ESMA publica nuevas Q&A sobre ESG Ratings, MAR y MiCA: poca fanfarria, bastante trabajo para compliance

Esta vez no hay gran discurso, ni comunicado con pretensiones históricas. ESMA publicó el 28 de mayo de 2026 un paquete de nuevas preguntas y respuestas sobre tres frentes distintos: el Reglamento europeo de ratings ESG, el régimen de abuso de mercado y MiCA. Sobre el papel, suena administrativo. En la práctica, no lo es tanto.

Las Q&A cubren seis puntos concretos: cuatro sobre el EU ESG Ratings Regulation —sistema de ranking definido (2853), disposiciones transitorias (2854), proveedores de ratings ESG establecidos tras la entrada en vigor (2855) y cambios materiales en la información de registro (2856)—; una sobre el Market Abuse Regulation y la auditoría anual exigida por el Reglamento Delegado (UE) 2016/957 (2839); y una sobre MiCA, relativa a la exención de white paper cuando se ofrece un criptoactivo distinto de un ART o EMT (2671).

Si gestionas compliance en una firma de inversión, una plataforma cripto, un proveedor de datos ESG o una entidad financiera que compra estos servicios, aquí está el quid: las Q&A de ESMA no cambian el texto legal, pero sí fijan la lectura operativa que luego usarán supervisores nacionales, asesores externos y, llegado el caso, inspectores. Nadie quiere descubrir en una revisión que interpretó una exención de MiCA con un entusiasmo creativo que el regulador no comparte.

La novedad real no está en que ESMA publique Q&A —eso lo hace de forma rutinaria—, sino en la mezcla de temas que ha puesto en el mismo paquete. ESG, abuso de mercado y criptoactivos no suelen convivir en el mismo titular salvo en los PowerPoint más ambiciosos. Aquí conviven porque Bruselas está cerrando la fase del “gran diseño legislativo” y entrando de lleno en la fase más ingrata: aterrizar conceptos vagos en decisiones concretas de registro, auditoría, divulgación y perímetro regulatorio.

Lo que ESMA ha publicado exactamente, y por qué no conviene tratarlo como un simple PDF más

El comunicado de ESMA es escueto. Apenas anuncia que hay nuevas Q&A disponibles en su sección de preguntas y respuestas. Pero los temas elegidos son cualquier cosa menos menores.

Primero, el Reglamento de ratings ESG. La UE decidió regular a los proveedores de ratings ESG porque el mercado llevaba años vendiendo comparabilidad donde a menudo había metodologías incompatibles, conflictos de interés y bastante opacidad. No es un secreto: la misma empresa podía recibir calificaciones radicalmente distintas según el proveedor. El objetivo del reglamento es meter orden en un sector que ganó influencia sin asumir durante mucho tiempo obligaciones equivalentes a esa influencia.

Segundo, MAR. La Q&A sobre la auditoría anual remite al Reglamento Delegado (UE) 2016/957, una pieza técnica vinculada a mecanismos de mercado y programas de recompra. Lo relevante aquí no es solo la referencia jurídica, sino el mensaje implícito: ESMA sigue afinando cuestiones de documentación y verificación ex post en un terreno donde muchas entidades creen tener procesos maduros hasta que un supervisor pide pruebas concretas.

Tercero, MiCA. La pregunta 2671 se centra en una de las zonas donde más se está tensando el mercado: cuándo puede aplicarse una exención al white paper si el criptoactivo ofertado no es un token referenciado a activos ni dinero electrónico. Dicho de forma menos elegante: cuándo puedes no publicar el documento y cuándo estás intentando colar una oferta bajo el radar.

Las Q&A de ESMA tienen una función práctica muy concreta. No son normas nuevas, pero sí una guía interpretativa con un peso enorme en la supervisión cotidiana. En Europa, la diferencia entre “la ley no lo dice de forma expresa” y “ESMA ya ha dejado clara su lectura” puede equivaler a varios meses de trabajo adicional, una reescritura contractual o una llamada incómoda del regulador nacional.

