento de marcos a medida, la introducción de excepciones específicas a la legislación aplicable, la emisión de aclaraciones sobre cómo se aplican los pagos existentes o la regulación de valores, y la restricción o prohibición de ciertas actividades.
En relación con las actividades gestionadas por la comunidad, las medidas políticas tienen como objetivo abordar los riesgos planteados por los tokens nativos y los protocolos DeFi. Para las actividades en las que se trata de tokens nativos, algunas autoridades se basan en una interpretación amplia de los «derechos» vinculados a un token nativo para definir si se trata de un valor y, por lo tanto, aclarar la aplicación de la regulación de valores. Otros utilizan ejemplos concretos para obtener orientación adicional. Para los protocolos DeFi, la mayoría de las iniciativas fueron en forma de documentos analíticos. En la actualidad, solo una autoridad en las jurisdicciones cubiertas ha emitido una guía sobre la adopción de contratos inteligentes. Otro ha aclarado los requisitos aplicables relacionados con los intercambios descentralizados y las actividades de participación. Algunas autoridades han tomado medidas de cumplimiento que abordan los riesgos ALD / CFT y de protección de los inversores planteados por ciertos protocolos. Un pequeño número ha introducido iniciativas para facilitar la adopción de protocolos con ciertas características por parte de los intermediarios financieros tradicionales en un entorno de confianza.
Para los riesgos asociados con la exposición directa de los usuarios a criptoactivos y actividades relacionadas, las iniciativas tienden a reflejar la evolución de los mercados de criptoactivos. Todas las jurisdicciones cubiertas han emitido advertencias a los inversores minoristas sobre los riesgos que plantean los criptoactivos, y algunas de estas advertencias se dirigen a tipos específicos de criptoactivos (por ejemplo, tokens nativos, tokens de seguridad y tokens no fungibles). Algunas jurisdicciones han prohibido la distribución de ciertos criptoactivos a inversores minoristas y otras han impuesto restricciones a las actividades promocionales. Para los inversores mayoristas, ninguna jurisdicción ha introducido hasta ahora reglas para mitigar los riesgos derivados de las instituciones financieras tradicionales que invierten en criptoactivos.
Los responsables políticos pueden enfrentar más desafíos a medida que evolucionan los mercados de criptoactivos y las capacidades de programación DLT se aplican a nuevos casos de uso. Será necesario realizar esfuerzos continuos para comprender los nuevos modelos de negocio y sus riesgos subyacentes, crear o mantener las aptitudes y la capacidad necesarias para evaluar adecuadamente las posibles repercusiones en los mercados financieros y ajustar rápidamente las respuestas de política. Solo con recursos suficientes y acceso a información oportuna y confiable las autoridades podrán evaluar los riesgos futuros para el sistema financiero.
La naturaleza global de los criptoactivos plantea desafíos significativos que requieren una cooperación y coordinación efectivas entre los reguladores nacionales e internacionales. Las jurisdicciones no pueden mitigar por completo los riesgos asociados con los criptoactivos si las medidas políticas son susceptibles a lagunas e inconsistencias a través de las fronteras. Una respuesta coordinada es esencial. En este contexto, las normas internacionales que promueven un marco regulatorio coherente desempeñarán un papel clave en la prevención del arbitraje regulatorio y un entorno regulatorio fragmentado que podría socavar la estabilidad financiera.
Seres humanos controlando la IA – Expectativas regulatorias emergentes en el sector financiero
Existen marcos o principios de gobernanza de la IA que se aplican en todas las industrias y, más recientemente, varias autoridades financieras han iniciado el desarrollo de marcos similares para el sector financiero. Dentro de estos marcos, varios temas comunes convergen en principios rectores generales sobre confiabilidad, rendición de cuentas, transparencia, equidad y ética. Otros principios rectores mencionados en ciertos marcos se relacionan con la privacidad de los datos, la dependencia de terceros y la resiliencia operativa. Si bien estos principios de alto nivel son útiles para proporcionar una indicación amplia de lo que las empresas deben considerar al utilizar tecnologías de IA, hay crecientes llamamientos para que los reguladores financieros proporcionen una orientación práctica más concreta. Un enfoque para satisfacer esta necesidad de la industria es que los reguladores proporcionen una compilación de las mejores prácticas emergentes de la industria sobre la gobernanza de la IA, cuando estén disponibles, para cada uno de estos principios generalmente aceptados.
Los requisitos existentes sobre gobernanza, gestión de riesgos, así como desarrollo y operación de modelos tradicionales también se aplican a los modelos de IA. Estos incluyen requisitos de gobernanza que responsabilizan el uso de tales modelos en los consejos de administración y la alta dirección de las instituciones financieras. Más específicamente, las empresas generalmente deben contar con procesos sólidos de validación de modelos para determinar la confiabilidad de los resultados de la modelización. Es importante destacar que los supervisores esperan que dichos modelos sean transparentes, no solo como parte de las buenas prácticas de gestión de riesgos, sino también para permitir la revisión supervisora de los modelos. Además, las leyes, normas u orientaciones reglamentarias existentes abarcan la privacidad de los datos, la dependencia de terceros y la resiliencia operativa, incluso en el uso de modelos.
Análisis eficaz para identificar debilidades estructurales en los bancos
Los bancos rara vez se debilitan de la noche a la mañana, y las fallas en los modelos y estrategias comerciales suelen ser las causas principales de las vulnerabilidades y quiebras de los bancos. Si bien los choques repentinos pueden ser la causa inmediata de la quiebra de los bancos, las causas fundamentales son generalmente más estructurales. Si no se identifican a tiempo y se dejan enconar, estas vulnerabilidades harán que las actividades de un banco sean cada vez más insostenibles, hasta el punto en que se vuelva inviable.
El análisis del modelo de negocio (BMA) es un componente clave de los marcos de supervisión que permite a los supervisores identificar las vulnerabilidades de los bancos en una etapa temprana y ayuda a garantizar su seguridad y solidez. Cuando el análisis identifique vulnerabilidades existentes o potenciales, la evaluación puede sentar las bases para intervenciones de supervisión tempranas. Por lo tanto, BMA tiene el potencial de mejorar la supervisión bancaria y hacerla más efectiva, proactiva y con visión de futuro.
Este documento presenta una variedad de prácticas de supervisión con respecto a las BMA. En particular, tiene como objetivo identificar prácticas que podrían ser relevantes para las autoridades que buscan introducir explícitamente BMA en su proceso de revisión de supervisión (SRP). Para hacerlo, el documento enfatiza los aspectos prácticos de BMA, incluidos los procesos y procedimientos para desarrollar y realizar un BMA, así como para integrar sus resultados en el SRP general.