2024 ha sido un gran año para el cumplimiento normativo. Por un lado, se implementaron varias regulaciones importantes. Vimos que ciertas partes de la regulación de los Mercados de Criptoactivos (MiCA) entraron en vigor en junio, y el resto se aplicará a partir de finales de este año. La tan esperada llegada de la regulación EMIR Refit también entró en vigor para la UE y luego para el Reino Unido, trayendo cambios radicales en la forma en que las empresas reportan derivados a los registros comerciales.
En lo que respecta a los reguladores, fuimos testigos de un cambio de estrategia, y las comunicaciones electrónicas (eComms) fueron especialmente objeto de un escrutinio cada vez mayor. Esto se resumió en el aumento significativo y la severidad de las acciones coercitivas tomadas contra las empresas por no vigilar y registrar las comunicaciones digitales (particularmente en los EE. UU.) y NatWest convirtiéndose en una de las primeras instituciones importantes en prohibir el uso de comunicaciones electrónicas fuera del canal en dispositivos de trabajo. en whole. Luego, ha estado el pequeño asunto de las elecciones importantes en ambos lados del Atlántico, y estos nuevos gobiernos podrían remodelar significativamente las estrategias tanto para el cumplimiento como para el sector financiero en 2025.
Del mismo modo, si bien ha habido mucho revuelo en torno a la IA, su implementación práctica sigue en una etapa exploratoria, tanto en términos de cómo se integra en la tecnología regulatoria (RegTech) como de cómo los reguladores responden a su uso cada vez mayor. ¿Comenzaremos a ver que tendrá un impacto notable en estas áreas el próximo año?
Las nuevas regulaciones introducen desafíos adicionales para las empresas
Si bien EMIR Refit ya se ha implementado por completo, MiCA se acerca a su fecha de implementación completa y tiene el potencial de remodelar el cumplimiento. La regulación introduce vigilancia comercial para los proveedores de servicios de criptoactivos, un sector y clase de activos que no había estado bajo la regulación de servicios financieros en Europa antes. Cualquiera que trate con un cliente europeo se verá afectado, lo que significa que su impacto es world. A su implementación le sigue rápidamente la Ley de Resiliencia Operacional Digital (DORA), que se aplicará a partir del 17 de enero. DORA requerirá que las empresas financieras formalicen su estrategia de gestión de riesgos en torno al uso de tecnología y ciberseguridad, incluidas soluciones obtenidas de proveedores externos.
La introducción de ambos conjuntos de regulaciones significa que las empresas globales podrían enfrentar una complejidad aún mayor en términos de cumplimiento transfronterizo, y la gestión del riesgo operativo será un enorme desafío. Al tener que considerar nuevos marcos regulatorios y operativos, las empresas globales potencialmente enfrentarán importantes dolores de cabeza operativos. Tendrán que comprender qué aspectos de las regulaciones se aplican a sus modelos de negocios y luego descubrir cómo monitorear e informar esas actividades de manera efectiva.
¿No más comunicaciones electrónicas fuera del canal?
En agosto, la SEC multó a 26 empresas con un whole colectivo de 390 millones de dólares “por fallos generalizados y prolongados de las empresas y su private a la hora de mantener y preservar las comunicaciones electrónicas”. Esta medida de cumplimiento fue parte de un año récord en el que los reguladores estadounidenses tomaron medidas drásticas contra los comerciantes que utilizan comunicaciones electrónicas fuera del canal. Dado que la FCA también muestra signos de un enfoque más estricto en el Reino Unido, NatWest tomó la decisión de prohibir completamente WhatsApp, Fb Messenger y Skype. Esperamos que otras grandes instituciones financieras hagan lo mismo el próximo año, pero ¿es ésta la estrategia correcta?
Las prohibiciones generales son una forma comprensible de simplificar el cumplimiento. Sin embargo, esto simplemente podría trasladar el problema a otra parte, como el uso de grupos privados en dispositivos personales. Mientras tanto, la tecnología de vigilancia ha progresado hasta el punto en que ahora es posible monitorear canales como WhatsApp y Telegram en dispositivos aprobados y vincular mensajes a actividades comerciales sospechosas.
Por lo tanto, en lugar de simplemente cortar el acceso a estos canales por completo, las empresas pueden ver el valor de adoptar un enfoque proactivo e invertir en tecnología de vigilancia de comunicaciones electrónicas. Esto podría ser particularmente efectivo para las empresas más pequeñas, dadas las complejidades de tratar de prohibir el uso de aplicaciones en caso de que apliquen una política de “traiga su propio dispositivo” (BYOD). De hecho, esto podría incluso ofrecerles una ventaja competitiva: pueden permitir que el private se beneficie de la velocidad y la eficiencia de compartir información a través de dichos canales, y al mismo tiempo recopilar datos de dichas interacciones que luego pueden usarse para prevenir el abuso de mercado.