ESG Ratings: el regulador entra donde el mercado prefería ambigüedad

De las seis nuevas preguntas, cuatro se concentran en el Reglamento de ratings ESG. No es casualidad. Este es uno de los espacios donde la UE está intentando corregir una anomalía bastante evidente: una industria con impacto directo en asignación de capital, reporting de sostenibilidad, selección de carteras y reputación corporativa operaba con estándares metodológicos muy desiguales y con transparencia limitada sobre qué medía exactamente cada nota.

Las Q&A de ESMA se centran en cuatro asuntos incómodos para el sector, precisamente porque obligan a pasar de la retórica a la mecánica.

1. “Defined ranking system”: cuando un ranking parece una opinión, pero el regulador sospecha que ya es un rating

La referencia 2853 trata el “defined ranking system”. Traducido al castellano regulatorio de la vida real: cuándo un sistema de clasificación o ranking entra en el perímetro de rating ESG regulado.

La cuestión importa mucho porque el mercado de datos y analytics lleva años multiplicando productos híbridos: scores, rankings sectoriales, señales cuantitativas, etiquetas comparativas, semáforos y otras invenciones de marketing con aire de neutralidad científica. Si un proveedor puede presentar un producto como “ranking informativo” en vez de “rating ESG”, intenta evitar parte de la carga regulatoria asociada al régimen de autorización, gobernanza y transparencia metodológica.

ESMA, con esta Q&A, está atacando justo esa zona gris. No tengo el texto completo reproducido en la fuente que nos ocupa, así que conviene no atribuirle formulaciones literales no verificadas. Pero el mero hecho de que ESMA dedique una Q&A específica a un “defined ranking system” ya indica dónde está viendo riesgo de arbitraje semántico: en productos que, sin llamarse rating, ordenan emisores o instrumentos con base en criterios ESG de manera suficientemente estructurada como para influir en decisiones de inversión o divulgación.

Esto afecta a tres tipos de actores. Al proveedor especializado en ratings ESG, obviamente. También a proveedores de datos financieros que han incorporado capas ESG y podrían estar más cerca del perímetro regulado de lo que les gustaría. Y a las entidades usuarias —gestoras, bancos privados, aseguradoras—, porque si compran un insumo aparentemente “ligero” que en realidad encaja en el perímetro regulado, el riesgo de dependencia de un proveedor mal encuadrado no es teórico.

La pregunta útil para cualquier comprador institucional es sencilla: ¿el producto que utilizas clasifica entidades o instrumentos mediante una metodología definida, replicable y comercializada como base de comparación? Si la respuesta es sí, ya no basta con leer el folleto comercial y asentir. Hay que revisar si el proveedor está dentro del régimen correcto, qué disclosures ofrece y cómo justifica su encaje.

2. Disposiciones transitorias: el deporte favorito de Bruselas, ahora con consecuencias reales

La Q&A 2854 aborda las disposiciones transitorias. Aquí desaparece cualquier glamour regulatorio, pero entra el riesgo operativo de verdad. Casi todas las normas europeas complejas incluyen periodos transitorios: plazos para adaptarse, registros provisionales, continuidad temporal de actividad o ventanas para migrar a nuevas exigencias. Lo que hace daño no es que existan, sino que casi nunca son tan intuitivos como los departamentos comerciales suponen.

Las disposiciones transitorias en regímenes de registro suelen determinar cuatro cosas: quién puede seguir operando durante un periodo limitado, bajo qué condiciones, con qué documentación ya presentada y qué ocurre si la solicitud formal no llega o no cumple a tiempo. Eso no es un detalle. Marca la diferencia entre continuidad y disrupción contractual.

En ESG ratings, esto puede afectar a proveedores que ya ofrecían productos antes de la aplicación efectiva del nuevo régimen y necesitan entender si pueden seguir prestando servicios mientras tramitan la autorización o registro correspondiente. También afecta a clientes sujetos a deberes de diligencia sobre proveedores críticos desde una perspectiva reputacional y, cada vez más, prudencial. Si usas un rating ESG en distribución, selección de producto o reporting interno, no te interesa descubrir a mitad de proceso que tu proveedor estaba “transitoriamente” activo sobre una base más frágil de lo que creías.

