¿Cuál es el objetivo de este Informe de Supervisión?

El fin perseguido es estandarizar y homogeneizar los requisitos exigidos a los CASPs para registrarse como entidades autorizadas con el fin de prestar servicios en la UE.

¿Quiénes son los destinatarios del Informe?

Las ANC, pero también contiene información útil para aquellas empresas que deseen prestar servicios de criptoactivos en la UE en el marco de MiCA, ya que tienen que solicitar una autorización para ello.

¿Cuál es el contenido?

Fundamentalmente, se enumeran una serie de recomendaciones para las ANC, a partir de ciertos riesgos que determinan el nivel de escrutinio al que deben someterse aquellas empresas que quieran registrarse como CASP en la UE. Asimismo, se establecen indicaciones que implican la exigencia de requisitos específicos para mitigar los riesgos relativos a la autonomía, gobernanza y externalización de ciertos servicios, que deberán ser observados junto con los principios generales para la supervisión de riesgos de terceros en el marco del Reglamento (UE) 2022/2554 sobre la resiliencia operativa del sector financiero² (DORA).

² Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo de, 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.º 1060/2009, (UE) n.º 1060/2009, (UE) n.º 648/2012, (UE) n.º 600/2014, (UE) n.º 909/2014 y (UE) 2016/1011.

¿Por qué ESMA hace una elaboración detallada de los factores de riesgo?

Porque es parte de la política de ESMA el fundamentar la supervisión del mercado en los riesgos que diversos factores entrañan no solo para lograr unos mercados más eficientes y estables, sino también una mejor protección al inversor. La propia operativa de los CASPs y las especificidades de los mercados de criptoactivos (negocio global en el que los servicios se externalizan con frecuencia y sometido a los riesgos propios de los negocios en el que el componente tecnológico es parte de su esencia) hace que ESMA considere que no existen CASPs de bajo riesgo puesto que, además parte de su operativa se desarrolla frecuentemente con inversores minoristas que no tienen la experiencia ni el conocimiento de los institucionales y porque entraña una serie de actividades novedosas que hasta hace muy poco no estaban reguladas e implican una complejidad técnica de la que carecen la mayoría de las operaciones tradicionales de los mercados financieros.

¿Cuáles son los principales factores que suponen un riesgo más elevado?

Los factores que deben ser considerados para determinar si la autorización de un CASP exige un mayor nivel de escrutinio son los siguientes:

1. El tamaño del CASP, tanto en lo referido al número de clientes como a la cantidad de activos con los que opere. Deberán sujetarse a un mayor nivel de escrutinio aquellos CASPs con más de 1.000.000 de usuarios activos anuales en la UE o un balance superior a 3.000.000.000 de euros, así como aquellas entidades más pequeñas cuando las ANC lo consideren conveniente.
2. La complejidad de la estructura del grupo y el reparto de responsabilidades dentro de este, que deben estar claros para el supervisor.
3. La actividad transfronteriza desarrollada por el CASP. Se fija como umbral la cifra de más de 200.000 usuarios activos fuera del Estado Miembro de origen para establecer controles más rigurosos.
4. El papel en el ecosistema. Las plataformas de negociación y custodios que presten servicios a otros CASPs, o cuya operativa pueda entrañar un impacto en el mercado si hay algún incidente, también deben estar sometidos a una mayor vigilancia.
5. La combinación de servicios de criptoactivos. Cuanto mayor sea el número de servicios que el CASP pretenda prestar, más rigurosa y exigente será su supervisión.
6. Modelos de negocios en los que se incluye la combinación de actividades, por ejemplo, el CASP que actúa como tal y como emisor de fichas referenciadas a activos o de fichas de dinero electrónico.
7. La externalización de funciones esenciales.
8. El historial de supervisión del que disponen las Autoridades Europeas de Supervisión (AES), que no se limita al del CASP, sino que incluye también los de las entidades de su grupo, sucursales, accionistas y aquellos que desempeñan funciones fundamentales en estas.

¿Qué requisitos fundamentales relativos a la autonomía y gobernanza de un CASP deberán ser considerados?

1. Suficiente autonomía local, sujeta al principio de proporcionalidad

   El CASP debe contar con suficientes poderes para tomar decisiones de forma autónoma en la UE; para ello, la ANC del Estado Miembro de origen se asegurará de que el CASP cuente con suficiente personal en su jurisdicción y que, al menos, un miembro ejecutivo del consejo de administración tenga su residencia en esta jurisdicción.

