Les asseguradores exercim un paper fonamental en la sostenibilitat. En aquest article s'aprofundeix en el nostre rol d'inversors, en com s'estan integrant els criteris ambientals, socials i de governança (ASG) en les estratègies d'inversió per promoure la sostenibilitat i gestionar a llarg termini.

Context

Els esdeveniments climàtics extrems, com huracans, incendis forestals i onades de calor, es produeixen amb més freqüència i gravetat, fet que subratlla la urgència d'abordar el canvi climàtic de manera efectiva. En resposta a aquesta crisi, els governs de tot el món han assumit compromisos globals per a la transició cap a una economia més sostenible.

A l'última cimera sobre canvi climàtic (COP28), més de 200 països van acordar per primera vegada deixar enrere les energies fòssils i accelerar la transició cap a sistemes energètics d'emissions netes zero per al 2050. Aquest acord històric reflecteix un consens global sobre la necessitat d'una acció urgent i coordinada per limitar l'augment de la temperatura global a 1,5ºC per sobre dels nivells preindustrials. La decisió també inclou objectius intermedis, com triplicar l'energia renovable i duplicar l'eficiència energètica en l’àmbit mundial per al 2030, així com conservar, protegir i restaurar la natura i els ecosistemes.

Aquests compromisos governamentals tenen un impacte significatiu en el sector financer en general i en l'assegurador en particular, que es posiciona com un dels actors clau en aquesta transició cap a una economia més sostenible.

Cada vegada més, els inversors tenim en compte els riscos mediambientals, basats en la ciència, i s'integren en les decisions d'inversió a llarg termini, com a titulars d'actius i com a part de la nostra responsabilitat fiduciària. Aquests esforços inclouen establir objectius d'inversió sostenibles, elaborar plans d'acció climàtica i col·laborar amb les empreses en les quals invertim per donar suport als seus plans de transició cap a la sostenibilitat. No obstant això, els inversors no podem actuar de manera aïllada; necessitem que els governs adoptin mesures efectives per crear un entorn propici per a la inversió del sector privat, amb condicions legals, polítiques i reguladores adequades.

Segons les projeccions de Bloomberg, el mercat de l'ASG podria superar els 40 bilions de dòlars per al 2030 (enfront dels 140 bilions d'actius gestionats), tot i un creixement més lent i un sentiment polaritzat. La supervisió reguladora és crucial per abordar el *greenwashing*, cosa que millorarà la maduresa i credibilitat del mercat, encara que limitarà la creació de nous productes. Europa continuarà sent el principal contribuent, mentre que els Estats Units podrien estancar-se a causa de les eleccions i la reacció contra l'ASG.

A continuació, desenvoluparem com ho estem abordant a VidaCaixa des de la perspectiva inversora d'una companyia d'assegurances de vida i gestora de plans de pensions. És una trajectòria que vam iniciar fa més de 20 anys, inicialment amb una orientació molt centrada en governança i enfocada en aspectes socials, i que, amb el pas dels anys i igual que la resta de la indústria, ha evolucionat cap a la integració de riscos ASG en general, amb desenvolupaments cada cop més tecnificats en la part mediambiental.

El nostre rol com a inversors

En el marc de VidaCaixa com a entitat asseguradora, les inversions es gestionen tenint en compte el compliment de la regulació actual, principalment Solvència II i IFRS, els objectius dels quals són augmentar la protecció dels assegurats, millorar la transparència i la comparabilitat dels estats financers de les asseguradores.

Basada en aquesta regulació, les inversions de les asseguradores poden variar també en funció del negoci (focalització en vida o no vida) i del mateix perfil de risc. Tot i això, un tret comú en el sector assegurador espanyol (i també europeu) és el pes important que té l'actiu de renda fixa en les carteres. Això és degut al fet que els bons permeten tenir una bona visibilitat dels fluxos de caixa futurs, la qual cosa és un avantatge per cobrir els compromisos de pagament que l'asseguradora ha assumit amb els seus assegurats. Les carteres no estan referenciades a la rendibilitat d'un índex de mercat a batre, sinó que es tracta d'adequar el perfil de les inversions als compromisos financers adquirits amb els clients. A més, la renda fixa sol ser menys volàtil i consumeix menys capital regulador que altres actius. En general, les asseguradores solen tenir entre el 75% i el 100% del seu actiu invertit en renda fixa, podent invertir la resta en renda variable, immobles o actius alternatius.

En l'univers de la renda fixa, les asseguradores inverteixen tant en bons emesos per estats (deute públic o governamental) com en bons emesos per entitats privades (renda fixa privada o crèdit, amb emissions d'entitats corporatives o financeres).

A VidaCaixa, intentem que una part important d'aquests actius de renda fixa privada estiguin emesos per companyies que pertanyin a sectors estratègics i amb alta visibilitat de resultats financers. Igualment, es posa l'accent en què adoptin bones pràctiques de governança i socials. Cal destacar que, en molts casos, aquestes companyies (utilities, energia, financers, infraestructures, etc.) s'enfronten a reptes importants en matèria mediambiental, cosa que ens obliga a ser especialment vigilants i entendre bé els seus plans de transició.

Procés d’integració

A VidaCaixa integrem factors ASG en totes les decisions d'inversió a través d'un procés d'exclusió, integració, monitoratge i diàleg. Iniciem el procés verificant que el tipus d'activitat de la companyia estigui alineat amb la Política de sostenibilitat. Això inclou la possibilitat d'excloure companyies que participin en activitats com ara armament controvertit (mines antipersones, armes biològiques i nuclears, entre d'altres) o que vulnerin de manera manifesta els drets humans (principis de l'OCDE i de l'OIT) o mediambientals (extracció de carbó tèrmic, generació d'electricitat a partir de carbó tèrmic, sorres bituminoses, i petroli i gas a l'Àrtic, sota certs llindars).

A més, els criteris ASG estan integrats en l’anàlisi de les inversions i en el monitoratge continu de les carteres d'inversió. Utilitzem un sistema d'alertes diari per avaluar i qualificar les inversions, detectant possibles controvèrsies relacionades amb temes ASG que puguin afectar els emissors de la cartera.

En el cas de les inversions del balanç de VidaCaixa, incorporem criteris ASG específics, com l'adhesió a la *Net Zero Asset Owner Alliance*, amb compromisos de reducció del 50% de les emissions de CO₂ de les nostres inversions per al 2030, basant-nos en el protocol tècnic establert per l'aliança.

Un altre dels processos implementats és l'establiment de mecanismes de diàleg amb les companyies en les quals invertim, que puguin presentar àrees de millora en matèria ASG, per acompanyar-les i constatar que la seva estratègia de sostenibilitat està alineada amb les nostres polítiques i els compromisos adquirits. Aquesta capacitat d'orientar les inversions a llarg termini és un punt molt rellevant i que fa diferencial al sector assegurador respecte a altres actors del sector de la gestió d'actius.

Finalment, en termes ASG, diferenciem la renda fixa privada, on es disposa de mecanismes cada vegada més sòlids i un full de ruta clar, del deute públic, on el seu reemplaçament no sempre és possible, les seves característiques ASG són molt estructurals i actualment no hi ha un posicionament regulador que en recolzi el tractament.

En conclusió, la implementació d’un procés d’integració ASG requereix una estructura significativa, amb equips especialitzats, proveïdors, sistemes de gestió adaptats i una coordinació transversal dins de les nostres organitzacions.

Aliances I col·laboracions entre inversos

La integració dels criteris ASG ha evolucionat principalment a través de l'aplicació de millors pràctiques de mercat. El seu desenvolupament ha estat possible gràcies, fonamentalment, a la col·laboració multidisciplinària de molts actors a través d'aliances internacionals, destacant les promogudes per les Nacions Unides. Aquestes aliances han contribuït a establir un marc comú d'enteniment, de coordinació i de difusió de la sostenibilitat.

A VidaCaixa ens hem adherit a aquestes aliances i col·laboracions com a part del nostre compromís amb la sostenibilitat, contribuint a aquest debat global i assegurant l'aplicació de les millors pràctiques. En aquest sentit, cal destacar les adhesions i participacions en:

• Principis d’Inversió Responsable (PRI): Adhesió el 2009, sent la primera asseguradora de vida a Espanya a unir-se. Des del 2018, VidaCaixa ha obtingut la màxima qualificació dels PRI en la categoria d'estratègia i governança.

• Net Zero Asset Owner Alliance: Adhesió el 2022, amb el compromís de reduir les emissions de gasos d’efecte hivernacle (abast 1 i 2) de les inversions corporatives de l'activitat asseguradora.

Atendre aquests compromisos requereix gestionar adequadament les carteres d'inversió. Per exemple, a la cartera de bons corporatius de l'asseguradora s'ha reduït l'exposició al sector utilities, fet que ha permès disminuir la petjada de carboni un 22% l'any 2023.

• Climate Action 100+: Adhesió el 2018, com a part d'una col·laboració entre inversors per establir diàleg amb les companyies que són els majors emissors corporatius de gasos d'efecte hivernacle en l’àmbit mundial, amb l'objectiu de reduir les emissions.
• Advance: Adhesió el 2022, com a part d'una col·laboració entre inversors per dialogar amb les companyies amb l'objectiu de reforçar la implementació dels drets humans.

Rendibilitat - Risc amb la incorporació de criteris ASG

Més enllà de les qüestions d'alineació amb els valors corporatius, així com les preferències de sostenibilitat dels clients, s'ha debatut i analitzat molt quin és l'impacte que la integració ASG pot tenir en el binomi Rendibilitat - Risc. Aquestes anàlisis conclouen majoritàriament que la integració dels criteris ASG manté el nivell de rendibilitat i redueix el risc.