Bruselas tiene una costumbre regulatoria muy suya: crear periodos transitorios que parecen diseñados para dar aire al mercado y, al mismo tiempo, obligarle a correr. ESMA entra en ese terreno porque sabe que los supervisores nacionales necesitan una lectura uniforme. Sin esa uniformidad, cada jurisdicción acabaría inventando su propia versión del “todavía puedes operar, pero con reservas”.

3. Proveedores establecidos tras la entrada en vigor: se acabó la idea de llegar tarde para entrar más cómodo

La Q&A 2855 se refiere a proveedores de ratings ESG establecidos después de la fecha de entrada en vigor. Parece una precisión técnica, pero tiene mucha miga. En varios regímenes europeos, los operadores ya existentes disfrutan de ciertos mecanismos transitorios o de grandfathering, mientras que los nuevos entrantes no pueden reclamar el mismo trato. Y con razón: una cosa es no desestabilizar un mercado preexistente y otra muy distinta permitir que nuevos jugadores utilicen el periodo transitorio como puerta lateral.

Para startups regtech, firmas de datos o proveedores internacionales que estuvieran valorando entrar en el mercado europeo de ratings ESG, esta Q&A importa porque delimita la ventaja temporal —o la ausencia de ella— de quienes se constituyen después de la entrada en vigor del reglamento. Si ESMA aclara que ciertos beneficios transitorios no alcanzan a nuevos entrantes, el mensaje es nítido: antes de vender, toca ordenar estructura, gobernanza, metodología y expediente de registro.

Hay un efecto secundario interesante. Esta clase de aclaraciones tiende a favorecer a actores con músculo jurídico y de compliance frente a competidores más pequeños que dependen de moverse rápido. No necesariamente porque el regulador quiera concentrar mercado, sino porque la carga de entrada sube. Eso puede mejorar la calidad del sector. También puede reducir competencia. Las dos cosas pueden ser verdad al mismo tiempo.

4. Cambios materiales en la información de registro: el cumplimiento no termina el día que llega la autorización

La Q&A 2856 trata los cambios materiales en la información de registro. Esta cuestión parece de mantenimiento administrativo hasta que uno recuerda cuántas empresas consideran el expediente regulatorio como una foto fija. No lo es. En casi cualquier régimen de autorización serio, los cambios relevantes en estructura accionarial, gobernanza, metodología, outsourcing, conflictos de interés o alcance del servicio deben notificarse. A veces antes de producir efecto; a veces inmediatamente después; casi nunca “cuando tengamos un hueco”.

La lógica es simple: el supervisor autorizó una entidad concreta, con una estructura concreta y un marco metodológico concreto. Si eso cambia de manera material, el supervisor quiere saberlo. No por curiosidad burocrática, sino porque las salvaguardas que justificaron la autorización inicial podrían haberse movido bastante.

En el caso de proveedores ESG, esta obligación tiene un peso especial porque el modelo de negocio evoluciona deprisa. Se compran bases de datos, se rediseñan metodologías, se integran modelos de IA, se externalizan componentes analíticos y se cambian comités internos sin demasiada ceremonia. El problema llega cuando la empresa trata cada uno de esos movimientos como una mejora comercial y olvida que, desde el punto de vista regulatorio, algunos son “material changes”.

Si eres proveedor, necesitas un criterio interno formal sobre materialidad regulatoria, no uno improvisado por legal cuando salta la duda. Y si eres cliente institucional, deberías preguntar contractualmente cómo te informará el proveedor de cambios metodológicos o estructurales que puedan afectar a comparabilidad, continuidad o validez del servicio.

La Q&A sobre MAR apunta a una verdad incómoda: la auditoría anual no es una casilla, es una prueba de madurez documental

La pregunta 2839 se refiere a la “annually conducted audit” exigida por el Reglamento Delegado (UE) 2016/957 dentro del perímetro de MAR. Aquí conviene afinar. MAR, el Reglamento (UE) n.º 596/2014, es una de esas normas que todo el mundo cree conocer hasta que aparece una obligación técnica en un acto delegado y desmonta esa confianza con eficacia casi pedagógica.

El Reglamento Delegado 2016/957 desarrolla aspectos aplicables, entre otros, a programas de recompra y medidas de estabilización. Las entidades involucradas en estas actividades no solo tienen que cumplir condiciones sustantivas, sino también demostrar que sus mecanismos de ejecución, control y verificación funcionan según el diseño exigido por la norma.

