Ultima revision
27 de junio de 2026
Fuente
ESMA
Los supervisores llevan años repitiendo que la resiliencia del sistema financiero no se mide cuando todo va bien, sino cuando una pieza grande cae y el resto tiene que seguir funcionando. Esta vez no lo han dicho: lo han puesto a prueba. ESMA ha participado en el ejercicio global CIDS, un simulacro coordinado en noviembre de 2025 con 38 entidades de contrapartida central, o CCP, y sus miembros compensadores para ensayar la quiebra de un participante común hipotético. El informe se publicó el 19 de junio de 2026 y deja una conclusión bastante menos burocrática de lo habitual: el mercado sigue demasiado fragmentado en procesos, comunicaciones y capacidad real para mover posiciones bajo presión.
Traducido a lenguaje de negocio: cuando falle un gran miembro compensador, el problema no sera solo financiero. Sera operativo, juridico, transfronterizo y tecnológico al mismo tiempo. Y ahi es donde este ejercicio deja de ser una curiosidad para especialistas en infraestructuras de mercado y se convierte en una señal util para bancos, brokers, custodios, gestores, equipos de operaciones, compliance y CISO.
La nota de ESMA es breve. El mensaje de fondo no lo es. La autoridad europea participó en el grupo de autoridades lideres junto con Bundesbank, BaFin, la Commodity Futures Trading Commission de Estados Unidos y el Bank of England. Ese grupo ayudó a diseñar el ejercicio, supervisó su ejecución y recogió lecciones aprendidas. El informe de resultados identifica tres frentes para la siguiente iteración: reducir la fragmentación entre procedimientos y convenciones de comunicación de las CCP, probar de forma mas realista los mecanismos de porting y estudiar un modulo voluntario de “market stress overlay” con un escenario macro coherente entre varias CCP. Ninguna de esas tres cosas es cosmética. Las tres atacan justo el punto donde los planes de default suelen ser impecables en PowerPoint y mucho menos elegantes a las tres de la mañana.
Una CCP se interpone entre comprador y vendedor en mercados de derivados, y en algunos casos de repos o cash equities, para reducir riesgo de contraparte. Se convierte en comprador frente a cada vendedor y vendedor frente a cada comprador. Esa función centraliza y gestiona el riesgo de incumplimiento exigiendo margen, contribuciones al fondo de default y procedimientos de gestión de impagos. En la arquitectura financiera posterior a 2008, las CCP dejaron de ser una tubería discreta y pasaron a ser una pieza sistémica.
Eso no es una metáfora. En la UE, el marco esta en EMIR, el Reglamento (UE) n.º 648/2012, que impone requisitos prudenciales, de gobernanza y de gestión de riesgos a las CCP. El articulo 48 de EMIR obliga a las CCP a disponer de procedimientos para la gestión del incumplimiento de un miembro compensador, incluido el cierre de posiciones y el uso de garantías. El articulo 49 aborda la portabilidad de posiciones y garantías de clientes. Sobre el papel, la maquinaria existe desde hace años. El problema es que la portabilidad y la coordinación no fallan en el reglamento; fallan en la ejecución.
Y aqui aparece la primera lección seria del CIDS 2025. El ejercicio no se centró solo en la suficiencia de recursos financieros ni en la cascada de default. Se centró en lo que suele quedar en segundo plano hasta que llega el caos: quien llama a quien, con que formato, en que portal, bajo que criterio documental y con que capacidad operativa para mover cuentas, posiciones y colateral entre CCP y miembros compensadores en varias jurisdicciones a la vez.
Si te suena a detalle administrativo, piensa otra vez. Un default desordenado de un participante relevante puede obligar a varios miembros a gestionar en paralelo llamadas urgentes de varias CCP, reconciliaciones de posiciones, instrucciones contradictorias por diferentes canales y decisiones sobre clientes que quieren portarse a otro clearing member antes de que el mercado se cierre o el spread se dispare. Lo que mata no siempre es la norma. A veces es el Excel adjunto a un correo mal enviado.