Sobre la qüestió anterior, d’acord amb la nostra experiència, incorporem algunes consideracions:

• En la mesura que delimitem molt el nostre univers d'inversió a través d'exclusions molt exigents, perdem l'oportunitat de diversificar i, per tant, afectem negativament el binomi Rendibilitat - Risc. Per aquest motiu, defensem el diàleg davant de l'exclusió. Això és especialment rellevant en compromisos com el Net Zero Asset Owner Alliance, on actualment un percentatge reduït de companyies està preparat davant d'un escenari de 1,5 ºC.
• D'altra banda, els conceptes ASG complementen la informació que fins ara teníem amb els estats financers. En la mesura que prenem decisions d'inversió més informades, podem tenir un millor control dels riscos.
• Addicionalment, els inversors hem estat disposats a pagar una sobreprima per emissions amb etiqueta verda d'entre 5-10 pb anuals. Aquest greenium, que fluctua en funció de l'oferta i la demanda, ha tendit a desaparèixer a mesura que hi ha més oferta d'emissions verdes cotitzades i una moderació en l'increment de la demanda. Per als signants de compromisos Net Zero, aquestes emissions són importants i hem de comptar-hi per a la construcció de les carteres d'inversió.
• Finalment, les inversions considerades d'impacte actualment estan molt esbiaixades cap a temàtiques de salut, educació o energies renovables. No descartem que aquestes poden ser bones temàtiques d'inversió; tanmateix, deixem de banda moltes altres inversions i, per tant, reduïm la nostra capacitat de diversificació.

Conclusions

La sostenibilitat requereix una coordinació global i ja estem veient que això no és senzill. No hi ha creixement econòmic sense energia. La transició d’una economia basada en energies fòssils a renovables implica evolucionar cap a un nou ordre amb nous actors, i això genera tensions geopolítiques amb interessos contraposats.

La societat està prenent consciència de la necessitat de fer un ús responsable dels recursos naturals i dels riscos de no fer-ho. Les energies renovables han reduït els seus costos de manera que econòmicament ja representen una alternativa viable als combustibles fòssils en moltes activitats.

La UE s'ha proposat liderar la transició cap a un continent de zero emissions el 2055 i, mitjançant una regulació urgent, ens està exigint un major grau de compromís a tots els actors. En particular, al sector financer se’ns demana una millora en els processos d'integració de riscos de sostenibilitat, transparència en el reporting i finançar la transició.

Per descomptat, també els factors de governança i socials són imprescindibles en la presa de decisions d'inversió, especialment per als inversors institucionals que actuem per compte propi i dels nostres clients, i que invertim en companyies amb vocació de permanència.

Les companyies asseguradores som inversors naturals en deutes públics, per la qual cosa és important que els països que els emeten adoptin bones pràctiques en matèria social i de governança, i atenguin els seus compromisos climàtics. Així mateix, veiem important que la UE avanci per incorporar-les en la regulació de sostenibilitat.

Amb tots aquests ingredients, les companyies d'assegurances, en el nostre rol d'inversors a llarg termini, hem de ser capaces d'integrar aquestes qüestions en els nostres sistemes de gestió. Això ens obliga a estar preparats tècnicament i organitzativament per realitzar-ho de manera efectiva.

Un panorama marcat pels ciberatacs

El dia a dia ens ve marcat per un entorn sotmès a ciberatacs. Va a onades, a dies o setmanes, però de forma contínua durant tot l'any i de forma incremental cada any, anem rebent notícies de ciberatacs a companyies de primer nivell, públiques o privades, grans o no tan grans, de tots els sectors i àmbits, i amb diferents graus d'afectació i conseqüències. Abans de l'estiu, vam veure un d'aquests exemples, on en pocs dies vam tenir notícies de ciberatacs a Telefònica, Banco Santander, Iberdrola, Ticketmaster, Decathlon, la mateixa Direcció General de Trànsit (DGT) o al partit polític d'Esquerra Republicana de Catalunya. Aquí tenim el millor exemple de la situació actual, l'ambient en el qual convivim, marcat per ciberatacs i on tots estem sotmesos a aquest risc.

A més, quan parlem de ciberatacs, no hi ha una tipologia única i no ens hem de protegir contra un tipus d'atac concret; hi ha múltiples variants i tipologies (DDoS, phishing, malware, ransomware,...). Aquí ja veiem que els vectors d'atac als quals estem exposats són molt, molt amplis.

La llista d’efectes que pot provocar un ciberatac són molt variats, i entre d’altres, engloben:

• Fugues d'informació. Informació que pot o podria ser molt valuosa per a la competència o altres participants del mercat.
• Vulneració de la privacitat de les dades. Depenent de quines dades han estat accedides, aquestes poden ser dades personals, amb les conseqüències associades.
• Afectació operativa. Quan les entitats tenen dificultats per operar o han de paralitzar alguns o part dels seus processos de negoci.
• Elevades sancions per part de les Autoritats de Control. Parlant de privacitat, el RGPD considera fins a 20M o el 4% de la facturació global, o el nou Reglament d'Intel·ligència Artificial que arriba a 35M o el 7% del volum de negoci global de l'any anterior.
• Efectes en diferit. En moltes ocasions, les conseqüències per als afectats no són immediates. A vegades, les dades exposades són dades bàsiques, no sensibles, i a priori sembla que no podrien revestir una implicació greu, però els volums poden arribar a ser molt grans, i les trames criminals moltes vegades tenen fins com vendre les dades o anar-se nodrint d'aquestes per preparar estafes a gran escala, amb campanyes de missatges de correu electrònic o SMS a partir d'informació de les víctimes i buscant que aquestes realitzin altres accions o pagaments indeguts. Accions que arriben amb mesos de diferència, quan les víctimes ja no tenim present l'atac o el possible mal ús d'aquestes dades.

Atacar és fàcil i defensar-se, molt difícil

En aquest escenari, hi ha molts factors que juguen a favor dels ‘dolents’:

• Només cal veure les empreses d'exemple per imaginar que aquestes empreses dediquen recursos a ciberseguretat. No obstant això, no són suficients. Els recursos del cibercrim són molt amplis.
• Evolució constant de les tecnologies i conseqüentment de les amenaces. Es requereix molt de temps per formar-se en relació amb les noves tecnologies i a l'estat de la matèria.
• La superfície d'atac és enorme. No només hi ha una aplicació concreta, un punt concret. L'abast a les entitats és molt ampli i és molt difícil de protegir.
• Un sol cas d'èxit ja és suficient. Podem aturar milers d'atacs, però si aconsegueixen entrar en una sola ocasió, probablement ja tindrem el problema sobre la taula.

Per finalitzar aquesta foto i tenir una referència del que parlem, només dues dades molt il·lustratives:

• D'una banda, el cibercrim ha assolit un valor global proper a l'1,5% del PIB mundial, molt per sobre dels temes estrella en l'àmbit criminal com el negoci de drogues, armes, tràfic de blanques, ...
• Tenint en compte el dany causat, el país imaginari del cibercrim es convertiria en la tercera economia del món només darrere dels Estats Units i la Xina.

Davant aquest panorama, què podem fer? Es pot fer alguna cosa?

Ja hem vist la realitat d'avui en dia, i la dels pròxims temps sens dubte. La resposta a la pregunta és clarament un sí.

Alguna cosa hem de fer i podem fer. Hem de focalitzar esforços en tres objectius:

• Hem d'assumir que ens atacaran, però podem disminuir la probabilitat de patir un atac. Podem implementar mesures de seguretat preventives (mesures de conscienciació, firewalls, antivirus, ...), i amb aquestes mesures els ho posarem una mica més difícil.
• D'altra banda, si patim un atac, hem de poder minimitzar l'impacte. Hem de tenir implementades mesures de seguretat reactives (resposta a incidents, protecció en xarxes, ...). Aquestes ens permetran reaccionar el més ràpid possible per limitar el dany i contenir l'atac.
• I alhora amb la minimització de l'impacte, hem de reduir el temps de recuperació (còpies de seguretat, contingència, continuïtat, ...). En cas d'haver estat víctimes d'un atac, l'objectiu és tenir recursos i mesures que permetin recuperar-nos en el menor temps possible.

El marc normatiu ens ha d’ajudar a estar més protegits

Avui dia tenim un marc normatiu molt extens, en alguns sectors encara més, i en els pròxims anys anirà en augment. Un dels objectius que es persegueix amb aquestes normatives és protegir les dades i la informació que gestionen les empreses, tant des del punt de vista de privacitat com de seguretat (en les seves diferents dimensions de disponibilitat, autenticitat, integritat, traçabilitat i confidencialitat).

El llistat de normatives és extensíssim. Només per enumerar algunes de les principals normatives que ens poden ajudar en aquesta missió són:

• Reglament General de Protecció de Dades (RGPD i LOPD-GDD). Són les normatives principals en l'àmbit de privacitat. Normativa a escala europea (i de referència a nivell mundial) i la seva transposició en l’àmbit espanyol.
• ISO 27001. Normativa de referència en l'àmbit de seguretat per a moltes entitats. És de les més antigues i esteses. Tant si les empreses s'han certificat per tenir aquestes garanties davant tercers, com si les han seguit com a "Best Practices", han ajudat les entitats a millorar en l'àmbit de la seguretat.
• Esquema Nacional de Seguretat (ENS). Orientat al sector públic i a totes aquelles empreses que treballen per a aquest. Enfocat a protegir les dades dels ciutadans. Marc normatiu molt complet.
• Digital Operational Resilience Act (DORA). Reglament de Resiliència Operativa Digital enfocat en l'entorn financer.
• NIS2 Normativa europea enfocada a certs sectors "crítics" i en la mateixa línia que altres normatives enfocades a dotar d'un entorn de ciberseguretat més segur.
• Reglament d'Intel·ligència Artificial (RIA). Reglament recent arribat (agost 2024) amb l'objectiu de regular la IA. Enfocament igualment de risc i aplicació de mesures de seguretat associades.