Que ESMA publique una Q&A específica sobre la auditoría anual sugiere que seguía habiendo dudas en mercado sobre el alcance, el momento, el contenido o la independencia de esa revisión. Y eso importa por dos razones.

La primera es jurídica. Una auditoría exigida por regulación no equivale a una revisión informal de segunda línea ni a una validación comercial del proveedor de servicios. Si el reglamento pide una auditoría anual, la entidad debe poder demostrar periodicidad, alcance, metodología, independencia suficiente y remediación de hallazgos. Lo de “hacemos una revisión periódica” puede sonar razonable en un comité; ante el supervisor suele sonar corto.

La segunda es más amplia: esta Q&A encaja con una tendencia regulatoria europea donde la supervisión se desplaza de la mera existencia de políticas a la evidencia verificable de funcionamiento. DORA hace exactamente eso en resiliencia digital. NIS2 lo hace en medidas de gestión de riesgos y gobernanza. GDPR, con el artículo 5.2, lo condensa en un principio que ha envejecido mejor que muchos discursos: responsabilidad proactiva. No basta con cumplir. Hay que poder probarlo.

Para entidades financieras españolas, esto tiene traducción inmediata. Si operan programas o mecanismos sujetos al perímetro del Reglamento Delegado 2016/957, conviene revisar si la “auditoría anual” está definida en una política con fecha, alcance, responsables, conservación de evidencias y escalado a órgano competente. Si no existe esa trazabilidad, el hueco no está en la teoría jurídica; está en la ejecución.

Y aquí aparece una ironía habitual del cumplimiento europeo: se invierte mucho tiempo en redactar políticas impecables y bastante menos en diseñar carpetas de evidencias que sobrevivan a una inspección. Luego llega el regulador, pide pruebas de la auditoría anual y el problema ya no es de interpretación, sino de hemeroteca interna.

MiCA y la exención de white paper: justo donde más apetece forzar el perímetro

La Q&A 2671 sobre MiCA probablemente será la más leída por el ecosistema cripto, y con motivo. El Reglamento (UE) 2023/1114, más conocido como MiCA, introdujo un régimen armonizado para emisores de criptoactivos y proveedores de servicios sobre criptoactivos en la UE. Una de sus piezas visibles es la obligación de publicar un white paper para determinados criptoactivos cuando se ofrecen al público o se solicita su admisión a negociación.

La pregunta de ESMA se centra en una exención: cuándo no hace falta ese white paper al ofrecer un criptoactivo que no sea un ART (asset-referenced token) ni un EMT (electronic money token). Y aquí es donde la práctica del mercado ha estado oliendo oportunidades.

En cualquier régimen de disclosure, las exenciones se convierten rápidamente en deporte de interpretación competitiva. Unos las leen de forma restrictiva. Otros, con una creatividad que rozaría lo poético si no afectara a inversores. ESMA entra para reducir esa divergencia antes de que cada emisor o plataforma se construya su propia doctrina.

Sin reproducir el texto exacto de la respuesta —porque la fuente suministrada no lo hace—, la mera selección de esta pregunta revela un problema habitual: ofertas que intentan encajar en una excepción al deber de white paper para evitar costes, tiempos de revisión y exposición pública de información clave. Eso afecta directamente a emisores, asesores, exchanges y CASPs que facilitan o listan estos activos.

El punto operativo es este: una exención mal interpretada no solo compromete al emisor. También genera riesgo para la plataforma que admite el activo, para el intermediario que lo distribuye y para la función de compliance que firmó el análisis de encaje. Bajo MiCA, el perímetro documental no es un adorno. Forma parte de la arquitectura de protección del mercado.

Además, la exención del white paper no es un permiso general para la opacidad. Incluso cuando una oferta pueda quedar fuera de una obligación específica, siguen existiendo otras capas de derecho aplicable: normas de consumidores, publicidad financiera, prevención de abuso de mercado si el activo cotiza en entornos cubiertos, y eventualmente deberes nacionales en materias no completamente armonizadas. En cripto, el error recurrente es confundir “no me aplica esta obligación concreta” con “nadie me puede pedir explicaciones”. Eso suele durar poco.