La parte interesante del informe no es que se haya hecho un simulacro global. Eso ya ocurrió antes. ESMA publicó en 2023 un informe sobre un fire drill global de CCP. Lo relevante ahora es donde los supervisores quieren ver progreso concreto. Han señalado tres áreas, y cada una merece lectura propia.
El informe pide “industry-led progress” para reducir la fragmentación en procedimientos y convenciones de comunicación utilizadas por las CCP, y para promover un mayor uso de soluciones basadas en portales. Detrás de esa frase suave hay una crítica bastante clara: distintas CCP siguen usando flujos, nomenclaturas y canales suficientemente diferentes como para complicar la respuesta de los miembros compensadores cuando el incidente es simultaneo o casi simultaneo.
Esto importa porque muchos grandes bancos participan en varias CCP. Un default de un miembro común obliga a coordinar acciones en múltiples infraestructuras. Si cada una tiene su propia taxonomía, su propio formato de aviso, su propia lógica de escalado y su propio portal, la fricción no se suma; se multiplica. La industria financiera lleva décadas pidiendo estandarización cuando le conviene y resistiéndose cuando afecta a sus costumbres internas. Aquí se ve el coste de esa incoherencia.
La mención a soluciones basadas en portales también merece atención. Los supervisores no están pidiendo una app bonita. Están sugiriendo que, frente al intercambio disperso por correo, teléfono y hojas ad hoc, un entorno mas estructurado puede reducir errores, mejorar trazabilidad y acelerar la toma de decisiones. Para cualquier responsable de resiliencia operativa, esto conecta directamente con un principio elemental: en una crisis, la estandarización vale casi tanto como la capacidad técnica.
La ironía es evidente. Llevamos años hablando de digitalización del sector financiero, pero en algunos procesos críticos el mercado aun depende de una mezcla artesanal de llamadas, documentos y convenciones heredadas. Todo muy sofisticado hasta que hay que mover riesgo de verdad.
La segunda recomendación del informe es apoyar pruebas mas realistas de los acuerdos de porting. Este es probablemente el punto mas delicado de todos. La portabilidad de posiciones y colateral de clientes hacia otro miembro compensador es una de las grandes promesas del modelo de compensación central: aislar en la medida de lo posible a los clientes del default del clearing member. EMIR, como se ha dicho, contempla esa portabilidad en su articulo 49. Pero una cosa es tenerla prevista contractualmente y otra muy distinta ejecutarla en condiciones de estrés.
¿Qué exige un porting que funcione de verdad? Varias cosas a la vez: datos limpios sobre cuentas y posiciones, documentación contractual alineada entre cliente, miembro saliente, miembro receptor y CCP, criterios claros de elegibilidad del receptor, capacidad operacional para aceptar el flujo en horas y no en dias, y colateral identificable y transferible sin disputas. Si una sola de esas piezas falla, la portabilidad deja de ser una salida ordenada y se convierte en litigio con cronómetro.
Por eso el informe insiste en que el test refleje mejor las condiciones operativas reales. No basta con preguntar si, en abstracto, un miembro receptor aceptaría una cartera. Hay que probar si puede hacerlo con la calidad de datos disponible, con personal bajo presión, con ventanas de mercado estrechas, con comunicaciones simultaneas de varias CCP y con clientes que no todos tienen la misma preparación documental. Dicho de otro modo: menos “sí, podríamos” y mas “demuéstralo con fricción incluida”.
Para bancos, brokers y clientes institucionales, esto tiene una consecuencia practica inmediata. Si sus estructuras de cuenta, anexos de portabilidad, playbooks operativos o inventarios de colateral no soportan un traslado rápido, el problema no es de la CCP. Es suyo. Y quedará expuesto en el peor momento.