Totes aquestes normatives, dels àmbits de la seguretat i la privacitat, a un primer nivell ens aporten uns principis, procediments i mesures de seguretat, que inclouen les directrius i metodologies de com procedir i mesures concretes per dotar-nos de major protecció en les empreses i en les dades i la informació que gestionem.

Les diferents normatives es superposen, es complementen, i és aquest conjunt de principis, procediments i mesures de seguretat els que hem de prendre i aprofitar. A més de complir amb les normatives a les quals estem obligats, ens han de servir per minimitzar el nostre risc en ciberseguretat.

Vegem com podem utilitzar les normatives en privacitat i seguretat, aprofitant els diferents aspectes clau i mesures de seguretat d’aquestes, per tal que, si els apliquem en el dia a dia de les nostres organitzacions, estiguem minimitzant el risc d'atac i disminuint el temps de reacció i l'abast de l'impacte en cas d'atac.

Reducció del risc en l’àmbit de la Privacitat

Evolucionant la normativa anterior en privacitat que teníem a Espanya, el RGPD es tracta d'una normativa oberta, sense un marc de mesures de seguretat tancat, que aporta una flexibilitat i adaptabilitat que abans no teníem i amb dos conceptes/principis base molt interessants: el seu enfocament a riscos i el principi d'accountability (responsabilitat proactiva).

La filosofia es basa en el fet que les entitats han d'analitzar i inventariar quines dades de caràcter personal tenen, fer una anàlisi de riscos per valorar quin risc suposa dur a terme el tractament i, conseqüentment, aplicar les mesures de seguretat necessàries en funció del risc que suposi.

La responsabilitat recau en les empreses. Cada entitat decideix, i sota el principi d'accountability, en qualsevol moment haurà de poder justificar que s'ha analitzat i poder justificar les mesures de seguretat que hagi aplicat.
A més, evidentment, quan parlem de la normativa de privacitat, inclou tota una sèrie d'obligacions específiques en el marc de privacitat com tenir un RAT (Registre d'Activitats de Tractament), anàlisi de riscos, PIAs (Privacy Impact Assessments), marc normatiu, DPO (Delegat de Protecció de Dades), clàusules, contractes, compliment de principis i drets, etc., que hem de tenir en consideració en el seu àmbit particular.

Això que acabem de veure en privacitat, en realitat és extrapolable a l'àmbit de seguretat, i de fet, la majoria de normatives de seguretat (ISO 27001, ENS, DORA, NIS, etc.) parteixen de la mateixa base, o inclouen la realització d'anàlisis de risc per analitzar a quins riscos està subjecta l'entitat i sobre aquells riscos aplicar mesures de seguretat per reduir aquest risc fins a un llindar que ens faci sentir més còmodes. Com dèiem, no eliminarem el risc, però es poden minimitzar els efectes, i aquí és on ens hem d'enfocar.

Reducció del risc en l’àmbit de la Seguretat

En primer lloc, hi ha unes directrius principals que hem de tenir tots presents:

• Compromís de la Direcció. La Direcció ha de liderar els aspectes de Privacitat i Seguretat, mostrant el seu compromís, dotant de recursos i incorporant aquestes matèries com un element estratègic de l'organització.
• Marc normatiu que doni suport a aquests àmbits i personal capacitat en aquests àmbits per a la seva gestió diària.
• Formació i conscienciació. És conegut que el personal és l'esglaó dèbil en l'estructura empresarial, i des de les entitats s'han de posar els mitjans raonables per fer arribar als empleats les pautes i normes a seguir, i molt important, tenir evidències d'impartició i d'entesa/acceptació per part d'aquests.

Finalment, i amb relació a mesures de seguretat concretes, la pràctica totalitat de normatives, venen acompanyades d'un catàleg més o menys extens i amb mesures més o menys concretes que s'agrupen per les conegudes dimensions de Seguretat lògica, Seguretat física, Gestió de tercers, Adquisició i desenvolupament, Còpies de seguretat i Continuïtat de negoci, Incidents de seguretat, Monitoratge o Seguretat en les operacions, per destacar les principals.

Sense entrar en detall, en aquests àmbits comentats, proposem unes mesures a alt nivell, les quals es poden trobar en la majoria de les normatives i que ens condueixen a reforçar els tres objectius de minimització del risc d'atac i minimització de l'impacte i del temps de reacció en cas d'haver-lo patit. Totes elles es poden ampliar, aprofundir i complementar amb un ventall molt més ampli. No obstant això, l'objectiu és llançar algunes d'elles amb una translació directa en els objectius perseguits:

• Seguretat lògica: Hem de disposar de mecanismes d'identificació i autenticació forts, que incloguin procediments clars de gestió d'usuaris, amb usuaris individualitzats, revisions d'aquests i polítiques d'autenticació fortes amb autenticació multifactor inclosa.
• Gestió de tercers: Hem de tenir un control dels proveïdors. En molts dels atacs, aquests no es produeixen directament en la mateixa empresa, sinó en la cadena de proveïdors. Per aquest motiu, hem de disposar d'un procediment d'homologació de proveïdors fort, un inventari complet d'aquests, assegurar la incorporació de les dimensions de seguretat i privacitat en els contractes i fer un seguiment i control de les garanties de tercers.
• Còpies de seguretat i continuïtat de negoci: Hem de disposar d'una estructura forta i provada de còpies de seguretat, per tal que, en cas de pèrdua de dades, disposem d'una còpia de seguretat segura, vàlida i el més recent possible alineada amb els requeriments de negoci, conjuntament amb un Pla de continuïtat de negoci i un Pla de recuperació de desastres, que permeti la més ràpida recuperació en cas de necessitat. És important disposar d'una pòlissa de ciberassegurança.
• Gestió d'incidents: L'entitat ha de disposar de tots aquells procediments necessaris per gestionar de forma ràpida i eficient una incidència, els quals han d'incloure els processos de notificació amb entitats externes i organismes, ja que algunes normatives t'obliguen a fer-ho en períodes temporals molt curts. És molt important també incloure els proveïdors.
• Adquisició i desenvolupament: Hem de disposar de metodologies de desenvolupament segur i procediments d'adquisició que contemplin la seguretat per defecte per fer menys vulnerables les aplicacions i disposar d'elements de maquinari i programari segurs.
• Seguretat en les operacions: Hem d'implementar mesures tècniques concretes per protegir l'entorn de treball (xarxes segmentades, VPNs, procediments de gestió de canvis, pegats i actualitzacions de seguretat, bastionat, xifrat de dades, etc.).
• Monitoratge: Hem de disposar de sistemes de monitoratge i alertes per a la detecció primerenca d'esdeveniments i anticipació de situacions adverses, amb registres i pistes d'auditoria segures i revisades, i diferents processos de revisió i auditoria en els diferents àmbits de seguretat.

Aprofitarem totes aquestes eines que ens proposa el marc normatiu existent, i amb això, assolir els tres objectius de minimitzar el risc d'atac i minimitzar l'impacte i el temps de reacció en cas d'haver-lo patit. Les normatives ja les tenim. Aprofitem-les per assolir aquest objectiu i estar demà en una millor posició que avui.

1. ¿Què és la Declaració de Prestació de Pensions?

El passat 1 de juliol va entrar en vigor la Circular de 19 de febrer de 2024 de la Direcció General d'Assegurances i Fons de Pensions (DGSFP) per la qual es poden establir les normes per calcular les previsions de pensió basades en l'edat de jubilació. Aquestes han de ser recollides en la "Declaració de les Prestacions de Pensió" (DPP), document que les entitats gestores de fons de pensions d'ocupació han de subministrar individualment als partícips, amb una periodicitat almenys anual, havent-se de proporcionar la primera d’elles en la informació anual de 2024.

D'acord amb l'article 34.2 del Reglament de Plans i Fons de Pensions (RPFP), la DPP haurà d'incloure com a mínim la següent informació, amb la possibilitat, si s’escau, d'incorporar informació addicional que l'entitat gestora de fons de pensions d'ocupació consideri d'interès per al partícip.

1. Dades personals del partícip, amb una indicació clara de l'edat de jubilació.
2. Nom del fons de pensions d’ocupació, la seva adreça de contacte i la identificació del pla de pensions del partícip.
3. Quan sigui pertinent, informació relativa a garanties totals o parcials previstes en el pla de pensions.
4. Informació sobre les previsions de prestacions de pensió basades en l'edat de jubilació, i una limitació de responsabilitat indicant que aquestes previsions poden diferir del valor final de les prestacions rebudes. Aquestes previsions constitueixen una estimació de les prestacions de jubilació que percebria el partícip del pla de pensions d’ocupació si es mantingués en el mateix fins al moment en què assolís l'edat de jubilació.
5. Informació sobre les contribucions empresarials i les aportacions dels partícips durant els dotze mesos anteriors a la data a la qual es refereix la informació.
6. Informació sobre els drets
7. Un desglossament dels costos deduïts pel fons de pensions d’ocupació durant els darrers dotze mesos, com a mínim.
8. Informació sobre el nivell de finançament del pla de pensions en conjunt.
9. Data exacta a la qual es refereix la informació.