Para bancos, entidades de pago o firmas de inversión que exploran servicios sobre criptoactivos, la lección es incómoda pero útil: no delegues el análisis de exención en una lectura comercial del emisor. Exige la base jurídica detallada, la categoría del activo, el fundamento de la exención y una opinión interna o externa que resista escrutinio. Si tu comité de producto no está viendo esos documentos, está aprobando a ciegas.

Qué nos dice esta tanda de Q&A sobre la fase en la que entra la regulación europea

Más allá del detalle de cada pregunta, el paquete de ESMA cuenta una historia más grande. La UE ya no está solo fabricando reglamentos; está afinando bordes, cerrando atajos y estandarizando interpretaciones. Ese trabajo parece menos vistoso que aprobar una nueva gran norma con siglas memorables, pero tiene más impacto sobre la operativa diaria de las empresas.

Hay una secuencia bastante reconocible. Primero llega la legislación marco. Después, los actos delegados, RTS, ITS y guías. Luego, cuando el mercado intenta convivir con el texto y descubre zonas grises, llegan las Q&A. Es en esta tercera fase donde muchas organizaciones comprueban que su lectura inicial era demasiado optimista, demasiado local o, en algunos casos, demasiado cómoda.

Esto importa especialmente en el cruce entre finanzas y resiliencia digital. Aunque las Q&A publicadas no se refieran directamente a DORA o NIS2, comparten su filosofía de fondo: la supervisión europea se está moviendo hacia obligaciones más demostrables, trazables y comparables entre jurisdicciones. Menos principios bonitos. Más evidencia. Menos margen para decir “así lo interpretábamos aquí”.

También hay una señal política. ESMA no ha elegido cualquier combinación de temas. Ha tocado tres ámbitos donde la UE quiere credibilidad internacional: finanzas sostenibles, integridad de mercado y criptoactivos. Tres áreas con riesgo reputacional alto y con un historial de promesas de mercado bastante superior a su disciplina documental. Cuando el regulador publica aclaraciones en esos frentes, suele estar diciendo algo sin decirlo del todo: hemos visto suficiente confusión como para intervenir.

Y sí, hay un componente de fatiga regulatoria en el sector. Normal. Pero la respuesta útil no es quejarse de la complejidad europea mientras se sigue operando con matrices de obligaciones a medio cocer. La respuesta útil es asumir que las Q&A ya forman parte del derecho vivo de cumplimiento, aunque no lleven la épica de un reglamento recién aprobado.

Implicaciones para entidades financieras españolas: tres preguntas que no conviene posponer

Para entidades españolas —bancos, gestoras, aseguradoras, EAF, plataformas cripto y proveedores de datos— estas Q&A tienen una consecuencia inmediata: obligan a revisar supuestos internos que quizá se dieron por cerrados demasiado pronto.

La primera pregunta es sobre proveedores ESG. ¿Tu entidad utiliza rankings, scores o clasificaciones ESG en selección de producto, due diligence o reporting a clientes? Si es así, conviene verificar cómo define exactamente el proveedor ese servicio, qué metodología aplica, si está dentro del perímetro regulado y cómo notifica cambios materiales. No es una cuestión académica. Si la calificación influye en decisiones de inversión o divulgación, la robustez del proveedor deja de ser un asunto comercial para convertirse en un riesgo de cumplimiento y de modelo.

La segunda es sobre MAR. ¿Existe una auditoría anual formalmente diseñada cuando la normativa delegada la exige, o solo revisiones periódicas que internamente se consideran “suficientes”? Revisa el mapa de obligaciones. El supervisor no evalúa intenciones, sino evidencias. Si la entidad no puede mostrar actas, alcance, hallazgos, remediación y trazabilidad temporal, tendrá difícil defender que cumple con una obligación que la propia norma define como anual.

La tercera es sobre criptoactivos. ¿La exención de white paper que maneja tu organización está documentada con base jurídica específica o se apoya en una lectura comercial del proyecto? Aquí el riesgo no es solo regulatorio, también reputacional. Cuando una oferta sale mal, nadie recuerda la presentación comercial; todos miran quién autorizó el encaje legal.