La tercera recomendación es quizá la mas inteligente del paquete: estudiar un modulo voluntario de “market stress overlay” con un escenario macro coherente entre CCP para poner a prueba capacidad operativa y restricciones bajo condiciones de mercado estresadas pero plausibles. Aqui los supervisores corrigen una limitación habitual de muchos simulacros. Se ensaya el default como un evento aislado, cuando en la realidad las quiebras relevantes suelen aparecer con volatilidad, gaps de liquidez, aumento de márgenes y saturación operativa.
Un stress overlay bien diseñado obligaría a medir no solo si las CCP y sus miembros entienden el proceso de default, sino si pueden ejecutarlo cuando al mismo tiempo suben las llamadas de margen, hay presión sobre colateral elegible, los equipos de operaciones van al limite y la dirección quiere información cada quince minutos. Esa es la prueba de madurez de verdad.
Tambien es la parte donde DORA deja de ser una conversación paralela y entra de lleno en el asunto. El Reglamento (UE) 2022/2554, conocido como DORA, exige a las entidades financieras un marco de resiliencia operativa digital capaz de soportar disrupciones severas. El articulo 6 obliga a disponer de un marco interno de gestión del riesgo TIC sólido y documentado. El articulo 11 se refiere a la respuesta y recuperación. El articulo 15 exige pruebas del marco de resiliencia digital, proporcionadas a la naturaleza del riesgo. Aunque el CIDS no sea un ejercicio DORA y las CCP tengan su propio perímetro regulatorio, la lógica converge: probar procesos críticos bajo estrés y no solo bajo condiciones de laboratorio.
La lección es incómoda para quienes aun separan “riesgo de mercado”, “riesgo operativo” y “riesgo TIC” como si fueran departamentos sin vasos comunicantes. En un evento de default sistémico, esos riesgos llegan juntos al despacho. Y suelen hacerlo antes que el café.
La tentación de muchas entidades será archivar esta noticia bajo la carpeta de “infraestructuras de mercado, interesante pero ajeno”. Error. El informe importa a cuatro grupos muy concretos, y todos tienen trabajo pendiente.
Los miembros compensadores son el punto de contacto crítico entre CCP y clientes. Si participan en varias CCP, la fragmentación operativa identificada por el CIDS les afecta de lleno. Deben revisar si sus equipos pueden absorber mensajes, calls y requerimientos procedentes de infraestructuras distintas sin depender de traducción manual, múltiples bandejas y conocimiento tribal.
Hay preguntas muy básicas que conviene formularse ya. ¿Existe un libro único de procedimientos de default que mapee diferencias entre CCP? ¿Estan normalizados los flujos de decisión entre front office, operaciones, tesorería, legal y tecnología? ¿La información clave sobre clientes susceptibles de porting esta disponible en una sola vista operativa? ¿Se puede demostrar, no solo afirmar, que un portal alternativo o una caída de canal principal no interrumpe la gestión del default?
Esto toca DORA por el lado mas concreto posible. El articulo 17 sobre clasificación de incidentes TIC y el 19 sobre notificación no se activan por un default per se, pero un fallo tecnológico durante la gestión del default puede escalar a incidente operativo relevante. Si tus procesos dependen de integraciones frágiles, accesos privilegiados mal gobernados o comunicación no trazable, la supuesta resiliencia financiera se queda coja justo cuando mas se necesita.
Los clientes que compensan indirectamente o a través de miembros compensadores tienen un incentivo obvio a mirar esto de cerca. La portabilidad no funciona por deseo, sino por diseño previo. Hay que saber con que estructura de cuenta se opera, que acuerdos contractuales existen con un posible miembro receptor, que documentación falta, como se identifican posiciones y colateral, y quien toma decisiones si el miembro principal entra en default.
Para buy-side, corporates y tesorerías activas en derivados, esta noticia es un recordatorio bastante severo: si nunca has probado en serio tu capacidad de porting, no tienes una estrategia de continuidad; tienes una esperanza. Y la esperanza no suele estar recogida en el anexo operativo.
