Archivo de la categoría: Seguros

Adaptación de las Entidades Financieras a la Cartera de Identidad Digital de la UE (Cartera IDUE o EUDI Wallet)

Deja un comentario

En un mundo cada vez más digitalizado, la Unión Europea ha dado pasos decisivos hacia la estandarización de la identificación electrónica con la introducción de la Cartera de Identidad Digital Europea (EUDI Wallet).

Esta herramienta, regulada por el Reglamento eIDAS 2.0 (Reglamento (UE) 2024/1183), que modifica el Reglamento UE 910/2014, permite a los ciudadanos y empresas almacenar y gestionar de forma segura sus identidades digitales, incluyendo atributos como permisos de conducción, diplomas o declaraciones de atributos relativas a cuentas bancarias. También permite realizar firmas electrónicas cualificadas y sellos electrónicos cualificados. El objetivo es otorgar a los usuarios un control total sobre sus datos, facilitando el acceso a servicios en línea con una cesión mínima de información, solo la imprescindible para la gestión a realizar.

Para las entidades financieras, esta innovación no es opcional: representa una obligación legal que transforma los procesos de identificación y verificación de clientes.

La Obligatoriedad de Aceptar la EUDI Wallet

El Reglamento eIDAS 2.0 establece (artículo 5 septies) que los proveedores de servicios que estén legalmente obligados a identificar inequívocamente a sus clientes deben aceptar la EUDI Wallet como método de autenticación.

En el sector financiero, esto afecta directamente a bancos, instituciones de crédito y otras entidades reguladas, especialmente en procesos como el Know Your Customer (KYC) y procesos de Debida Diligencia para la prevención del blanqueo de capitales.

El citado artículo 5 septies del Reglamento obliga a estas entidades a integrar la cartera como una opción válida para la identificación electrónica, lo que reduce barreras transfronterizas y mejora la eficiencia en transacciones digitales.

Esta obligación se extiende a sectores como la banca, los servicios financieros y cualquier entidad sujeta a requisitos de identificación estrictos. No se trata solo de cumplimiento normativo, sino de una oportunidad para optimizar operaciones, ya que la EUDI Wallet proporciona datos verificados e inalterables directamente de fuentes auténticas, minimizando riesgos de fraude y agilizando el «onboarding» de clientes.

La adaptación requiere una integración técnica y operativa en los sistemas existentes, por un lado para el proceso de apertura de cuenta (en el que el uso de sistemas cualificados simplifica la documentación que tiene que recabar la entidad financiera) y después para añadir una opción en la pantalla web en la que se ofrece a los clientes acceder a la información y servicios asociados a su cuenta, ya que al clickar en esa opción se desencadena la funcionalidad de identificación y autenticación de la cartera.

Las entidades financieras deben:

  1. Actualizar sus plataformas de identificación para el acceso a la banca electrónica: Incorporar APIs y SDK compatibles con la EUDI Wallet para permitir la autenticación segura. Esto implica adoptar los protocolos estandarizados que se recogen en el ARF y en los actos de ejecución para asegurar la interoperabilidad con las diferentes carteras emitidas por los Estados miembros.
  2. Revisar sus procesos de KYC y onboarding: La cartera permite solicitar al cliente que aporte atributos (como los que figuran en la credencial inicial DIP, «Datos de Información Personal») y otros atributos exigibles según los principios de debida diligencia (quizá la presentación de una nómina o una declaración electrónica de atributos semejante, como ingresos anuales o cualificaciones profesionales), lo que simplifica la «due diligence». Las interfaces bancarias con la cartera se configuran para solicitar declaraciones de atributos y para solicitar la firma electrónica de documentos (la cartera permite realizar «QES» «qualified electronic signature» y «qualified electronic seal»). Se deberán conservar las evidencias electrónicas de la contratación (posiblemente preservadas mediante sellos de tiempo cualificados). Será preciso registrar a la entidad en el registro de «Relying Parties» o «Partes Usuarias» («Partes informadas», en mi traducción del ARF) y obtener el certificado que establece el tipo de información que puede solicitar a la cartera
  3. Las entidades deben revisar sus contratos y «términos y condiciones» para acoger las nuevas circunstancias de apertura de cuentas y acceso a la banca electrónica y dar formación a su personal para que entiendan las nuevas circunstancias de contratación y autenticación y puedan dar soporte a los clientes.
  4. Garantizar la seguridad y privacidad: Cumplir con el RGPD (y la LOPD/GDD) y las directrices de eIDAS 2.0, asegurando que los usuarios tengan control sobre sus datos (en ciertas condiciones, mediante divulgación selectiva y «pruebas de conocimiento cero»).
  5. Colaborar con proveedores de confianza: Asociarse con prestadores cualificados de servicios electrónicos para implementar soluciones compatibles, como firmas electrónicas cualificadas o sellos de tiempo, que complementen la integración de la cartera.

