2024 fue un año ajetreado para el cumplimiento normativo. Por un lado, se han implementado varias regulaciones importantes. Vimos que partes de las regulaciones de los Mercados de Criptoactivos (MiCA) entraron en vigor en junio, y se espera que el resto se aplique a partir de finales de este año. La tan esperada llegada del Reglamento EMIR Refit también entró en vigor para la UE y luego para el Reino Unido, lo que trajo cambios radicales en la forma en que las empresas informan sus derivados a los registros comerciales.
En lo que respecta a los reguladores, hemos visto un cambio de estrategia, y las comunicaciones electrónicas (eComms), en particular, están siendo objeto de un escrutinio cada vez mayor. Esto quedó ilustrado por el aumento significativo y la severidad de las medidas coercitivas tomadas contra empresas por no monitorear y registrar las comunicaciones digitales – particularmente en los Estados Unidos – y NatWest se convirtió en una de las primeras instituciones importantes en prohibir el uso de comunicaciones electrónicas fuera de canal en dispositivos de trabajo. bastante. Luego estaba el pequeño asunto de las elecciones importantes en ambos lados del Atlántico, y estos nuevos gobiernos podrían remodelar significativamente las estrategias de cumplimiento y del sector financiero en 2025.
De manera similar, aunque ha habido mucho revuelo en torno a la IA, su implementación práctica aún se encuentra en una etapa exploratoria, tanto en términos de cómo se integra en la tecnología regulatoria (RegTech) como de cómo los reguladores responden a su uso creciente. ¿Comenzaremos a ver que esto tendrá un impacto notable en estas áreas el próximo año?
Las nuevas regulaciones introducen desafíos adicionales para las empresas
Si bien EMIR Refit ya está completamente implementado, MiCA se acerca a su fecha de implementación completa y tiene el potencial de remodelar el cumplimiento. La regulación introduce la supervisión comercial de los proveedores de servicios de criptoactivos, un sector y una clase de activos que anteriormente no estaba sujeto a la regulación de los servicios financieros en Europa. Cualquiera que trate con un cliente europeo se verá afectado, lo que significa que su impacto es global. Su despliegue fue seguido rápidamente por el
Ley de Resiliencia Operacional Digital (DORA)que se aplicará a partir del 17 de enero. DORA requerirá que las empresas financieras formalicen su estrategia de gestión de riesgos en torno al uso de tecnología y ciberseguridad, incluidas soluciones de proveedores externos.
La introducción de estos dos conjuntos de regulaciones significa que las empresas globales podrían enfrentar una complejidad aún mayor en términos de cumplimiento transfronterizo, y la gestión del riesgo operativo se perfila como un enorme desafío. Al tener que considerar nuevos marcos regulatorios y operativos, las empresas globales enfrentarán potencialmente importantes desafíos operativos. Tendrán que comprender qué aspectos de las regulaciones se aplican a sus modelos de negocios y luego descubrir cómo monitorear e informar esas actividades de manera efectiva.
¿No más comunicaciones electrónicas fuera de canal?
Agosto vio la SEC multan a 26 empresas por un total colectivo de 390 millones de dólares “por las fallas generalizadas y de larga data de las empresas y su personal para mantener y preservar las comunicaciones electrónicas”. La acción de cumplimiento se produce en medio de un año récord en el que los reguladores estadounidenses han tomado medidas enérgicas contra los comerciantes que utilizan comunicaciones electrónicas fuera de canal. Dado que la FCA también muestra signos de un enfoque más duro en el Reino Unido, NatWest ha tomado la decisión de prohibir completamente WhatsApp, Facebook Messenger y Skype. Esperamos que otras instituciones financieras importantes hagan lo mismo el próximo año, pero ¿es ésta la estrategia correcta?
Las prohibiciones generales son una forma comprensible de simplificar el cumplimiento. Sin embargo, esto podría trasladar el problema a otra parte, como el uso de grupos privados en dispositivos personales. Mientras tanto, la tecnología de vigilancia ha avanzado hasta el punto de que ahora es posible monitorear canales como WhatsApp y Telegram en dispositivos aprobados y vincular mensajes a actividades comerciales sospechosas.
Por lo tanto, en lugar de simplemente cortar completamente el acceso a estos canales, las empresas pueden ver el valor de adoptar un enfoque proactivo invirtiendo en tecnología de monitoreo de comunicaciones electrónicas. Esto podría ser particularmente efectivo para las pequeñas empresas, dada la complejidad de tratar de prohibir el uso de aplicaciones si tienen una política de traer su propio dispositivo (BYOD). De hecho, incluso podría darles una ventaja competitiva: pueden permitir que el personal se beneficie de la velocidad y eficiencia de compartir información a través de estos canales, al mismo tiempo que recopilan información sobre estas interacciones que luego puede usarse para prevenir el abuso de mercado.