Aunque el ejercicio se sitúe en el terreno de infraestructuras financieras, para los responsables de ciberseguridad y resiliencia operativa hay otra lectura evidente. Las CCP, los portales, los proveedores de mensajería, los repositorios de datos, los sistemas internos de reconciliación y los canales de comunicación conforman una cadena de dependencias criticas. DORA dedica su capitulo V a la gestión del riesgo asociado a terceros proveedores de servicios TIC, y el articulo 28 exige una estrategia sobre riesgo de terceros. Si la ejecución de un default depende de portales externos, conectividad especifica o herramientas de workflow no fácilmente sustituibles, esa dependencia debe estar cartografiada y probada.
El CIDS no habla de ciberincidentes, pero eso no lo hace menos útil para un CISO. De hecho, las pruebas mas valiosas rara vez se parecen a una auditoría de controles. Se parecen a un evento operativo donde tecnología, datos, accesos y comunicaciones tienen que funcionar a la vez. La pregunta correcta no es si el proceso de default tiene componente TIC. La pregunta correcta es cuánto del proceso sobrevive si ese componente falla parcialmente.
Para legal y compliance, el mensaje es igual de claro. Hay que revisar si la documentación contractual de cuentas segregadas, acuerdos de portabilidad y procedimientos internos soporta de verdad una ejecución acelerada. Muchas entidades han hecho durante años un trabajo razonable de cumplimiento formal. El problema es que una cláusula útil en papel puede ser inservible si nadie sabe activarla, si depende de una confirmación imposible de obtener en tiempo o si choca con requisitos distintos en otra jurisdicción.
El CIDS es, en el fondo, una auditoría informal de ejecutabilidad. Y ese tipo de auditoría suele incomodar porque no pregunta si existe la política, sino si la política sobrevive al primer contacto con el mercado abierto.
Hay un cambio de fondo en la forma de supervisar que este ejercicio refleja bastante bien. Durante años, las normas prudenciales, las reglas de infraestructuras de mercado y los marcos de resiliencia tecnológica caminaron en paralelo. Ahora empiezan a converger en algo mas exigente: pruebas coordinadas, expectativas sobre interoperabilidad y foco en la capacidad real de operar en crisis transfronteriza.
En el caso europeo, EMIR sigue siendo el corazón regulatorio de las CCP. Pero DORA ha añadido una capa horizontal para entidades financieras que obliga a pensar la resiliencia operativa digital como una disciplina de negocio, no como un apéndice de TI. Y la revisión de EMIR, junto con el mayor escrutinio supervisor sobre dependencias sistémicas, empuja en la misma dirección: menos complacencia con las estructuras que parecen sólidas hasta que dependen de una cadena demasiado humana.
La presencia conjunta de ESMA, Bundesbank, BaFin, CFTC y Bank of England también tiene lectura política. No estamos ante un ejercicio puramente europeo. Es una señal de que, en materia de default management de CCP, las autoridades asumen que la crisis relevante será transfronteriza desde el minuto uno. Eso obliga a cooperación entre supervisores, pero también deja una advertencia a la industria: si tu modelo operativo sigue organizado por silos nacionales, vas por detrás del riesgo.
No es una novedad total, pero sí un cambio de intensidad. Tras la crisis de 2008, el G20 empujó la compensación central de derivados OTC. Cuanto mas riesgo concentramos en CCP, mayor es la necesidad de probar no solo su robustez financiera, sino la coordinación de todo el ecosistema que depende de ellas. Esa es la paradoja regulatoria del clearing central: reduce riesgo bilateral, pero eleva el valor sistémico de que la operativa en torno a la CCP no falle. Y justo por eso este tipo de simulacros ya no son opcionales en términos reputacionales, aunque jurídicamente su formato concreto pueda ser voluntario.
Hay un vicio bastante extendido en mercados financieros: asumir que, como un proceso existe desde hace tiempo y los equipos lo conocen, entonces funcionará bajo estrés. Los ejercicios de default tienden a desmontar esa ficción. La gente conoce sus procedimientos habituales. Lo que no siempre conoce es como esos procedimientos colisionan con los de otras CCP, con la documentación de clientes, con los límites de sistemas internos o con la presión de un mercado realmente tenso.