Esta adaptación no solo permite cumplir con las exigencias regulatorias, sino que posiciona a las entidades que se anticipen, como líderes en innovación digital, mejorando la experiencia del usuario y reduciendo costes operativos.

Plazos para la Implementación

Los Estados miembros de la UE, incluyendo España, tienen la obligación de proporcionar al menos una versión de la EUDI Wallet a sus ciudadanos antes de finales de 2026 (24 meses tras la entrada en vigor del primer lote de actos de ejecución). Antes de fin de 2027 (36 meses tras la entrada en vigor de los citados actos de ejecución), la aceptación de la cartera será obligatoria para las organizaciones del sector privado reguladas, como las entidades financieras, y otras que se citan en el artículo 5 septies.

Si no se demora la decisión de acometer los cambios, queda margen para pruebas piloto y ajustes, pero empieza a ser urgente que las entidades inicien su preparación cuanto antes para evitar sanciones y aprovechar las ventajas competitivas.

Conexión con PSD3 y el Reglamento de Servicios de Pago (PSR)

La adaptación a la EUDI Wallet no puede analizarse de forma aislada en el sector financiero, sino en el contexto más amplio de la revisión del marco europeo de servicios de pago. La Comisión Europea ha propuesto sustituir la actual PSD2 por una nueva Directiva de Servicios de Pago (PSD3) y, paralelamente, aprobar un Reglamento de Servicios de Pago (PSR) de aplicación directa en todos los Estados miembros. Ambos instrumentos refuerzan los requisitos de autenticación reforzada del cliente (SCA) y abren la puerta a que la identidad digital verificada —precisamente la que proporciona la EUDI Wallet— pueda usarse como mecanismo de autenticación en el acceso a cuentas de pago y en la iniciación de operaciones.

En la práctica, esto significa que las entidades financieras que integren la cartera para sus procesos de KYC y onboarding estarán también construyendo una infraestructura compatible con las exigencias de autenticación que se avecinan con PSD3/PSR, evitando duplicidades tecnológicas. La EUDI Wallet puede actuar como un vector común de identidad verificada tanto para el cumplimiento AML como para la autenticación en el acceso a servicios de pago, lo que convierte su integración en una inversión con retorno regulatorio múltiple y no en un mero coste de cumplimiento puntual.

Consideraciones sobre la Ley 10/2010 y el Reglamento (UE) 2024/1624

La Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo, impone a las entidades financieras obligaciones estrictas de identificación y verificación de clientes (artículos 3 a 10). Los servicios cualificados a los que se refiere esta ley en su artículo 12, inspirados en el Reglamento eIDAS, incluyen mecanismos electrónicos de confianza como firmas cualificadas, sellos electrónicos y sistemas de identificación remota. Es preceptivo conservar las evidencias electrónicas que acreditan el cumplimiento de lo señalado en este artículo.

La adaptación a la EUDI Wallet, aunque establecida en un Reglamento Europeo, tiene encaje con lo dispuesto en estos requisitos, ya que la cartera actúa como un medio de identificación electrónica cualificado, reconocido en toda la UE.

El Reglamento (UE) 2024/1624 es una de las piezas centrales del nuevo paquete legislativo europeo contra el blanqueo de capitales y la financiación del terrorismo (AML/CFT). Se aprobó el 31 de mayo de 2024 y se publicó en el DOUE el 19 de junio de 2024. Su objetivo es sustituir la fragmentación normativa existente y establecer normas directamente aplicables en todos los Estados miembros para reforzar la integridad del sistema financiero europeo.