La DPP es facilitarà als partícips de manera gratuïta per mitjans electrònics, incloent-hi en un suport durable o en un lloc web. A sol·licitud expressa del partícip, la DPP podrà lliurar-se en paper.

La informació relativa a les previsions de les prestacions de pensió objecte de càlcul haurà de tenir una presentació que permeti la seva fàcil lectura, redactant-se amb claredat i utilitzant un llenguatge comprensible, evitant l'ús de termes tècnics quan es puguin emprar paraules d'ús quotidià.

2. Normes de càlcul per a les previsions de prestacions de pensió basades en l'edat de jubilació

• La Circular proporciona les regles bàsiques de càlcul de les previsions de les prestacions de pensions per jubilació contingudes en la DPP, que són d'aplicació per als plans d’aportació definida i els plans mixtos. En els plans de prestació definida, les previsions es realitzaran segons es preveu en les especificacions i en la formulació actuarial continguda en la base tècnica del pla de pensions. A continuació, expliquem quins són aquests criteris de càlcul:

✔ La forma de càlcul i de presentació de la quantia de les previsions de les prestacions de pensió tindrà en compte el següent:

✔ Càlcul segons la forma de cobrament: Els càlculs de les previsions de prestacions de pensió hauran de realitzar-se d'acord amb la forma de cobrament de les prestacions que preveuen les especificacions i les bases tècniques del pla de pensions.

✔ Estimació com a capital: En general, els càlculs de les previsions de prestacions de pensió hauran de considerar que la prestació estimada consisteix en un capital pagable a la data de jubilació.

✔ Renda actuarial vitalícia per als partícips de 52 anys o més: Addicionalment, als partícips de 52 anys o més se'ls haurà d'informar d'una renda actuarial vitalícia, constant mensual de 12 pagues i sense reversió, sempre que l'import mensual de la renda superi els 100 euros mensuals.

✔ Quantia en termes nominals: S'entendrà que és una quantia en termes nominals de caràcter brut.

✔ Previsions en preus corrents i constants: Les previsions de prestacions de pensió hauran de proporcionar-se al partícip tant en preus corrents com constants.

• L’edat de jubilació del partícip es determinarà segons l'article 205.1 de la LGSS, sense considerar períodes transitoris de l'edat de jubilació ni el període de cotització acumulat pel partícip per a la seva determinació (67 anys).
• Es prendrà com a taxa anual de rendiment nominal de les inversions la taxa de rendibilitat anual mitjana històrica del fons durant els últims 10 anys. En el seu càlcul, s'utilitzaran les rendibilitats diàries continuades.
• Si no es disposa d'aquesta informació, es farà servir la rendibilitat mitjana de la categoria d'inversió a la qual pertany el fons on està inscrit el pla, d'acord amb la classificació establerta per la DGSFP.
• Excepcionalment, en aquells casos en què un pla es trobi adscrit a diversos fons de pensions, es podran aplicar taxes anuals de rendiment diferents.
• Si cal utilitzar taules de supervivència, s'hauran d'aplicar aquelles taules que el pla tingui recollides en la seva base tècnica; en defecte d'això, s'utilitzaran les taules PER2020_Col_1er. Orden.
• A efectes de l’estimació de les aportacions futures del partícip fins a la seva jubilació, es consideraran les contribucions ordinàries realitzades pel promotor i les aportacions del partícip també de caràcter ordinari, vinculades al compromís assumit de jubilació i realitzades durant els darrers 12 mesos.
• Aquestes quantitats seran incrementades anualment conforme a l’evolució prevista dels paràmetres i variables de contingut econòmic que puguin afectar a la quantificació de les aportacions o prestacions contingudes en el pla de pensions d’ocupació, recollides en les especificacions i la base tècnica d’aquest, com la taxa d’inflació anual i la tendència dels salaris futurs. Aquests increments no tindran lloc si no es preveuen en les especificacions ni en les bases tècniques.
• Modelització del càlcul de les previsions de les prestacions de pensions: La Circular preveu 3 escenaris de rendibilitats possibles: un escenari central, un favorable i un desfavorable.

✔ La taxa anual de rendibilitat de l’escenari central, que denotarem com I_c=µ, es correspondrà amb la taxa anual de rendiment nominal, que s’obtindrà com la mitjana aritmètica de les rendibilitats diàries en el període de 10 anys. Aquesta rendibilitat diària es calcularà de forma contínua, com el logaritme neperià del quocient entre el valor liquidatiu diari a una data i el valor liquidatiu de la mateixa data de l’any immediatament anterior.

✔ Les taxes anuals de rendibilitat dels escenaris favorable i desfavorable es determinaran a través de la metodologia del Valor en Risc (VaR).

El VaR és una tècnica d’anàlisi de risc desenvolupada als anys 90, molt utilitzada en l’anàlisi de carteres de valors (Martínez, F. (2014), Hsing, Y., Powell, R. (2012), Jorion, P. (2009), Martín, J.L. (1999), Riskmetric de JP Morgan & Reuters (1996)). Concretament, el VaR estima la pèrdua màxima potencial que una cartera podria patir en un determinat període de temps, sota condicions normals de mercat i amb un cert nivell de confiança. Per exemple, en una cartera de valors, un VaR mensual del -2% i al 95% de confiança, indica que la rendibilitat mensual de la cartera serà superior al -2% amb un 95% de probabilitat.

Destaquen 3 mètodes de càlcul del VaR. El primer d’ells, el VaR Paramètric, assumeix que els rendiments financers s’ajusten a una distribució  normal  i  utilitza  les  dades  històriques  per  calcular rendibilitats i volatilitats. El VaR històric utilitza els valors observats per calcular i ordenar les rendibilitats passades i a partir de les mateixes obtenir els percentils corresponents al nivell de confiança desitjat. I finalment, el VaR de Montecarlo, que assumeix distribucions de probabilitat més realistes que la distribució normal, però més complexes d’implementar, que a més es simulen en el temps. En l’àmbit computacional, el mètode paramètric és el més senzill i, el mètode de Montecarlo és el mètode que requereix un major suport computacional. El VaR històric és recomanable quan la informació passada sigui representativa del risc actual de la cartera.

La Circular estableix que les taxes anuals de rendibilitat dels escenaris favorable i desfavorable resultaran de l’aplicació d’un impacte a l’alça, en el primer supòsit, o a la baixa, en el segon, sobre la taxa anual de rendibilitat de l’escenari central, a través del càlcul del VaR, amb un horitzó temporal, per a cada partícip, igual al nombre d’anys que li resten fins a la data de jubilació, considerant un nivell de confiança del 75%. A més, s’estableix que la determinació d’aquest VaR podrà realitzar-se mitjançant l’aproximació del model de Black-Scholes (Álvarez, T., Martínez, L. i Vicente, E. (2024), Jorion, P. (2009)); alternativament, es podria utilitzar una modelització diferent, sempre que es justifiqui la seva millor adequació al comportament del pla

El model de Black-Sholes es descriu a partir de la següent expressió, sent S el valor liquidatiu del fons de pensions actual, σ la volatilitat anual,  l’horitzó temporal i  un terme aleatori que respon a una distribució normal estandaritzada.

En aquest cas, considerant un horitzó temporal t. mitjançant La utilització d’un VaR paramètric, s’obtenen I_d e I_c que representen les taxes anuals de rendiment en l’escenari desfavorable i favorable, respectivament:

La determinació dels escenaris mitjançant el VaR de Montecarlo requereix l'execució de múltiples iteracions, cada una de les quals simula una evolució segons l'expressió de ∆S. Per això, s'han de generar xifres aleatòries segons una distribució uniforme que varii entre 0 i 1, amb la seva corresponent associació a la distribució normal estandarditzada inversa (Jorion, P. (2009)).

3. Aplicació pràctica

Durem a terme una aplicació pràctica del model de previsió de prestacions de pensió mitjançant l'aproximació paramètrica del model de Black-Scholes. Per això, disposem dels valors liquidatius reals d'un fons de pensions d'ocupació entre el 31/12/2013 i el 31/12/2023, la seva evolució es mostra a continuació.

Figura 1. Evolució del Valor liquidatiu.

D'acord amb la norma, a partir de les dades anteriors, calculem les rendibilitats logarítmiques, diàriament des del 31/12/2014, abastant cadascuna d'elles un any, i posteriorment les representem gràficament.

Figura 2. Evolució de les rendibilitats logarítmiques.

Figura 2. Freqüències absolutes de les rendibilitats logarítmiques.

A partir de la mitjana aritmètica de les rendibilitats logarítmiques, obtenim la taxa anual de rendibilitat de l'escenari central, que és del 3,25%, i la volatilitat, que és del 6,39%. Les taxes anuals de rendibilitat dels escenaris desfavorable i favorable resulten de les expressions analítiques abans esmentades. Seguidament, mostrem els seus valors, observant-se com, a mesura que augmenta l'horitzó temporal, els escenaris favorable i desfavorable tendeixen a aproximar-se al central.

Tabla 1. Tases de rendibilitat per als escenaris desfavorables, centrals i favorables

Figura 2. Freqüències absolutes de les rendibilitats logarítmiques

A fi d'obtenir unes previsions de prestacions de pensió a l'edat de jubilació, hem assumit les taxes de rendibilitat obtingudes per als escenaris desfavorable, central i favorable calculats anteriorment, la taula de mortalitat PER 2020_Col_1er. Ordre i una taxa d'inflació del 2%. A més, hem definit 4 perfils teòrics de partícips amb aquestes característiques.