La insistencia del informe en reducir fragmentación y reforzar portales revela precisamente eso. La familiaridad local no basta cuando el incidente exige coordinación entre múltiples actores con herramientas y dialectos operativos distintos. Es el clásico problema de la industria financiera moderna: integración económica, ejecución todavía artesanal en demasiados puntos críticos.
La idea del stress overlay también rompe otra comodidad intelectual: la de probar por capas. Primero default, luego estrés de mercado, luego contingencia TIC, luego crisis de comunicación. Muy ordenado. Muy poco realista. La realidad mezcla esas capas en el mismo día. Si la próxima iteración del CIDS incorpora ese modulo, el valor del ejercicio aumentará mucho. También aumentará el número de participantes que descubran límites que preferían no ver. Mejor en un simulacro que en una apertura europea con volatilidad desbocada.
Aunque el ejercicio es global, el impacto para entidades europeas es directo y para las españolas nada teórico. Bancos con actividad relevante en derivados, brokers con acceso a compensación, infraestructuras, depositarios y grandes clientes institucionales con exposición a clearing tienen motivos concretos para revisar sus capacidades.
En España, la conversación suele girar mucho alrededor de DORA, notificación de incidentes, testing y dependencia de proveedores TIC. Bien. Pero este caso enseña algo que a veces se pierde en la implementación: la resiliencia no se demuestra solo en ciberataques o caídas de servicio. También en procesos críticos de mercado donde la tecnología es la columna vertebral de decisiones operativas complejas.
Para una entidad española sujeta a DORA, la pregunta útil no es “tenemos un marco de resiliencia aprobado”. La pregunta útil es otra: ¿nuestros procesos de clearing y de gestión de clientes críticos están incluidos en el inventario de funciones de negocio, dependencias TIC y escenarios severos plausibles? Si la respuesta es difusa, hay un gap serio entre gobierno documental y resiliencia efectiva.
Tambien conviene mirar la interacción con NIS2 cuando existan operadores esenciales o importantes en la cadena, aunque el núcleo de este caso no sea NIS2. La Directiva (UE) 2022/2555, en su articulo 21, exige medidas de gestión de riesgos de ciberseguridad proporcionadas y apropiadas, incluyendo gestión de incidentes, continuidad de negocio y seguridad de la cadena de suministro. No sustituye a DORA, pero refuerza el mismo mensaje: dependencia crítica y continuidad deben probarse con escenarios creíbles.
Para cumplimiento interno en España, eso se traduce en tareas bastante concretas: revisar si los escenarios de pruebas integran default de miembro, indisponibilidad de canal, presión sobre datos y decisiones de porting; confirmar que la gobernanza de crisis identifica responsables con nombre y sustitutos; y asegurar que la documentación contractual de clientes relevantes está accesible, versionada y enlazada con la operativa. Son trabajos menos vistosos que un gran programa de transformación, pero suelen decidir si una entidad aguanta o improvisa.
No hace falta convertir esta noticia en pánico regulatorio. Sí conviene usarla para hacer comprobaciones inteligentes. Las mas urgentes son bastante prosaicas, que suele ser donde vive el riesgo de verdad.
Primero, identificar todas las CCP con las que la entidad interactúa directa o indirectamente, y mapear diferencias de procedimiento, comunicación, formatos y escalado. Si ese mapa no existe, la organización depende de conocimiento disperso. Mala señal.
Segundo, revisar la capacidad real de porting para clientes relevantes. No en abstracto. Cuenta por cuenta, contrato por contrato, sistema por sistema. Si no hay un potencial miembro receptor identificado para carteras críticas o si la información de colateral no puede aislarse con rapidez, el supuesto plan de continuidad tiene agujeros.
Tercero, incorporar escenarios mixtos a los ejercicios internos. Un default de miembro con mercado estresado y fricción tecnológica ofrece mucho mas valor que tres pruebas separadas y pulcras. DORA empuja precisamente hacia esa visión de severidad plausible, no de teatro de cumplimiento.