El Reglamento (UE) 2024/1620 crea la Autoridad de Lucha contra el Blanqueo de Capitales (en inglés Anti-Money Laundering Authority – AMLA) y la Financiación del Terrorismo y se modifican los Reglamentos (UE) n.º 1093/2010, 1094/2010 y 1095/2010. Recientemente AMLA ha abierto una consulta pública (9 febrero – 8 mayo 2026) sobre los Regulatory Technical Standards (RTS) previstos en el artículo 28(1) del Reglamento (UE) 2024/1624, que desarrollan en detalle cómo deben aplicar los sujetos obligados la diligencia debida con el cliente.

Estos RTS son esenciales porque convierten los principios del Reglamento AML en instrucciones operativas concretas y uniformes en toda Europa, qué información recoger, cómo verificarla, qué hacer en casos de riesgo. El «draft» señala (pág. 29) que el cumplimiento de la sección 9 se logra con el cumplimiento del Reglamento de Ejecución (UE) 2024/2977 de la Comisión, de 28 de noviembre de 2024, que establece las normas técnicas y procedimentales para la aplicación del Reglamento eIDAS 2 en lo relativo a:

  • Datos de identificación de la persona (PID)
  • Declaraciones electrónicas de atributos (EAA / QEAA)
  • Su expedición a las Carteras de Identidad Digital de la Unión Europea (EUDI Wallets)

La complejidad regulatoria da otra vuelta de tuerca porque, como comenté recientemente hay nuevos borradores de actos de ejecución en relación con #EIDAS2 y la EUDI Wallet y uno de ellos, precisamente, modifica el Reglamento de Ejecución (UE) 2024/2977.

El papel de la EBA y sus Directrices sobre onboarding remoto

La Autoridad Bancaria Europea (EBA) publicó el 22 de noviembre de 2022 sus Directrices sobre el uso de soluciones de incorporación remota de clientes (EBA/GL/2022/15), aplicables desde el 2 de octubre de 2023 a todas las entidades de crédito e instituciones financieras en el ámbito de la Directiva AML. Estas directrices establecen estándares comunes europeos para los procesos de diligencia debida inicial en el contexto del onboarding digital, y resultan directamente relevantes para la integración de la EUDI Wallet: la EBA reconoce expresamente en su texto que las entidades que utilicen soluciones basadas en esquemas de identificación electrónica notificados bajo eIDAS, o en servicios de confianza cualificados, pueden asumir que tales soluciones cumplen los requisitos de verificación de identidad establecidos en la Directiva, sin necesidad de duplicar las evaluaciones de gobernanza ya realizadas en el marco del propio Reglamento eIDAS. En la práctica, esto significa que una entidad financiera que integre correctamente la EUDI Wallet como mecanismo de identificación del cliente estará, de forma simultánea, cumpliendo con las exigencias de las Directrices EBA/GL/2022/15.

Las directrices deben leerse en conjunción con otras guías de la EBA, en particular las Directrices sobre Factores de Riesgo ML/TF (EBA/GL/2021/02) y las relativas a la gestión de riesgos TIC y de seguridad (EBA/GL/2019/04), lo que refuerza la necesidad de un enfoque integral en la adaptación. Cabe señalar que la propia EBA, al publicar sus directrices de 2022, ya advertía que era consciente de que la reforma del Reglamento eIDAS y la introducción de la Cartera IDUE ayudarían a superar la fragmentación existente en materia de identificación remota, pero que hasta que dicha reforma entrase en vigor, debía basar su análisis en el marco normativo entonces vigente. Ese momento ha llegado: la EUDI Wallet ya es una realidad regulatoria, y las entidades financieras tienen ahora la oportunidad de alinear su cumplimiento AML con el nuevo ecosistema de identidad digital europeo, construyendo una infraestructura de onboarding que satisfaga simultáneamente las EBA/GL/2022/15 y los requisitos del Reglamento eIDAS 2.0.

