El Diario Oficial de la Unión Europea (DOUE) del 14 de julio publica el Reglamento (UE) 2025/1355 del Banco Central Europeo (BCE) de 2 de julio de 2025 sobre los requisitos de vigilancia de los sistemas de pago de importancia sistémica.
Para garantizar la eficiencia de la vigilancia de los sistemas de pago, el BCE adoptó los principios del Comité de Pagos e Infraestructuras del Mercado (CPMI), anteriormente conocido como CPSS, y el Comité Técnico de la Organización Internacional de Comisiones de Valores (IOSCO) mediante el Reglamento (UE) nº 795/2014 (BCE/2014/28), que se aplica tanto a los sistemas de pago para grandes importes, como a los sistemas de pequeños pagos, de importancia sistémica.
Este Reglamento se aplica a los sistemas de pago gestionados tanto por bancos centrales como por operadores privados. Pero los principios CPMI-IOSCO reconocen que hay casos excepcionales en los que se aplican de modo distinto a los sistemas de pago gestionados por los bancos centrales, debido a los requisitos establecidos en las leyes, reglamentos o directrices pertinentes. Dado que el Eurosistema tiene objetivos y responsabilidades de política pública, así como un marco institucional definido en el Tratado y los Estatutos del SEBC, los sistemas de pago de importancia sistémica (SIPS) del Eurosistema pueden quedar exentos de determinadas exigencias del presente Reglamento. En particular, los SIPS del Eurosistema deben quedar exentos de determinados requisitos específicos sobre gobierno, planes de terminación gradual, recursos propios y activos líquidos, garantías y riesgos de inversión, referidos a las mismas áreas que los requisitos correspondientes adoptados formalmente por el Consejo de Gobierno. Estas exenciones se especifican en varias disposiciones del Reglamento.
El Consejo de Gobierno del BCE identifica un sistema de pago como SIPS si cumple los criterios específicos establecidos en el presente Reglamento. Además, un sistema de pago puede identificarse como SIPS sobre la base de una metodología flexible que tenga en cuenta aspectos cualitativos como el tamaño del sistema de pago, su complejidad y su sustituibilidad.
La actividad comercial de un SIPS puede fluctuar con el tiempo. Para garantizar que el régimen de identificación de los SIPS sea justo y, al mismo tiempo, en la medida de lo posible, mantener la continuidad y evitar reclasificaciones frecuentes de los sistemas de pago, estos dejan de clasificarse como SIPS cuando no cumplan los criterios para ser identificados como tales en dos revisiones de verificación consecutivas. Sin embargo, puede no ser apropiado que un sistema mantenga su condición de SIPS durante ese plazo cuando sea improbable que cumpla los criterios de identificación como SIPS en el siguiente ejercicio de verificación. Por consiguiente, se permiten también reclasificaciones antes de plazo basadas en evaluaciones individuales.
La eficiencia y solidez de un SIPS también depende de la claridad e idoneidad de sus mecanismos de gobierno, que deben estar claramente documentados y garantizar que el consejo cuente con el asesoramiento de una comisión de riesgos objetiva e independiente sobre sus responsabilidades relacionadas con los riesgos. Además, a fin de garantizar la integridad de los miembros del consejo y del órgano rector y, en su caso, de la dirección de la sucursal, el operador del SIPS debe tener en cuenta los antecedentes de condenas o sanciones impuestas por infracción del derecho aplicable en materia mercantil, concursal, de servicios financieros o de blanqueo de capitales o financiación del terrorismo, o por incumplimiento de deberes profesionales o por fraude.
Un marco sólido y en continua evolución que permita gestionar exhaustivamente los riesgos jurídico, de crédito, de liquidez, operacional, general de negocio, de custodia, de inversión y de otra índole es esencial para identificar, medir, controlar y gestionar todos los tipos de riesgos que surgen en el funcionamiento de un SIPS o asume su operador. Lo mismo puede decirse sobre la solidez y resiliencia del sistema de activos de garantía del operador del SIPS, las normas y procedimientos relativos al incumplimiento de los participantes, y los planes de continuidad del negocio.
Para gestionar exhaustivamente los riesgos operacionales y teniendo en cuenta el creciente despliegue y uso de medios tecnológicos en el funcionamiento de un SIPS, así como el aumento de la amenaza de ciberataques y los daños que un ciberataque exitoso podría causar al funcionamiento de un SIPS, el operador del SIPS debe contar con una estrategia y un marco de ciberresiliencia con procedimientos, procesos y controles adecuados para gestionar eficazmente el ciberriesgo y garantizar un alto nivel de ciberresiliencia. Los requisitos relativos a dicha estrategia y marco deben basarse en las Expectativas de vigilancia sobre ciberresiliencia de las infraestructuras del mercado financiero, con el fin de que algunas expectativas clave pasen a ser jurídicamente vinculantes para los operadores de SIPS. Además, es esencial que estos comprueben periódicamente la eficacia de los controles y sistemas del SIPS realizando pruebas de penetración guiadas por amenazas de conformidad con el marco europeo para ciberataques simulados basados en inteligencia de seguridad (TIBER-UE).
Teniendo en cuenta el mayor uso de la externalización y los riesgos que estas prácticas podrían suponer para la eficiencia y la seguridad de un SIPS, el operador del SIPS debe mantener siempre la responsabilidad de las funciones, operaciones o servicios externalizados. Asimismo, debe contar con acuerdos y marcos contractuales que garanticen que cualquier riesgo derivado de la externalización sea evaluado y mitigado adecuadamente por el operador del SIPS antes del acuerdo de externalización y durante esta. Además, en caso de externalización de funciones, operaciones o servicios críticos, deben existir planes de salida que garanticen el funcionamiento fluido y continuado del SIPS en caso de que se suspenda un acuerdo de externalización. Los acuerdos intragrupo no suponen por naturaleza menor riesgo que la externalización, por lo que, aun admitiendo sus posibles ventajas, deben estar sujetos a los mismos requisitos que la externalización.
La reducción del riesgo sistémico requiere, entre otras cosas, la firmeza de la liquidación. Por eso, la liquidación intradía o en tiempo real también son aconsejables si fuesen compatibles con el modelo de negocio general del SIPS y necesarias para permitir que el operador y los participantes del SIPS gestionen sus respectivos riesgos de crédito y de liquidez.
Los criterios de participación deben ser objetivos y basados en el riesgo y estar a disposición del público, de modo que permitan un acceso equitativo y (sin perjuicio de unos estándares aceptables de control de riesgos) abierto al SIPS, fomenten la seguridad y eficiencia del SIPS y de los mercados a los que da servicio y, al mismo tiempo, no restrinjan de forma desproporcionada la libre prestación de servicios.
Las disposiciones del presente Reglamento que exijan a los operadores de SIPS recopilar, tratar y transmitir datos deben entenderse sin perjuicio de las normas aplicables sobre protección de datos de los participantes o clientes.
Un SIPS globalmente eficiente y eficaz, con metas y objetivos claramente definidos, mensurables y alcanzables, estará mejor preparado para satisfacer las necesidades de sus participantes y de los mercados a los que da servicio, concluye el Reglamento, que entrará en vigor a los 20 días de su publicación en el DOUE. El Consejo de Gobierno revisará la aplicación general del presente Reglamento en el plazo máximo de dos años desde la fecha de su entrada en vigor, y desde entonces cada tres años, y valorará si es necesario modificarlo.