Així mateix, hem suposat dos tipus de prestacions: un capital acumulat a la jubilació i una renda actuarial, vitalícia, constant, mensual de 12 pagaments i sense reversió. Hem obtingut, per a cada un dels partícips definits, les següents previsions, expressades en preus corrents i constants.

Tabla 3. Previsió de prestacions de pensió en preus corrents.

Tabla 4. Previsió de prestacions de pensió en preus constants.

Bibliografia

• Álvarez, T., Martínez, L. i Vicente, E. (2024). Declaració de prestacions de pensió. ¿Nova obligació? Webinar CAC de 11 de juny.
• CIRCULAR de la DGSFP, de 19 de febrer (2024), per la qual s’estableixen les normes per calcular les previsions de prestacions de pensió, a efectes de la informació que es subministra als partícips dels plans de pensions d’ocupació en la declaració de les prestacions de pensió.
• Hsing, y., Powell, R. (2012). Anybody can do value at risk: a teaching study using parametric computation and Montecarlo simulation. Australasian Accounting Business and Finance Journal, volume 6, nº 5.
• Jorion, (2009). Financial Risk Manager Handbook. GARP. Risk Management Library.
• Martín, L. (1999). Valor en risc d’una cartera de renda variable. IX Jornades hispano-luses de gestió científica.
• Martínez, (2014). Les diferents metodologies per mesurar el VAR: què és i com utilitzar-lo? FUNDSPEOPLE.
• RPFP (2004). RD 304/2004, de 20 de febrer, pel qual s’aprova el Reglament de plans i fons de pensions.
• Riskmetrics de JP Morgan & Reuters (1996). RiskMetrics-Technical Morgan Guaranty Trust Company.

La longevitat és un terme generalment utilitzat per les assegurances del ram de vida, però la seva presència i reputació és molt més àmplia, constituint un dels factors de risc més rellevants i complexes dins la disciplina actuarial.

Des de la mirada de la gestió dels riscos, la longevitat, com a contingència, es defineix com el potencial perjudici econòmic que es produeix a conseqüència d'una infraestimació del moment de finalització de la vida dels assegurats. Cal notar que no ens referim a la infraestimació del temps de vida mitjà dels assegurats, ja que no hem de confondre longevitat amb esperança de vida. Tot i que són termes relacionats, aquests no evolucionen necessàriament a la par. I és que podem arribar a observar un increment en l'esperança de vida d'una població a causa, únicament, d’una reducció de la taxa de mortalitat infantil, mantenint-se la longevitat, és a dir, l'edat de defunció màxima, inalterada. Per això, la millora que durant les darreres dècades s'ha produït en termes d'esperança de vida no es pot associar exclusivament a una major perennitat de la població, ja que implícitament també hi coexisteix en ella un augment rellevant de la supervivència infantil. Si ho expressem en xifres, des del 1975 fins a l'actualitat, l'esperança de vida en néixer d'un espanyol s’ha incrementat, aproximadament, en 10 anys. Si ens endinsem en els registres històrics, podem observar com, dins d'aquest mateix interval temporal, la taxa de mortalitat d'individus nounats s'ha reduït en un 86 per cent i la corresponent a la població d’entre els 80 i els 90 anys, en un 52 per cent.

El terme longevitat prové del terme llatí longaevitas i significa “qualitat de viure per molt de temps”. Fixa’t com l’etimologia contribueix a ajudar-nos a diferenciar longevitat d’esperança de vida, ja que aquest últim terme és una mitjana que incorpora en la seva equació tant els individus amb la qualitat de viure per molt de temps com aquells altres amb la dissort de morir a una edat primerenca i que, per tant, no poden atresorar l’adjectiu de longeus.

Una vegada definida la longevitat, és el moment de transitar cap a la pràctica asseguradora. L’estimació precisa i consistent de la vida residual d’un conjunt d’individus ocupa gran part de la labor dels equips tècnics actuarials de vida. D’això depèn la suficiència de primes i reserves i, per tant, del compte de resultats d’una companyia asseguradora. Tot i això, el factor de risc “longevitat” estén el seu impacte més enllà de cobertures de vida, com les tradicionals rendes vitalícies. De fet, l’allargament de l’existència dels assegurats pot afectar greument la freqüència i severitat d’altres riscos, com la morbiditat. Sabem que, generalment, a mesura que una persona adulta compleix anys, incrementa la probabilitat que aquesta emmalalteixi o tingui un accident. Aquesta relació directament proporcional entre la longevitat i la morbiditat – a partir d’edats adultes – esdevé un repte per a les companyies acceptants de riscos de malaltia – assegurances de salut – donat l’actual context d’envelliment poblacional^[1]

^[1] L’any 1975, l’1 per 100 de la població espanyola superava els 85 anys. L’any 2022, aquest percentatge s’ha triplicat.

Actuarialment, i sense atendre el sentit econòmic i social que atresora l’assegurança, la problemàtica és inexistent, ja que un assegurat de llarga longevitat ha de satisfer en cada moment una prima d’import equivalent a l’esperança matemàtica del risc cedit a una companyia asseguradora. El que succeeix és que mentre l’edat d’una persona creix constantment de forma aritmètica, el seu risc, a partir d’edats avançades, ho fa de manera exponencial. A més, l’inici d’aquesta progressió exponencial del risc de morbiditat coincideix amb una etapa vital de les persones de cessament de la seva activitat professional i constància en la percepció d’ingressos – en termes reals. Per això, simplificar l’exercici de tarifació d’una assegurança de malaltia en un procés purament tècnic pot comportar la fixació de primes molt elevades i cada cop més rellevants en comparació amb els ingressos percebuts pels individus o unitats familiars, ocasionant un efecte expulsió dels assegurats més longeus en el moment en què més requereixen els serveis assistencials coberts per la seva pòlissa. El previsible perjudici ocasionat per l’efecte expulsió abans esmentat és doble, ja que pot incidir tant en la capacitat de generació d’un nou negoci de les asseguradores de salut – acceptants de riscos de malaltia – com en la repercussió i incidència que té el sector assegurador en la societat.

Amb l’objectiu d’aprofundir en el primer dels perjudicis esmentats, aquell que relacionem amb una disminució en la capacitat competitiva d’una entitat asseguradora, ens recolzem en la Real Academia Española, organisme que ens aporta els següents sinònims per al terme “assegurança”: “eficaç”, “íntegre” i “confiable”. Així doncs, l’assegurança ha de ser eficaç, en la mesura que ha de disposar de la capacitat i dels mitjans suficients per aconseguir l’efecte reparador necessari. A més, l’assegurança ha de ser íntegra, en la mesura que aquesta reparació resulti completa i integral donat el perjudici esdevingut. Finalment, l’assegurança ha de resultar confiable i, per això, l’historial d’una companyia asseguradora ha de ser notori i honorable. La fiabilitat o confiança és la característica més important entre totes les que es demanen a una bona assegurança. Sense confiança, difícilment s’aconsegueix la subscripció d’una pòlissa, i sense ella, no existeix res més, motiu pel qual importarà ben poc la posterior qualitat assistencial o eficàcia en la tramitació i resolució de sinistres.

En una societat hiperconnectada, com l'actual, sembla lògic pensar que un hipotètic efecte expulsió dels assegurats més longeus pugui ser ràpidament conegut pels seus familiars, possiblement també assegurats en la mateixa companyia i, amb no molta més demora, per la resta de les persones amb les quals els anteriors conviuen en el seu dia a dia. Per això, es considera que un efecte expulsió pot provocar una ràpida pèrdua de reputació difícilment reparable, esdeveniment amb impacte directe sobre la renovació i contractació de pòlisses. A més, es considera que aquest impacte lesiu de la competitivitat pot resultar superior en assegurances de salut en relació amb altres tipologies de cobertura, ja que en la seva adquisició subjau un major component de reflexió. Les assegurances de malaltia no s’obtenen de forma acrítica o compulsiva, motiu pel qual una reputació minvada pot desplaçar una entitat asseguradora fora de les principals candidates a la subscripció, malgrat oferir un millor servei assistencial i/o un preu més competitiu.

En segon lloc, l'efecte expulsió que pot sobrevenir per simplificar l'exercici de tarifació d'una assegurança de malaltia en un procés purament numèric, té un impacte perjudicial sobre la societat. L'assegurança no és un producte més de la cistella de la compra, sinó que constitueix un dels pilars fonamentals de l'economia familiar, com a garantia de seguretat i estabilitat.

Per aquest motiu, les entitats asseguradores compten amb una gran responsabilitat social i, com a tal, les seves accions no han d'emanar únicament d'una presa de decisions basada en la tecnocràcia, sinó que després d'elles ha de coexistir la tècnica juntament amb la sostenibilitat. Aconseguir que les assegurances de salut siguin sostenibles des d'un punt de vista social, dins d'un entorn on la longevitat va en increment, implica l'existència i el manteniment d'un conjunt de característiques: l'acompanyament, la racionalització i la suficiència.

Entenem per acompanyament la capacitat que té una entitat asseguradora per oferir pòlisses que protegeixin l’assegurat al llarg de tota la seva vida, oferint cobertures a primes assumibles en totes i cadascuna de les etapes vitals. Per a això, es considera que l’equació tècnica de determinació de la tarifa ha de disposar d’un mecanisme solidari i que s’ajusti a les realitats intergeneracionals, que permeti anivellar – parcialment – l’estructura de recaptació d’una companyia, evitant així el creixement exponencial de primes en edats avançades, moment en què els individus manquen de marge de maniobra pel que fa a la gestió dels seus ingressos. Evidentment, la reducció del pendent exponencial de la prima de risc d’aquells més longeus implica incrementar les tarifes dels assegurats més joves, i això, a curt termini, resta competitivitat. La pèrdua de competitivitat s’origina, en aquests casos, pel fet que gran part de les entitats asseguradores de salut tarifin sense atendre aquest ajust– total o parcialment –, oferint primes totalment relacionades amb el risc transferit pels assegurats. Tot i això, s’insisteix que aquest curtterminisme genera expulsió i és percebut pels assegurats com un signe de poca responsabilitat social, podent ocasionar una desconfiança que acabi minvant la competitivitat de les entitats a mitjà termini, però no de forma puntual, sinó sostinguda en el temps.