Implicaciones del Reglamento DORA en la integración de la Cartera IDUE

Las entidades financieras que acometan la integración de la EUDI Wallet no pueden ignorar que dicha integración constituye, desde la perspectiva del Reglamento (UE) 2022/2554 (DORA), plenamente aplicable desde el 17 de enero de 2025, la incorporación de una nueva función crítica soportada por TIC, con todo lo que ello implica. DORA exige que cualquier nuevo sistema o proveedor externo que dé soporte a funciones esenciales quede incorporado al marco de gestión del riesgo TIC de la entidad: los proveedores de servicios de identificación y los prestadores cualificados de servicios de confianza que participen en el ecosistema de la cartera deberán ser objeto de la diligencia debida contractual prevista en los artículos 28 y siguientes del Reglamento, incluyendo cláusulas de auditoría, acceso, localización de datos y continuidad del servicio. La clasificación de la funcionalidad de autenticación con cartera como «función importante» —lo que es previsible dado su papel central en el acceso a la banca electrónica— activaría además la obligación de realizar pruebas de resiliencia operativa periódicas sobre esos sistemas.

Desde una perspectiva de planificación, esto significa que el proyecto de integración de la EUDI Wallet debe diseñarse desde el inicio con la arquitectura documental y contractual que DORA exige, evitando tener que remediar a posteriori las carencias de un despliegue tecnológico que no tuvo en cuenta el marco de riesgo de terceros. La buena noticia es que las exigencias de DORA y las de eIDAS 2.0 son en gran medida complementarias: ambas apuntan hacia proveedores robustos, auditables y resilientes. Una entidad que seleccione proveedores de servicios de identidad digital que sean Prestadores Cualificados de Servicios de Confianza (QTSP) registrados bajo eIDAS estará, al mismo tiempo, incorporando actores que ya han superado auditorías de conformidad rigurosas, lo que facilita considerablemente la evaluación del riesgo TIC de terceros exigida por DORA.

EADTrust

EADTrust ofrece sus servicios de adecuación a la Cartera IDUE a las entidades financieras para facilitar la integración, sumándose al equipo técnico y legal que acometa la adaptación.

EADTrust puede proporcionar Declaraciones Electrónicas de Atributos de prueba, y las APIs de los protocolos a utilizar. También aporta jefes de proyecto, programadores y juristas para acometer las diferentes facetas de la adaptación. En particular para dar seguimiento al cada vez más complejo marco regulatorio.

Presta servicios cualificados complementarios como los sellos de tiempo, y el archivo electrónico de preservación que ayudan a custodiar las evidencias digitales del proceso. Con los servicios de EAD Factory la entidad financiera cuenta con todos los servicios de un PSC (Prestador de Servicios de Certificación) cualificado como si fuera parte de su propia infraestructura.

Además EADTrust ayuda a integrarse a otras entidades que forman parte de la infraestructura y del ecosistema de la Cartera IDUE: fuentes auténticas, entidades del sector público, entidades privadas que entreguen declaraciones de atributos a sus clientes o a sus empleados,…

Aunque la interoperabilidad con la «EUDI Wallet» se vea ahora como un requisito regulatorio para las entidades señaladas en el Artículo 5 septies del Reglamento UE 910 / 2014 reformado, va a ser esencial para las entidades Fintech, y para todo el sector financiero y un motor de innovación para crear nuevos servicios.

Será la evolución natural de los servicios cualificados, promoviendo una identificación más segura y eficiente en el marco normativo europeo.

EADTrust, como Prestador Cualificado de Servicios de Confianza Electrónica registrado en el Ministerio de Asuntos Económicos y Transformación Digital, es un aliado clave en esta transición. Su equipo de Servicios Profesionales, liderado por expertos en identidad digital y eIDAS, y con experiencia en proyectos en entidades financieras y administraciones públicas ofrece soporte integral para la adaptación a la EUDI Wallet, incluyendo:

  • Consultoría y auditorías técnicas y legales: Evaluación de sistemas actuales y planes de implementación para garantizar interoperabilidad y cumplimiento normativo. Seguimiento de la normativa aplicable, cada vez más compleja.
  • Implementación de soluciones EUDI: Desarrollo de integraciones para la cartera, junto con servicios de archivo electrónico cualificado y digitalización de documentos.
  • Formación y soporte: Capacitación para equipos en el uso de la cartera y alineación con la Ley 10/2010 y los nuevos RTS.

Además, EADTrust ya ofrece una amplia gama de servicios cualificados eIDAS, como:

  • Certificados electrónicos cualificados para firmas y sellos electrónicos.
  • Sellado de tiempo electrónico cualificado.
  • Notificaciones electrónicas certificadas.
  • Validación y preservación de documentos electrónicos.
  • Servicios de identidad digital y custodia electrónica.