España, además, no está al margen del endurecimiento supervisor europeo. CNMV y Banco de España llevan tiempo alineándose con una lógica de mayor trazabilidad, especialmente en gobernanza, outsourcing y documentación de controles. Las entidades que lleguen a la revisión con argumentos genéricos descubrirán que la supervisión contemporánea tiene poca paciencia para la prosa vacía.

Lo que deberían hacer ahora compliance, legal y negocio

No hace falta dramatizar, pero sí moverse con precisión. Estas Q&A no exigen rehacer todo el marco de cumplimiento de una entidad. Sí exigen revisar puntos concretos donde una interpretación desactualizada puede convertirse en exposición innecesaria.

Empieza por localizar si alguno de los seis temas toca procesos vivos en tu organización. Si compras o produces ratings ESG, analiza perímetro, metodología, registro y cambios materiales. Si operas bajo supuestos de MAR conectados con el Reglamento Delegado 2016/957, contrasta el diseño de la auditoría anual con la interpretación de ESMA. Si ofreces, estructuras o distribuyes criptoactivos, revisa la lógica de cualquier exención de white paper que esté en uso o en preparación.

Después, baja del PowerPoint al documento. No basta con decir que el proveedor ESG “está al día”, que la auditoría anual “se hace” o que la exención MiCA “la vio legal”. Necesitas pruebas: contratos, políticas, metodologías, dictámenes, actas de aprobación, flujos de escalado, evidencias de notificación y trazas de revisión. La diferencia entre una organización madura y otra que solo parece madura suele estar en la calidad de esos papeles.

Conviene también revisar el lenguaje contractual. En ESG ratings, debería quedar claro cómo informa el proveedor de cambios metodológicos o estructurales relevantes. En servicios cripto, debería existir una asignación expresa de responsabilidades sobre clasificación del activo, white paper y mantenimiento de documentación. En MAR, la política interna debería dejar claro quién encarga la auditoría, con qué independencia y cómo se reportan desviaciones.

Por último, forma a negocio. Sí, otra vez. Pero no con una sesión genérica sobre “actualizaciones regulatorias 2026”. Hazlo sobre decisiones reales: qué tipo de ranking ESG ya no puede tratarse como simple analítica comercial, qué documentación hace falta para sostener una exención de MiCA y qué entiende el regulador por auditoría anual. Si negocio no entiende la frontera, acabará vendiendo algo que legal tendrá que intentar rescatar después. Y eso rara vez sale barato.

La lectura de fondo: menos ambigüedad de mercado, más disciplina de ejecución

El comunicado de ESMA puede parecer menor porque no trae sanciones, ni investigación llamativa, ni nueva gran pieza legislativa. Justamente por eso merece atención. Las Q&A son el instrumento con el que el regulador baja a tierra una parte crucial del cumplimiento europeo: la interpretación que convierte conceptos abstractos en trabajo concreto.

En esta tanda hay una línea común bastante clara. En ESG, ESMA mira de frente a productos que podrían intentar escapar del perímetro regulado mediante etiquetas más suaves. En MAR, recuerda que una obligación de auditoría anual no se satisface con buena voluntad documental. En MiCA, avisa de que las exenciones de white paper no son una licencia para experimentar con el perímetro.

La tentación empresarial es subestimar este tipo de publicaciones porque no obligan a un titular dramático en comité. Error. Muchas fricciones supervisoras empiezan precisamente así: una Q&A que parece técnica, una interpretación interna que se deja sin revisar y, meses después, una inspección donde la entidad descubre que llevaba tiempo leyendo sola la norma.

Lo inteligente ahora no es sobrerreaccionar. Es hacer una lectura selectiva y dura. Mira dónde tu organización depende de clasificaciones ESG, dónde asume exenciones en cripto y dónde da por sentadas obligaciones documentales en MAR. Si encuentras una zona gris, no la adornes. Arréglala.

Porque ese es el verdadero mensaje del 28 de mayo de 2026: ESMA no ha anunciado una revolución. Ha hecho algo más molesto para el mercado y más útil para el supervisor. Ha recortado un poco más el espacio donde todavía era posible fingir que ciertas dudas interpretativas seguían abiertas.