Estrategias cambiantes de los reguladores
2024 fue un año en el que los reguladores mundiales impusieron fuertes multas. Pero en lugar de simplemente apuntar a las empresas por casos reales de abuso de mercado o irregularidades, un número significativo de las multas impuestas por organismos como la FCA y la SEC se debieron a fallas en las medidas preventivas, como procesos de presentación de informes mal diseñados o falta de sistemas de cumplimiento sólidos. En el Reino Unido, por ejemplo, la segunda multa más grande del año hasta el momento fue impuesta al Starling Financial institution “por fallas en sus sistemas y controles de delitos financieros”. También estamos viendo un mayor enfoque en las acciones coercitivas que se toman contra individuos dentro de las empresas, en lugar de solo contra las empresas mismas.
Ésta no es la única área de evolución regulatoria. En EE.UU., ahora hay un creciente interés en tomar medidas coercitivas contra empresas medianas, no sólo contra instituciones financieras de primer nivel. Podríamos ver que los reguladores del Reino Unido y Europa se alineen con esta tendencia en 2025, especialmente en casos de incumplimiento transfronterizo y de comunicaciones electrónicas.
También será interesante ver cómo la postura pro-activos digitales del nuevo gobierno de EE. UU. se correlaciona con la agenda regulatoria. Dada la creciente popularidad de los activos digitales, ¿fomentará la nueva administración una mayor supervisión regulatoria como normalmente se podría anticipar, o continuará la tendencia de desregulación de su último mandato? Como ocurre con tantos aspectos del regreso de Donald Trump a la Casa Blanca, es possible que la única constante sea el cambio.
Las dos caras de la IA
Si bien el año 2024 ha estado dominado por las conversaciones sobre la IA y su impacto en la regulación, su uso práctico como herramienta de cumplimiento sigue siendo relativamente incipiente; sin embargo, es seguro que esto se acelerará en los próximos 12 meses. En specific, la IA será cada vez más importante por su capacidad de analizar comportamientos, detectar anomalías más rápidamente y conectar patrones de comportamiento sospechoso.
Los reguladores han sido claros en sus expectativas de que las empresas deberían utilizar nuevas tecnologías para gestionar sus obligaciones regulatorias de manera más efectiva. Para los proveedores de regtech, esto creará un mayor énfasis en la producción de herramientas de cumplimiento fáciles de usar que fortalezcan los controles regulatorios y ofrezcan información procesable. Las soluciones no deberían simplemente señalar problemas, sino explicar el razonamiento detrás de una alerta.
Sin embargo, es importante recordar que la IA no es solo una herramienta: es una fuente de datos y un riesgo completamente nuevos que necesitan su propio marco de cumplimiento. Por lo tanto, los sistemas de cumplimiento impulsados por IA definitivamente estarán en el radar de los reguladores el próximo año. Las empresas deberán tratar la IA como una oportunidad y un riesgo, y estar preparadas para las normas regulatorias que apunten a su uso a su debido tiempo.
No cabe duda de que nos dirigimos hacia un estado en el que la IA se puede utilizar como herramienta de apoyo que ayudará a los equipos de cumplimiento a identificar riesgos más rápidamente. Sin embargo, si bien algunos expertos de la industria predicen que la IA podría terminar evaluando las alertas en nombre de los equipos de cumplimiento, creemos que este es un paso prematuro y potencialmente peligroso. En última instancia, las empresas deben ser responsables de su toma de decisiones y aprovechar los conocimientos y la experiencia de sus expertos en la materia.
En conclusión, ya sea por las nuevas regulaciones, la precise represión de las comunicaciones fuera de canal o la creciente influencia de la IA, el año 2025 podría ser aún más complejo para las empresas. Continuarán surgiendo nuevas tendencias a medida que avance el año, pero una cosa está clara: los reguladores esperan que las empresas cuenten con sistemas y controles sólidos para gestionar su riesgo. Las empresas que aprovechen las herramientas adecuadas para seguir cumpliendo y utilicen conocimientos basados en datos para tomar decisiones más rápidas seguirán siendo competitivas; aquellas que no puedan, probablemente sufrirán las consecuencias derivadas del incumplimiento.