Con precios muy atractivos y un enfoque en criptoagilidad (para resistir los retos de la computación cuántica hacia las técnicas criptográficas tradicionales), EADTrust transforma el complejo marco de cumplimiento en una ventaja competitiva, ayudando a las entidades financieras a navegar el ecosistema digital con confianza.

Para más información, contacta con el equipo de EADTrust llamando al 917160555 (o al 902 365 612) y prepárate para el futuro digital

Sandbox regulatorio: Una oportunidad de negocio

Deja un comentario

Sabadell-Hub-EmpresaEl próximo 6 de julio a las 17:30h tedrá lugar un evento online impulsado por el Colegio Oficial de Ingenieros de Telecomunicación Región de Murcia y el Hub Empresa de Banco Sabadell, con el título Sandbox regulatorio: Una oportunidad de negocio.

Hay que inscribirse en este enlace.

Colegio de Ingenieros de Teleco - MurciaEn esta sesión hablaremos del Sandbox regulatorio como punta de lanza de la creación de un nuevo modelo de negocio que aflora infinidad de oportunidades empresariales.

En esta sesión, moderada por Fernando Canos, Director Comercial Territorial Este en Banco Sabadell, contaremos con las siguientes intervenciones:

  • Denis Nakagaki, Head of Digital Strategy and Partnerships de Innocells by Banco Sabadell: “Sandbox regulatorio como palanca para acelerar la innovación y acompañar mejor a nuestros clientes
  • Juan Luis Pedreño, Decano del Colegio de Ingenieros de Telecomunicación Región de Murcia, Catedrático de la Universidad Politécnica de Cartagena y Diputado Nacional en el Congreso de los Diputados: “Sandbox regulatorio en España, atracción de proyectos para el desarrollo de la Transformación Digital” –
  • Julian Inza, Chief Audit Officer de TCAB (Trust Conformity Assessment Body): “Sandbox regulatorio para mejorar la competitividad de la innovación Fintech, Insurtech, Regtech, Suptech desde España”.

El seguro de responsabilidad civil de los Prestadores de Servicios Electrónicos de Confianza

Deja un comentario

Este es un tema que suelo tratar con alguna frecuencia, por lo que se pueden ver otros artículos relacionados en esta lista:

En esta ocasión me limitaré a traducir la  Portaria n.o 1370/2000 (2.a série). Esta norma portuguesa establece las exigencias sobre el seguro de responsabilidad civil de los Prestadores de Servicios Electrónicos de Confianza radicados en Portugal. Se enmarca, por tanto en el desarrollo nacional del Reglamento UE 910/2014 (EIDAS).

Esta traducción puede servir para comparar con la normativa equivalente publicada en España y a la que me he referido reiteradamente en los articulos citados al principio.

Esta es la norma:

Tras la entrada en vigor del Decreto-ley n° 290-D/99, de 2 de agosto, por el que se aprueba el ordenamiento jurídico de los documentos electrónicos y de la firma digital, es necesario definir las características del contrato de seguro obligatorio de responsabilidad civil al que se refiere el apartado d) del artículo 12 del mismo decreto.

Se dio audiencia a la Asociación Portuguesa de Seguros.

Así:

En virtud del artículo 17 del Decreto-Ley Nº 290-D/99 del 2 de agosto:

Manda al gobierno, por el Ministro de Hacienda, lo siguiente:

 1. — a) el contrato de seguro de responsabilidad civil obligatorio a que se refiere el apartado d del artículo 12 del Decreto-ley n° 290-d/99 del 2 de agosto, en lo sucesivo denominado «contrato de seguro», se refiere a los daños derivados de la actividad de certificación de las firmas digitales en el sentido del apartado c) del artículo 2 del mismo decreto.

b). sin perjuicio de lo dispuesto en la letra c) del presente apartado, el contrato de seguro garantiza únicamente el pago de indemnización por daños y perjuicios derivados de las reclamaciones que se produzcan en su período de validez.

c) en los casos de expiración o retirada de la acreditación o cese de actividad de la autoridad certificadora, el contrato de seguro se efectuará hasta el final del período establecido en el mismo.