Cambiando las estrategias de los reguladores
2024 ha sido un año de fuertes multas impuestas por los reguladores globales. Pero en lugar de apuntar únicamente a las empresas por casos reales de abuso de mercado o irregularidades, un número significativo de multas emitidas por organismos como la FCA y la SEC se relacionaron con fallas en las medidas preventivas, como procesos, sistemas de presentación de informes mal diseñados o la falta de sistemas de cumplimiento sólidos. En el Reino Unido, por ejemplo, el
segunda multa más grande del año Hasta el momento, ha sido acusado en Starling Bank “por fallas en sus sistemas y controles de delitos financieros”. También estamos viendo un mayor enfoque en las acciones de cumplimiento tomadas contra individuos dentro de las empresas, en lugar de contra las propias empresas.
Ésta no es la única área de desarrollo regulatorio. En Estados Unidos, la atención se centra cada vez más en las medidas de cumplimiento contra las medianas empresas, y ya no sólo contra las instituciones financieras de primer nivel. Podríamos ver a los reguladores del Reino Unido y de la UE alineándose con esta tendencia en 2025, particularmente en lo que respecta al incumplimiento de las comunicaciones electrónicas y transfronterizas.
También será interesante ver cómo la postura prodigital del nuevo gobierno estadounidense se correlaciona con la agenda regulatoria. Dada la creciente popularidad de los activos digitales, ¿fomentará la nueva administración una mayor supervisión regulatoria como normalmente se esperaría, o continuará la tendencia de desregulación iniciada durante su último mandato? Como ocurre con muchos aspectos del regreso de Donald Trump a la Casa Blanca, la única constante probablemente será el cambio.
Las dos caras de la IA
Si bien 2024 ha estado dominado por debates sobre la IA y su impacto en la regulación, su uso práctico como herramienta de cumplimiento sigue en una etapa relativamente incipiente; sin embargo, esta situación ciertamente se acelerará en los próximos 12 meses. En particular, la IA será cada vez más importante por su capacidad para analizar comportamientos, detectar anomalías más rápidamente y conectar patrones de comportamiento sospechosos.
Los reguladores han expresado claramente sus expectativas de que las empresas utilicen nuevas tecnologías para gestionar sus obligaciones regulatorias de manera más efectiva. Para los proveedores de regtech, esto pondrá mayor énfasis en producir herramientas de cumplimiento fáciles de usar que fortalezcan los controles regulatorios y ofrezcan conocimientos prácticos. Las soluciones no sólo deben señalar los problemas, sino también explicar el razonamiento detrás de una alerta.
Sin embargo, es importante tener en cuenta que la IA no es sólo una herramienta: es una fuente de datos completamente nueva y un riesgo completamente nuevo que requiere su propio marco de cumplimiento. Por lo tanto, los sistemas de cumplimiento basados en IA seguramente estarán en el radar de los reguladores el próximo año. Las empresas deberán tratar la IA como una oportunidad y como un riesgo, y prepararse para estándares regulatorios que apunten a su uso cuando llegue el momento.
No hay duda de que estamos avanzando hacia un estado en el que la IA se puede utilizar como herramienta de apoyo que ayudará a los equipos de cumplimiento a identificar riesgos más rápidamente. Sin embargo, si bien algunos expertos de la industria predicen que la IA podría eventualmente evaluar alertas en nombre de los equipos de cumplimiento, creemos que este es un paso prematuro y potencialmente peligroso. En última instancia, las empresas deben ser responsables de su toma de decisiones y confiar en los conocimientos y la experiencia de sus expertos en la materia.
En pocas palabras, ya sean nuevas regulaciones, la actual represión de las comunicaciones fuera de canal o la creciente influencia de la IA, el año 2025 podría ser aún más complejo para las empresas. Seguirán surgiendo nuevas tendencias a medida que avance el año, pero una cosa está clara: los reguladores esperan que las empresas cuenten con sistemas y controles sólidos para gestionar sus riesgos. Las empresas que aprovechen las herramientas adecuadas para cumplir con las normas y utilicen conocimientos basados en datos para tomar decisiones más rápidas seguirán siendo competitivas; aquellas que no puedan correr el riesgo de sufrir las consecuencias del incumplimiento.