Cuarto, revisar dependencias TIC y de terceros asociadas a procesos de default y porting. Portales, mensajería, autenticación, accesos remotos, repositorios documentales, reconciliación. Todo eso debe tener contingencias verificables. El articulo 28 de DORA sobre riesgo de terceros no se satisface con un inventario bonito; exige estrategia, supervisión y control contractual.
Quinto, probar la gobernanza de crisis. Quien decide, con que umbral, en cuanto tiempo y con que información. Las organizaciones suelen sobreestimar su rapidez decisoria hasta que aparecen varias autoridades, varios canales y varios intereses a la vez. El CIDS recuerda que la resiliencia sistémica se juega tanto en la sala de crisis como en la infraestructura.
El informe no cambia la ley por sí solo. No crea obligaciones nuevas con efecto inmediato. Pero los ejercicios de este tipo suelen funcionar como pre-supervisión: primero se identifica la fricción, luego se incorpora a expectativas supervisoras, y después aparecen preguntas mas duras en revisiones, inspecciones y diálogos de supervisión.
Es razonable esperar tres efectos. Uno, mas presión sobre la industria para armonizar comunicaciones y flujos de default management entre CCP. Dos, mas insistencia supervisora en pruebas operativas de porting con mayor realismo. Tres, mayor interés por escenarios cruzados que combinen default, estrés de mercado y restricciones operativas o tecnológicas.
No sería extraño que esto influyera también en como las entidades diseñan sus programas de testing bajo DORA. Formalmente son mundos distintos, pero la lógica de supervisión es convergente: pruebas mas duras, mas transversales y menos decorativas. La era del ejercicio de mesa que todo el mundo aprueba porque nadie quiere descubrir problemas se está agotando. Era hora.
La noticia de ESMA no trae una gran reforma normativa ni una sanción espectacular. Trae algo mas útil: evidencia de que, incluso en el corazón mas regulado del sistema financiero, sigue habiendo demasiada fricción operativa donde debería haber coordinación fluida.
Eso no significa que el modelo de CCP sea débil. Significa algo mas matizado y mas importante. La solidez financiera de una infraestructura puede verse degradada por debilidades operativas distribuidas entre muchos actores que, en tiempos normales, funcionan suficientemente bien. El CIDS 2025 ha servido precisamente para poner luz ahi.
Si trabajas en una entidad con exposición a clearing, no leas esta historia como una nota institucional de junio. Léela como una prueba de realidad. El próximo default relevante no vendrá acompañado de una versión simplificada del problema para que encaje en tu organigrama. Vendrá con mercado tenso, clientes nerviosos, sistemas al limite y varias jurisdicciones hablando a la vez. La pregunta no es si existe un procedimiento. La pregunta es si aguanta cuando todo lo demás se complica.
Ese, al final, es el valor real del ejercicio global en el que ha participado ESMA. Menos ceremonia. Mas verdad operativa.
Guía de referencia
Todo sobre DORA: artículos, obligaciones y plazos
Resumen semanal gratis
Suscríbete al resumen semanal y te avisamos de cada cambio en DORA: registro de proveedores ICT, resiliencia operativa y plazos clave.
¿Necesitas la checklist ya? Empieza un GAP Assessment DORA o descarga plantillas en el Marketplace.
DORA (Reglamento UE 2022/2554) aplica a entidades financieras de la UE (bancos, aseguradoras, gestoras, proveedores de servicios de pago, etc.) y a sus proveedores terceros de servicios TIC considerados críticos.
DORA es plenamente aplicable desde el 17 de enero de 2025. Las entidades deben tener implantado su marco de gestión del riesgo TIC, pruebas de resiliencia y la gestión de riesgo de terceros TIC.
Las entidades deben mantener un registro de información de todos los acuerdos contractuales con proveedores de servicios TIC, identificando los que soportan funciones críticas o importantes (art. 28).
Recursos oficiales
Descarga políticas, checklists y frameworks de cumplimiento elaborados por expertos en regulación DORA.