Banca tradicional y fintech: buscando una regulación que equilibre la balanza

La aparición de actores puramente digitales en el ámbito de los servicios financieros está transformando la realidad de un sector dominado hasta ahora por la banca tradicional. La actividad de fintechs y bigtechs y de otros operadores en este mercado se ha visto impulsada por la pandemia, que ha propiciado un mayor uso de los canales digitales, tanto en contratación de productos como en medios de pago.

En este nuevo contexto, se ha generado un debate sobre la regulación a que se deben ajustar estos nuevos proveedores, más laxa que la que deben cumplir los bancos tradicionales, y el impacto que esta diferencia podría tener a la hora de garantizar la competencia y, por tanto, la protección de los intereses del consumidor y a la integridad del mercado.

El informe ‘Fintech regulation: how to achieve a level playing field’ publicado recientemente por el Financial Stability Institute (FSI) que preside Fernando Restoy, intenta arrojar luz sobre este debate, más complejo de lo que en principio parece.

¿Misma actividad, misma regulación?

A medida que los players digitales han ido incrementando el rango de servicios financieros que ofrecen y su cartera de clientes, cada vez han sido más numerosas las voces que desde el sector urgían a redefinir la regulación de sus actividades en este ámbito para hacerla más acorde a la que afecta a la banca tradicional. De este modo, el principio de “misma actividad, misma regulación” se ha convertido en la principal reclamación de los defensores de esta revisión.

Sin embargo, tal y como indicó Restoy en un reciente encuentro en las oficinas de KPMG que mantuvo con Francisco Uría, responsable global de Banca y Mercados de Capital de KPMG y socio responsable del Sector Financiero en KPMG España, este mantra puede generar confusión. “Los riesgos son diferentes en función de quién realiza la actividad”. Y es que la regulación tiene en cuenta el conjunto de servicios que una entidad realiza a la hora de valorar los riesgos que puede generar en la estabilidad del sistema, lo que explica las diferencias actuales entre banca tradicional y fintechs.

La banca tradicional está sujeta a unos requisitos prudenciales que tienen en cuenta todos los servicios que ofrece (depósitos, crédito, servicios de pago y gestión de patrimonio) y que regulan aspectos tan diversos como la liquidez, la exposición, la compensación y el buen gobierno o la protección del consumidor y la lucha contra el blanqueo de capitales y contra la financiación del terrorismo.

Sin embargo, las fintechs solo precisan una licencia para actuar como proveedores de servicios financieros en función de la actividad que quieran desempeñar. De este modo, la mayoría ha obtenido en la Unión Europea licencias para ser proveedores de servicios de pago, conocidas como payment institutions. Estas licencias, no obstante, vienen acompañadas de requisitos en las áreas de protección al consumidor y la lucha contra el blanqueo de capitales y contra la financiación del terrorismo.

En los que respecta a competencia, principal objeto de debate, ni bancos ni fintechs están sujetos a ninguna condición específica más allá de la que establece la normativa antimonopolio.

El principio de 'misma actividad, misma regulación' puede generar confusión. Los riesgos son diferentes en función de quién realiza la actividad.
Fernando Restoy
Presidente del Financial Stability Institute (FSI)

Redefinir el debate sobre la regulación

El debate, tal y como indicó Restoy en el encuentro, debería centrase en analizar cuándo es necesario aplicar una regulación basada en la actividad y cuándo se debe implementar una normativa basada en la entidad, la tradicionalmente conocida como “regulación prudencial”.

De acuerdo con el informe ‘Fintech regulation: how to achieve a level playing field’, en el ámbito del consumo o de la lucha contra el blanqueo de capitales y contra la financiación del terrorismo, no hay razones para imponer una regulación distinta a entidades que realicen el mismo servicio financiero, ya que no parece que haya riesgos para la integridad del sistema.

Sin embargo, en el caso de instituciones cuya quiebra suponga un riesgo para la estabilidad del sistema, el informe recomienda mantener una regulación prudencial desarrollada siguiendo un enfoque basado en la entidad. Más allá de los riesgos que comporta cada una de las actividades que realizan estas instituciones, existen riesgos derivados de cómo se interrelacionan estas actividades. La crisis financiera de 2007-2009 puso de manifiesto cómo una deficiente regulación o supervisión respecto de actividades no comprendidas en el perímetro de supervisión y en las que se estuvieran asumiendo riesgos excesivos podrían llegar a poner en peligro la estabilidad de la entidad.

Asimismo, el informe señala que la futura regulación precisará una combinación de ambos enfoques, así como habrá de prestar atención a nuevas cuestiones como la resiliencia operativa, que integra aspectos como la ciberseguridad, la continuidad del negocio o la cadena de suministro.

Resiliencia operativa y competencia

Precisamente, la resiliencia operativa es uno de los ámbitos en los que los reguladores han comenzado a adoptar un enfoque más exhaustivo, que contempla todas las dimensiones de este concepto, introduce un conjunto de requisitos para la prevención y la reactivación y amplía el tipo de entidades sujetas a regulación.

Y es que un incidente operativo en una plataforma digital que ofrece tanto servicios financieros como no financieros puede provocar disrupciones que afecten a todo el sistema. Pensemos, por ejemplo, en los efectos que podría causar en la estabilidad del sistema un incidente relacionado con servicios en la nube, cada vez más utilizados por la banca tradicional. Aunque, tal y como indica el informe, todavía no existe una regulación sobre este tipo de servicios, en Estados Unidos ha surgido el debate sobre si deberían ser considerados sistémicamente importantes para el mercado financiero.

En este nuevo entorno en el que bigtechs y fintechs están ganado una cuota de mercado cada vez mayor, sin duda uno de los aspectos más complejos es cómo se regula el uso de los datos. En la Unión Europea, el RGPD establece que los datos son propiedad del usuario y obliga a todas las empresas a compartir los datos de los clientes con terceros si los clientes lo piden, aunque no fija un estándar de transmisión que garantice que el usuario vaya a poder hacer un uso eficiente de sus datos. Por tanto, se queda corto en este aspecto, básico para definir una normativa uniforme en la provisión de servicios financieros por parte de bancos y sus competidores digitales.

Restoy destacó en el encuentro que mantuvo con Francisco Uría que algunos reguladores cada vez están prestando una mayor atención a asegurar una competencia justa entre players digitales y tradicionales y a garantizar la protección de los datos de los clientes. Es decir, una combinación entre regulación financiera tradicional, derecho de la competencia y protección de la privacidad. Sin embargo, el problema es precisamente ese. “Las iniciativas son nacionales: hasta hora, la comunidad reguladora internacional no está aún preparada para definir estándares que aplicar a las bigtech”, apuntó Restoy. No obstante, en su opinión, “el debate ya se ha generado y se ha creado cierto acuerdo conceptual sobre qué enfoque se debe aplicar ante este reto, que podría llevar a la creación de unos estándares adecuados para este ámbito”. Veremos qué ocurre.