- El nuevo reglamento imponía 120 nuevas exigencias administrativas de control e información a corredores y agentes
- La propuesta original pretendía tratar a los pequeños y medianos negocios de mediación igual que a las grandes entidades financieras y aseguradoras
La nueva propuesta de reglamento europeo de ciberseguridad para el sector financiero, DORA, no se aplicará a los pequeños y medianos negocios de mediación de seguros después de que el Parlamento Europeo decidiera finalmente excluirlos. Pendiente de consenso con la Comisión, solo quedarían afectados por la norma los mediadores cuyo negocio se base exclusivamente en ventas automatizadas.
El Consejo General de Mediadores, a través de la Federación Europea de Intermediarios de Seguros, BIPAR, formuló ante el Parlamente Europeo, una serie de enmiendas oponiéndose a incluir a corredores y agentes considerando que era “claramente discriminatoria al no tener en cuenta ni el tamaño, ni el nivel de riesgo, ni la realidad de la mediación española”.
Para la única corporación de derecho público de mediadores de seguros y primera europea por número de miembros, “las actividades de mediación no representan un riesgo sistémico para la estabilidad del sector financiero de la UE. Equipararlos a grandes corporaciones muestra un preocupante desconocimiento de la actividad de los mediadores de seguros, en su mayoría pymes. Es una forma de legislar para el sector financiero que se traslada al seguro sin calibrar tamaños de empresa. Ya ocurrió con la normativa de Blanqueo de capitales”.
Las principales razones por las que el Consejo General se opuso a que los mediadores pequeños y medianos quedaran excluidos de DORA son las siguientes:
- La normativa imponía 120 puntos de control de seguridad digital y sistemas administrativos de información y cumplimiento, diseñados para las grandes entidades financieras. No son apropiados para un sector con 75.000 operadores en España y 500.000 en toda Europa. Equiparan los negocios de mediación con los de las entidades financieras y las compañías aseguradoras sin tener en cuenta el tamaño de cada uno.
- Desde el punto de vista de la relación coste-beneficio, la propuesta DORA no se adapta a los riesgos reales ligados a los servicios informáticos de los mediadores. El sector de la mediación ya cumple minuciosamente con la ley de protección de datos.
- Los costes para los mediadores, derivados de los requisitos de la normativa, no son proporcionales al escaso riesgo que presentan ni a los objetivos generales que hay que alcanzar. Imponer DORA se traduciría en cargas administrativas y costes desproporcionados con relación al bajo riesgo que se debe abordar.
- La probabilidad de que un mediador sea fuente de riesgo de un ciberataque es menor que el de un consumidor que visita la web de un asegurador directo. Si el argumento para imponer la normativa DORA a los intermediarios es el riesgo, todos los consumidores de la UE que accedan al sitio web de un asegurador deberían cumplir con las disposiciones de DORA.
- El dinero de los clientes proveniente de pagos de primas, que los mediadores tienen de forma temporal, ya está protegido por la Directiva de Distribución de Seguros (IDD). Además, los ingresos brutos anuales totales de los intermediarios son generalmente pequeños y están relacionados con su tamaño.
La propuesta de normativa europea DORA (Reglamento de Resiliencia Digital Operativa) tiene por objeto el establecimiento de un marco único de obligaciones, principios y requerimientos que ayuden a mitigar los riesgos de las TIC en el sector financiero. Una vez acabados los trabajos en comisión comenzará a tramitarse el reglamento definitivo.