Juntament amb la propietat de l’acompanyament, que permet disposar d’una estructura de preus amb un creixement sostenible en edats avançades, a expenses, això sí, d’una major prima en trams d’edat primerencs, ha de coexistir la racionalització en l’ús dels serveis reconeguts en pòlissa. Per a això, una entitat asseguradora ha de disposar d’un conjunt de mesures, processos i controls, que garanteixin un ús responsable dels serveis assistencials posats a disposició dels assegurats. Les opcions utilitzades pel sector són múltiples: copagaments, quadres assistencials específics, programes d’atenció sanitària ad hoc, exclusions, etc.

Finalment, sota l’acompanyament i la racionalització, ha d’existir-hi necessàriament un component de suficiència. Per aconseguir aquesta suficiència, la taxa de solidaritat intergeneracional mitjana aplicada – ponderada – a un col·lectiu ha de ser igual a zero, ja que la tarifa actuarial mitjana d’un conjunt d’assegurats ha de romandre inalterada, malgrat els ajustos en els sectors d’edat realitzats.

A tall de conclusió, es posa de manifest la preocupació en observar que la majoria de les entitats asseguradores de salut estan optant per la tecnocràcia com a eina per a la gestió del risc de longevitat, malgrat l'efecte expulsió que aquesta genera i la consegüent pèrdua de reputació de les entitats que actuen d’aquesta manera, afectant indirectament tot el sector assegurador de salut. Existeix, per tant, una altra manera d’enfrontar-nos a la longevitat, que garanteix la suficiència de les tarifes i, al mateix temps, actua de forma responsable amb la nostra gent gran. L’aplicació estricta de la tècnica actuarial ens pot portar a assimilar el número amb la persona, però els números no tenen ànima. És responsabilitat de les entitats asseguradores oferir cobertures a preus assumibles en tot moment a aquells que durant tants anys han estat vinculats a assegurances privades de malaltia. Permetre l'efecte expulsió, o no posar els mitjans per evitar-ho, com a via per a l’oferta de primes a preus atractius per a individus joves, genera una perversitat que indubtablement acabarà minvant la reputació d’un sector tan útil i redistribuïdor de la riquesa com el nostre.

Entre la prima anivellada emprada antigament i el desequilibri actual de les primes, existeix un punt mig sota el qual es troba l’estabilitat i la sostenibilitat del nostre ram; el ram de les assegurances de malaltia. Concloem posant de manifest l'existència d'aquest procedir moderat i socialment responsable en el nostre sector i destacant el seu èxit; passat, present i, molt probablement, creixent en un futur no molt llunyà.

DORA: la solvència de la tecnologia

Introducció

La pròxima normativa DORA (Digital Operations Resilience Act) de la Unió Europea serà d'aplicació el 17 de gener de 2025. Aquesta normativa, que no ha necessitat transposició local, està vigent des de fa dos anys. La nova regulació afecta un gran nombre d'empreses en el sector financer i assegurador, incloent-hi sectors fins ara poc regulats, com les empreses proveïdores de serveis de criptoactius. En el cas del sector assegurador, la majoria d'empreses es veuen afectades, amb algunes excepcions en funció dels ingressos per primes. Pel que fa a la intermediació, les excepcions es basen en la facturació o el nombre de treballadors, i en el cas dels fons de pensions d'ocupació, pel nombre de partícips.

DORA fa referència a la gestió del risc associat a la tecnologia, i tenint en compte que avui dia la tecnologia suporta tots els processos de negoci, aquesta normativa afectarà la relació entre negoci i tecnologia en cadascun dels àmbits de l'entitat. En aquest article intentarem desgranar com afecta DORA a les entitats, quins punts hauran de revisar i proposarem una metodologia per a l'adopció d'aquesta normativa.

Com afecta DORA a les companyies?

A la pregunta de ‘en què afecta DORA a les companyies?’, la resposta és senzilla: pràcticament a tot. Avui en dia, gairebé no existeix cap procés de negoci que no estigui suportat per la tecnologia, fet que fa molt difícil per als responsables de la implantació d’aquesta nova norma compartimentar i organitzar el treball. D’altra banda, a causa de la magnitud de la normativa, esdevé impossible abordar la implantació com un tot, i cal crear grups d’activitats per tal d’assignar responsables, terminis i recursos.

Per ajudar en aquesta tasca i revisar com afecta DORA a les companyies del sector assegurador, analitzarem cinc grans grups d’activitats: Governança, Auditoria, Continuïtat, Ciberseguretat i Proveïdors.

Governança interna de les TICs

Tot i que el sector assegurador està acostumat a treballar en la governança de la companyia, el seu negoci i els riscos associats, l’àrea de tecnologia ha quedat sovint al marge d’aquests models de govern, cosa que ha provocat que en alguns casos la tecnologia hagi quedat fora de la gestió dels riscos associats i dels òrgans de decisió de l’entitat. DORA obliga les entitats a gestionar el risc associat a les TICs i a incloure dins dels seus procediments i òrgans de gestió el risc derivat de l'ús de la tecnologia per donar suport als processos de negoci.

Els models de govern de la tecnologia seran necessaris per regular la relació amb el negoci, el servei que presten i els acords sobre nivells de servei amb els diferents departaments. Aquests models hauran d’incloure pautes de relació entre els diferents departaments i el departament de tecnologia, especificant qui es relaciona amb qui, en quins fòrums i com es mesuraran i reportaran els serveis entregats.

Una pràctica habitual dins les companyies ha estat comunicar un problema o una petició relacionada amb la tecnologia al primer empleat d’aquest departament amb qui es trobaven, sense documentació ni evidència d’aquesta comunicació o anàlisi prèvia en cas que la petició tingués un impacte econòmic. Aquestes pràctiques quedaran regulades, obligant a gestionar les incidències amb o sense eines específiques, però sempre mantenint registres i informant els usuaris de les actualitzacions.

Auditoria TIC

Les companyies del sector assegurador estan acostumades a les auditories, tant externes com internes, sobre els diferents elements del seu negoci, però fins ara no era obligatori crear la funció d’Auditoria TIC. DORA fa necessària aquesta funció, especificant que el resultat de les auditories ha de ser conegut i aprovat per la Direcció.

La norma fa especial referència al marc de gestió de riscos, mencionant els procediments, estratègies, protocols i eines per a la gestió d’aquests riscos.

Pel que fa a tercers que donen suport a processos de negoci crítics o essencials, DORA especifica la necessitat d’incloure els drets il·limitats d’auditoria, accés i inspecció, així com la necessitat d’auditar els serveis prestats periòdicament.

Continuïtat del Negoci

Tot i que moltes de les entitats asseguradores ja disposen d’un Pla de Continuïtat del Negoci, DORA fa referència a la necessitat que aquests plans estiguin coordinats amb els requisits del negoci, estiguin actualitzats, incloguin els proveïdors de tecnologia que donen suport a processos crítics, estiguin aprovats per totes les unitats de negoci afectades, es provin periòdicament i s’adoptin les mesures correctives necessàries per adequar aquests plans als canvis. Amb l’arribada de DORA, es fa necessària la creació d’un pressupost destinat a la Continuïtat, la seva gestió i el coneixement d’aquest per part de la Direcció.

Aquesta gestió dels Plans de Continuïtat també redundarà en benefici de la companyia. Sempre s’ha dit que la Continuïtat costa diners: si es gestiona per sota del servei necessari, s’assumeixen riscos que poden afectar greument el negoci; si es gestiona per excés, s’estan emprant recursos per cobrir serveis davant esdeveniments que el negoci no necessita ni reclama. En conseqüència, DORA establirà les bases perquè la gestió d’aquests serveis sigui òptima pel que fa a costos i cobertura.

Els Plans de Continuïtat hauran d’estar coordinats amb els plans de continuïtat globals de la companyia, hauran d’incloure la creació de comitès de crisi, gestionar la documentació sobre les activitats acomplertes durant les crisis i mantenir informada la Direcció dels resultats de les proves, punts de millora i recomanacions. També han de contenir un pla de comunicació per a les parts interessades i incloure els proveïdors TIC que donen suport a funcions crítiques dins d’aquests plans.

Ciberseguretat i comunicació d’incidents als reguladors

El Centre Criptològic Nacional, només a Espanya, va gestionar durant el 2023 un total de 49.685 incidents, la qual cosa suposa un augment del 380% respecte a l'any anterior. Durant aquest any, de mitjana es detecta un atac cada 32 segons, i la gravetat dels atacs també està creixent. Amb aquest entorn, és normal que els reguladors es preocupin pels esdeveniments que poden patir les entitats, que posin en risc les dades dels seus clients o el servei que ofereixen.

DORA exigeix que es mesuri el risc de ciberatacs, que es mitiguin aquests riscos i que es facin proves periòdiques de la seguretat perimetral mitjançant tests de penetració, els quals han de ser realitzats, almenys en ocasions determinades, per proveïdors externs de reconegut prestigi. També exigeix assegurar contractualment la bona gestió dels resultats i la inclusió en aquestes proves dels proveïdors TIC que donen suport a processos crítics de negoci.