   Las personas que desempeñen cargos de especial importancia, o tengan responsabilidades de dirección, deberán estar a disposición de la ANC correspondiente sin necesidad de representantes o de efectuar una delegación de competencias. Asimismo, cuando el CASP cuente con personal que desarrolla sus funciones fuera del país de autorización, la continuidad y regularidad en la prestación de servicios deberán quedar garantizadas. En cualquier caso, los puestos clave deberán ser ejercidos predominantemente desde el país que haya autorizado el CASP.

2. Función de control interno

   El CASP es responsable, de modo permanente, de las funciones de cumplimiento y gestión del riesgo. En el caso de los CASPs de menor tamaño, o con un perfil de riesgo más bajo, las funciones de gestión de riesgos y cumplimiento pueden combinarse, si mantenerlas separadas resulta desproporcionado. Por otro lado, la combinación de las funciones de gestión de riesgos o de cumplimiento con las de auditoría interna debe quedar sujeta a un elevado nivel de escrutinio por parte de las ANC.

   En realidad, estas tres funciones (control interno, gestión de riesgos y auditoría interna) deben contar con un marco de políticas específicas y mecanismos de control, sujeto a revisiones periódicas.

   A su vez, un adecuado marco de control interno exige una estructura bien definida en la que queden claras cuáles son las funciones y responsabilidades de todos los integrantes de la organización.

3. Política de gestión del riesgo

   Debe caracterizarse por los siguientes elementos:

   1. Clara definición de las funciones y responsabilidades del personal clave de la organización.
   2. Concordancia entre el nivel de apetito de riesgo y los objetivos estratégicos de la organización.
   3. Identificación, para todos los servicios de criptoactivos, de los riesgos relacionados con las tecnologías de la información y comunicación (ICT, por sus siglas en inglés), operacionales, de mercado, jurídicos, de cumplimiento y relativos a conflictos de intereses. Los CASPs deberán mantener un registro de riesgos.
   4. Uso de métodos cuantitativos y cualitativos para la evaluación de los riesgos.
   5. Actuaciones y estrategias de mitigación específicas que permitan controlar o reducir la exposición a cada riesgo concreto.
   6. Informes periódicos dirigidos a los órganos de dirección y valoración exhaustiva de la gestión de los riesgos.

4. Función de cumplimiento normativo

   Debe reunir los siguientes componentes básicos:

   1. Definición de las funciones y responsabilidades. Los CASPs deben asignar, al menos, una persona a esta función, salvo que no resulte proporcional teniendo en cuenta la actividad de la entidad, en cuyo caso podrá combinarse esta función con las tareas de gestión de riesgos.
   2. Plan anual de cumplimiento.
   3. Seguimiento del riesgo de cumplimiento y elaboración de informes regulares que se deberán elevar al Comité Ejecutivo.
   4. Evaluación periódica, al menos anual, del ejercicio efectivo de esta función.
   5. Cumplimiento con las Directrices de la Autoridad Bancaria Europea (EBA) en materia de prevención de blanqueo de capitales y financiación del terrorismo.

¿Cuáles son los principios que deben guiar la externalización de funciones en los CASPs?

Los acuerdos de externalización, en ningún caso, pueden suponer una delegación de funciones o servicios hasta el punto de que el CASP se convierta en una sociedad ficticia vacía de contenido (letter-box entity).

En concreto, ESMA solicita analizar el número de funciones externalizadas y la importancia de estas (por ejemplo, si se trata de funciones críticas para el funcionamiento de la entidad). Para realizar esta evaluación indica que se puede tener en cuenta si estas representan un porcentaje relevante de sus costes totales. Las funciones relativas a soporte informático y de recursos humanos no se considerarán cruciales a la hora de evaluar la autonomía del CASP.

Por otro lado, estas entidades deben mantener siempre el control de la actividad externalizada, sin que quepa la posibilidad de que deleguen sus responsabilidades. Además, la externalización a otras jurisdicciones no debe impedir la labor supervisora de la ANC o, incluso, que pueda obtener información de la entidad en la que ha recaído la externalización.

La externalización de la custodia de los activos de los clientes solo se puede tener lugar si esta recae en entidades autorizadas de conformidad con MiCA o bien en aquellas que estén operando con una autorización nacional durante el periodo transitorio (grandfathering period). La externalización relacionada con ICT requiere cumplir con DORA.

¿Cómo deben ser las evaluaciones de capacidad e idoneidad de los directivos de un CASP?

Las evaluaciones de capacidad e idoneidad de los directivos serán objeto de controles más exhaustivos en los CASPs de mayor tamaño, complejidad y relevancia en el mercado. Para ello, las ANC considerarán los procedimientos penales en curso, los incumplimientos previos de dichos cargos, así como la posibilidad de compensar sus menores conocimientos y habilidades, en materia de criptoactivos, con las del resto de la plantilla.