A més, DORA demanda que la informació sobre els ciberatacs sigui comunicada als reguladors, als fòrums que caldrà crear en els diferents sectors, i en alguns casos, als clients, cosa que fa necessari establir una política de comunicació per a aquests esdeveniments.

Gestió de proveïdors

Tot i que és l'últim punt de la nostra llista, és possiblement un dels més importants per a DORA i un dels que més afecta les entitats, ja que organitza el model de relació amb els proveïdors TIC. DORA exigeix l'existència d'una política d'externalització de serveis TIC que ha d'estar aprovada per la Direcció, on es detalli la necessitat d'avaluar els riscos associats a un proveïdor abans de la seva contractació i els riscos associats a l'externalització del servei.

També s'estableix la necessitat d'informar els reguladors sobre l'externalització de serveis TIC que donin suport a processos crítics per a l'entitat i d'assegurar-se que els proveïdors compleixen amb els estàndards de seguretat de la informació. A més, caldrà avaluar la concentració de contractes en proveïdors i el risc associat, la solvència dels proveïdors, el risc associat a la cadena de subcontractació i el risc associat a la localització dels proveïdors.

En l’àmbit contractual, DORA estableix la necessitat d'incloure clàusules de sortida del contracte i plans de retorn del servei per evitar que el servei al client final es vegi afectat, eines per mesurar els nivells del servei lliurat, l'obligatorietat de prestar suport davant incidents que afectin el servei, drets en cas de terminació, els plans de continuïtat del servei prestat, l'obligatorietat de participar en els tests de ciberseguretat i garantir l'accés dels reguladors a les dades.

Com abordar un projecte d’implantació DORA

DORA afecta la majoria de les àrees de la tecnologia de manera transversal, ja que l'objectiu principal de la norma és gestionar i controlar el risc inherent a l'ús de la tecnologia i, per tant, en major o menor mesura, es veuran afectats aquells departaments del negoci de l'entitat que utilitzin la tecnologia per donar suport als seus processos. És a dir, avui dia gairebé tots els departaments.

Per tal d'abordar un projecte d'implantació d'aquesta norma amb garanties d'èxit, es fa necessari l'ús d'una metodologia que tingui en compte l'extensió de la normativa i la gran varietat d'afectacions que poden sorgir dins de l'operativa normal del negoci.

La norma està composta per 64 articles, dels quals les companyies afectades han de prestar especial atenció a 24. Per fer accessible aquesta normativa i la seva aplicació, a AREA XXI hem creat una metodologia que divideix la normativa en 5 grans grups de revisió i 11 àrees de treball que coincideixen amb funcions identificables dins de les organitzacions, de manera que sigui més senzilla l'organització de la feina. La nostra metodologia es basa en les fases següents:

• Anàlisi de discrepàncies (Gap analysis)
• Recomanacions
• Documentació

Gap Analysis

Seguint aquesta metodologia de la normativa s'extreuen 150 punts de revisió per complir amb DORA. Es duu a terme una revisió conjunta amb els departaments de tecnologia i, en alguns casos, amb els responsables dels departaments de negoci afectats.

Els resultats de la revisió d'aquests 150 punts és el que anomenem el “Gap Analysis”, i proporciona a la Direcció de la companyia una idea de la situació de l'entitat en relació amb la normativa. Segons les dades que estem veient en els nostres clients, la mitjana de compliment es troba entre el 25% i el 40%. Aquestes dades indiquen l'esforç que les entitats asseguradores i financeres hauran de realitzar durant els mesos vinents.

Recomanacions

Dels resultats obtinguts en la fase de “Gap Analysis” es desprenen una sèrie de recomanacions dirigides a crear o modificar procediments, polítiques, protocols i eines perquè s’adaptin a DORA.

Generalment, i segons l'experiència amb els nostres clients, sorgeixen entre 80 i 100 accions relacionades amb procediments, eines, polítiques i documentació que seran agrupades en projectes i assignades a les 11 àrees de treball esmentades anteriorment.

Documentació

Una de les exigències de DORA és la documentació dels riscos i impactes, processos, polítiques i protocols associats a la tecnologia. Per a això, es revisen o es creen entre 20 i 25 documents que han de reflectir les directrius establertes per DORA i que hauran de ser mantinguts periòdicament. Entre altres documents, cal generar i mantenir anàlisis d'impacte, plans de continuïtat, polítiques de gestió del risc TIC, polítiques d'externalització, procediments d'alerta primerenca, etc.

Conclusió

DORA és una normativa que revolucionarà la manera en què es relacionen el negoci i la tecnologia a les companyies financeres i asseguradores. El seu principal objectiu és la gestió del risc associat a la tecnologia, i la seva implantació implica no només el departament de tecnologia, sinó també altres àrees del negoci. Donada la magnitud del projecte, és necessari aplicar una metodologia específica. Durant els mesos vinents, les companyies afectades hauran d'elaborar i executar projectes d'actualització i implantació, així com actualitzar els seus procediments per mantenir els resultats d'aquests projectes a llarg termini.

Canvis normatius i novetats en matèria d’assegurances de vida i pensions

Com ha succeït en els últims anys, el 2024 està sent un exercici d'alta intensitat normativa en el qual, tant en l'àmbit europeu com nacional, s'estan produint desenvolupaments reguladors de gran rellevància en matèria d'assegurances de vida i pensions.

Àmbit europeu

Pel que fa a l'àmbit europeu, cal destacar la revisió de la Directiva de Solvència II, l'Estratègia de la UE per als inversors minoritaris i el nou paquet de normes contra el blanqueig de capitals.

Solvència II

La Directiva per la qual es modificarà la Directiva de Solvència II es publicarà previsiblement al novembre o desembre de 2024. Només falta la seva adopció formal per part del Consell com a pas previ a la seva publicació al Diari Oficial de la Unió Europea.

La modificació de la Directiva de Solvència II s'ha de transposar a l'ordenament nacional, com a màxim, 24 mesos després de la seva entrada en vigor, per la qual cosa s'estima que la seva aplicació es produirà a finals de 2026 (encara no s'ha concretat la data definitiva d'aplicació).

Els acords assolits en la modificació de la Directiva de Solvència II suposaran, en línies generals, una reducció en els requisits de capital, cosa que sens dubte mereix una valoració positiva.

Entre els aspectes positius més destacats per al nostre mercat d'aquesta modificació s'inclou la revisió del marge de risc, que establirà una reducció de la taxa de cost de capital del 6% al 4,75%; i una modificació de la regulació de l'ajust per casament (matching adjustment) que permetrà la diversificació total entre les carteres que apliquen aquest ajust i la resta de carteres de l'entitat, eliminant les restriccions als beneficis de diversificació que contempla la normativa vigent actualment.

Pel que fa a l'ajust per volatilitat (volatility adjustment), la reforma també introduirà canvis importants, que podran afectar de manera diferent cada entitat (positivament o negativament), ja que es passarà d'un ajust idèntic per a totes les entitats de la zona euro a un ajust específic per a cada entitat, que tindrà en compte les seves pròpies característiques.

Les principals modificacions que s’introduiran en l’ajust per volatilitat seran les següents:

• La cartera de referència estarà composta únicament per actius de renda fixa.
• S’incrementarà la ràtio d’aplicació general del 65% al 85%.
• Es reformarà el component nacional de l’ajust per volatilitat (macroeconòmic VA) de manera que es millori el seu mecanisme d’activació i s’evitin els efectes de salt que es produeixen en la fórmula de càlcul actual.
• S’introduirà una ràtio específica de cada entitat, denominada Credit Spread Sensitivity Ratio (CSSR), que tindrà en compte l’ajust de durades entre actius i passius (reduirà l’ajust per volatilitat quan la sensibilitat dels actius a les variacions dels spread de crèdit sigui inferior a la sensibilitat de les provisions tècniques a les variacions dels tipus d’interès).
• Es modificarà el diferencial corregit segons el risc (risk-corrected spread) per fer-lo més sensible a les variacions dels spread de crèdit.
• Finalment, pel que fa a l’extrapolació de la corba lliure de risc, tot i que es manté el punt d’entrada a l’extrapolació per a l’euro (first smoothing point) en 20 anys, s’introdueix una nova metodologia per al seu càlcul que generarà una corba de descompte més baixa a partir d’aquest punt d’entrada. Aquesta nova metodologia s’introduirà gradualment, a través d’una mesura transitòria.

Els treballs sobre la revisió de Solvència II es traslladaran a partir d'ara al reglament delegat i a les seves respectives normes tècniques i directrius, on es concretaran alguns aspectes acordats en la Directiva. Per tant, no serà possible fer una valoració final de la reforma del marc prudencial europeu fins que conclogui la revisió dels nivells 2 i 3, que ja ha començat i que es desenvoluparà des d'ara fins a l'exercici 2026.

Estratègia de la UE per als inversors minoritaris

Una altra de les iniciatives normatives europees que ha generat més passions durant la seva tramitació, per les implicacions que podria tenir per a la comercialització de productes d'inversió minoritaris basats en assegurances, ha estat l'Estratègia de la UE per als inversors minoritaris (Retail Investment Strategy).

La Comissió Europea va publicar el maig de 2023 la seva proposta de Paquet d'Inversió Minoritària, que proposa introduir modificacions, entre altres, en les Directives MIFID II, en la Directiva de Distribució d'Assegurances (IDD) i en la Directiva de Solvència II.

Aquesta proposta es complementa amb una proposta de modificació del Reglament sobre els documents de dades fonamentals relatius als productes d'inversió minoritaris empaquetats i els productes d'inversió basats en assegurances (Reglament PRIIP).

Després de la proposta de la Comissió el 2023, el Parlament Europeu (abril 2024) i el Consell (juny 2024) van acordar les seves respectives posicions.

La proposta inicial de la Comissió incloïa importants restriccions i prohibicions parcials, i introduïa una major complexitat en el procés de distribució dels productes d'inversió basats en assegurances (IBIPs), entre les quals cal destacar:

• Incentius:
  • Prohibició d’incentius en les vendes amb assessorament independent.
  • Prohibició d’incentius en les vendes només d’execució i en les vendes sense assessorament.
  • Introducció de restriccions per al cobrament d’incentius en les vendes amb assessorament dependent: només es permeten quan els distribuïdors actuïn en el "millor interès per al client" (best interest test), que es concreta en el compliment dels requisits següents:
    • Prestar assessorament basat en l’avaluació d’una gamma adequada de productes.
    • Recomanar el producte que sigui més eficient en termes de cost per al client.
    • Oferir, dins de la gamma de productes IBIPs que siguin adequats per al client, almenys un producte sense característiques addicionals que comportin costos més alts.
    • Assegurar que el producte és coherent amb les exigències i necessitats del client.
• Value for money:
  • Per garantir la relació qualitat-preu (value for money) dels productes IBIPs, els productors i distribuïdors d'IBIPs han de seguir un procés de fixació de preus, degudament documentat, en el qual:
    • Els productors haurien d'informar sobre els costos i la rendibilitat dels seus productes a les autoritats de supervisió nacionals, que després serien recopilats per l'EIOPA.
    • L'EIOPA publicarà índexs de referència (benchmarks) sobre costos i rendibilitats. Els productors no podran posar al mercat productes que es desviïn d'aquestes referències, tret que ho justifiquin.

L'acord assolit l'abril de 2024 pel Parlament Europeu va introduir modificacions importants a la proposta inicial de la Comissió Europea, entre les quals cal destacar:

• Incentius:
  • Es manté la prohibició d'incentius en les vendes amb assessorament independent, però s'aclareix que l'assessorament independent no està necessàriament vinculat a la naturalesa jurídica del mediador.
  • S'elimina la prohibició d'incentius en les vendes només d'execució i en les vendes sense assessorament.
  • Pel que fa a les vendes amb assessorament dependent, només es permeten els incentius quan els distribuïdors actuïn en el "millor interès per al client", tot i que es flexibilitzen alguns dels requisits proposats per la Comissió:
    • S'aclareix que, en el cas dels distribuïdors exclusius, la gamma adequada de productes pot ser d'una sola entitat.
    • Se suprimeix l'obligació d'oferir almenys un producte sense característiques addicionals que comportin costos més alts.
• Value for money:
  • Es preveu la utilització d'índexs de referència (benchmarks) amb finalitats de supervisió, per identificar valors extrems (outliers) i dur a terme una supervisió basada en el risc.
  • L'avaluació haurà de tenir en compte aspectes quantitatius i qualitatius.

Finalment, l'acord general del Consell assolit el juny de 2024 va incloure com a aspectes destacables els següents:

• Incentius:
  • Es manté la prohibició d'incentius en les vendes amb assessorament independent, però s'aclareix que l'assessorament independent no està necessàriament vinculat a la naturalesa jurídica del mediador.
  • S'elimina la prohibició d'incentius en les vendes només d'execució i en les vendes sense assessorament.
  • Pel que fa a les vendes amb assessorament dependent, només es permeten els incentius quan els distribuïdors actuïn en el "millor interès per al client", tot i que es flexibilitzen alguns dels requisits proposats per la Comissió (text similar al del Parlament).
  • Quan es dissenyin i implementin esquemes de remuneració en la distribució d'IBIPs, s'hauran de complir, de manera continuada, una sèrie de principis generals (overarching principles).
  • Juntament amb els esmentats principis generals, s'incrementen les obligacions de transparència i s'estableixen una sèrie de requisits addicionals en matèria de comissions (inducement test).
• Value for money:
  • Es reforça el procés de governança establint l'obligació perquè els fabricants facin una anàlisi sobre l'aportació de valor al client de cada producte, duent a terme una comparació amb altres productes de característiques similars (peer groups).
  • En cas que l'IBIP es distanciï de la mitjana del grup homòleg, la relació qualitat-preu haurà de justificar-se mitjançant proves addicionals i, si cal, el fabricant haurà d'adoptar mesures addicionals.
  • Es preveu que l'EIOPA desenvolupi i faci públics en l’àmbit de la Unió Europea índexs de referència (benchmarks) per grups de productes que presentin característiques similars.
  • Es preveu que els estats membres donin l'opció als fabricants de comparar els seus productes amb els índexs de referència (benchmarks) que publiqui l'EIOPA, en lloc de comparar-los amb els peer groups.

  Caldrà estar molt atents a les negociacions que han de produir-se entre la Comissió, el Parlament i el Consell (anomenades trílegs) per arribar a un acord sobre el text definitiu, que es preveu que es posin en marxa abans que acabi l'exercici 2024.

  Prevenció Del del blanqueig de capitals i de la del finançament del terrorisme

  El 30 de maig de 2024, el Consell de la Unió Europea va aprovar el nou paquet de normes contra el blanqueig de capitals, després de l'aprovació del Parlament Europeu. Aquest paquet inclou la següent legislació:

  • Reglament relatiu a la prevenció de la utilització del sistema financer per al blanqueig de capitals o pel finançament del terrorisme (Reglament AMLR). Les seves disposicions s'aplicaran el 2027 (3 anys després de l'entrada en vigor).
  • Reglament pel qual es crea l'Autoritat Europea de Lluita contra el Blanqueig de Capitals i el Finançament del Terrorisme (Reglament AMLA). S'aplicarà a partir de l'1 de juliol de 2025, excepte la supervisió directa de les entitats obligades seleccionades que començarà el 2028.
  • Directiva relativa a la prevenció de la utilització del sistema financer per al blanqueig de capitals o pel finançament del terrorisme (Directiva AMLD6). Els Estats membres adoptaran les disposicions necessàries per complir la Directiva com a màxim 3 anys després de la seva entrada en vigor, és a dir, el 2028 (excepte determinades excepcions).

  Encara està pendent la seva publicació en el Diari Oficial de la Unió Europea (DOUE).

  Àmbit nacional

  En l'àmbit nacional, cal destacar la Resolució de la DGSFP per la qual es requereixen les dades biomètriques del col·lectiu assegurat i s'estableix el procediment per a la seva remissió per part de les entitats asseguradores obligades, així com el Projecte de Llei pel qual es crea l'Autoritat Administrativa Independent de Defensa del Client Financer.

  Taules actuarials

  El juliol de 2024 es va publicar a la pàgina web de la DGSFP la Resolució per la qual es requereixen les dades biomètriques del col·lectiu assegurat i s'estableix el procediment per a la seva remissió per part de les entitats asseguradores obligades.

  Les entitats obligades a subministrar aquestes dades inclouen entitats asseguradores de vida, entitats asseguradores de no vida que operin en el ram de decessos, entitats asseguradores mixtes i entitats gestores de fons de pensions d'ocupació que integrin plans de pensions de prestació definida no assegurats.

  La resolució requereix a les entitats obligades la remissió de la base de dades del col·lectiu assegurat abans de l'1 de gener de 2025.

  L'objecte del requisit d'informació, el qual es preveu que sigui anual, és analitzar de manera contínua l'adequació de les taules biomètriques a l'evolució real de les taxes de mortalitat, supervivència, invalidesa i morbiditat.

  Projecte de Llei per la qual es crea l’Autoritat Administrativa Independent de Defensa del Client Financer

  L'abril de 2024 es va publicar al Bolletí Oficial de les Corts Generals el Projecte de Llei pel qual es crea l'Autoritat Administrativa Independent de Defensa del Client Financer per a la resolució extrajudicial de conflictes entre les entitats financeres i els seus clients.

  El projecte de llei es troba actualment en termini de presentació d’esmenes al Congrés dels Diputats.

  El projecte de llei preveu la creació de l'Autoritat Administrativa Independent de Defensa del Client Financer i l'establiment d'un sistema de solució extrajudicial de conflictes entre les entitats financeres (incloent-hi les entitats asseguradores) i els seus clients. Es tracta d'una via alternativa a la jurisdicció civil, voluntària per als clients, però obligatòria per a les entitats financeres.

  Com a principal novetat, finalitzaran amb resolució vinculant les reclamacions que versin sobre incompliments en matèria de normativa de conducta i en matèria de clàusules abusives quan l'import reclamat sigui inferior a 20.000 euros.

  Contra les resolucions vinculants de l'Autoritat (que posen fi a la via administrativa i no són susceptibles de recurs de reposició), tant el client financer com l'entitat financera podran interposar demanda davant la jurisdicció civil.

  Finalitzaran amb resolució no vinculant (i) les reclamacions que versin sobre la normativa de conducta i en matèria de clàusules abusives, quan l'import reclamat sigui igual o superior a 20.000 euros, (ii) les que versin sobre bones pràctiques i usos financers en tot cas i (iii) les reclamacions sense contingut econòmic.

  L'Autoritat de Defensa del Client Financer integrarà les funcions dels actuals serveis de reclamacions dels organismes supervisors (Banco de España, CNMV i DGSFP).

  Per al finançament de la nova Autoritat, s'exigirà una taxa anual a les entitats financeres, que es calcularà en funció del nombre de reclamacions resoltes i de les resolucions favorables al reclamant davant cada entitat.