2. el contrato de seguro cumplirá los siguientes requisitos:

a) Ser celebrado por un determinado período, nunca inferior a un año, y renovable;

b) tener un capital mínimo anual de 125 000 €, independientemente del número de partes lesionadas y reclamaciones.

3. En el contrato de seguro se podrán estipular franquicias no oponibles a terceros perjudicados o a sus herederos que no superen los  10 000 €.

4. El contrato de seguro previsto en el apartado 1 deberá excluir siempre la cobertura de los daños que deban ser cubiertos por otros seguros obligatorios, aunque no hayan concluido.

5. el contrato de seguro previsto en el apartado 1 podrá excluir la cobertura de los daños y perjuicios:

a) causados a socios, administradores, representantes legales o agentes de la persona jurídica cuya responsabilidad esté garantizada;

b) causados a cualquier persona cuya responsabilidad esté garantizada por este acuerdo, y al cónyuge, que viva de hecho en unión con el asegurado, ascendente y descendente o personas que hayan cohabitado o vivan a cargo de ella;

c) ocurridos como resultado de la guerra, huelga, bloqueo, disturbios, conmociones civiles, agresiones, sabotaje, terrorismo, actos de vandalismo, levantamientos civiles o militares o decisiones de autoridades o fuerzas usurpadoras de autoridad;

d) resultantes del incumplimiento por la autoridad certificadora de los deberes derivados del artículo 26 del Decreto-ley n° 290-D/99 del 2 de agosto;

e) Correspondientes a lucros cesantes

6. el contrato de seguro previsto en el apartado 1 podrá prever el derecho de devolución de la empresa de seguros en los siguientes casos:

a) cuando los daños resulten de una acción intencional o de un acto de calificación como delito o administrativo del asegurado o de la persona por quien se civilmente responsable;

b) cuando los daños resulten de actos u omisiones efectuados por el asegurado o por la persona de quien sea civilmente responsable, en estado de demencia o bajo la influencia del alcohol, estupefacientes u otras drogas o productos tóxicos.

29 de agosto de 2000. — Por el Ministro de Hacienda, António do
Pranto Nogueira Leite, Secretário de Estado do Tesouro e das Finanças

CAB Forum summary of Insurance requirements for EV Trust Service Providers

Deja un comentario

Each CA SHALL maintain the following insurance related to their respective performance and obligations under these Guidelines:

(A) Commercial General Liability insurance (occurrence form) with policy limits of at least two million US dollars in coverage; and

(B) Professional Liability/Errors and Omissions insurance, with policy limits of at least five million US dollars in coverage, and including coverage for

(i) claims for damages arising out of an act, error, or omission, unintentional breach of contract, or neglect in issuing or maintaining EV Certificates, and

(ii) claims for damages arising out of infringement of the proprietary rights of any third party (excluding copyright, and trademark infringement), and invasion of privacy and advertising injury.

Such insurance MUST be with a company rated no less than A- as to Policy Holder’s Rating in the current edition of Best’s Insurance Guide (or with an association of companies each of the members of which are so rated).

A CA MAY self-insure for liabilities that arise from such party’s performance and obligations under these Guidelines provided that it has at least five hundred million US dollars in liquid assets based on audited financial statements in the past twelve months, and a quick ratio (ratio of liquid assets to current liabilities) of not less than 1.0.

Cómo debe evolucionar el sector de las mutuas de accidentes de trabajo

Deja un comentario

Este artículo se titulaba originalmente «Urge reinventar el sector«. Su autor es Mariano de Diego Hernández y se publicó el 28 de febrero de 2014 en el web libremercado.com

Es un interesante compendio de las reivindicaciones del sector de las mutuas de accidentes de trabajo, plasmadas por el  presidente de la patronal de mutuas de accidentes de trabajo y enfermedades profesionales (AMAT, Asociación de Mutuas de Accidentes de Trabajo).

AMAT-Mariano-de-DiegoPese a que la situación socioeconómica sigue siendo extremadamente grave y compleja, los resultados del sector de las mutuas de accidentes de trabajo durante el ejercicio 2013 fueron francamente espectaculares. Así, me cabe la satisfacción de manifestar que el pasado ejercicio lo hemos cerrado con un resultado positivo excepcional: hemos generado unos excedentes estimados de más de 1.030 millones de euros; resalto esta impresionante cifra (unos 171.000 millones de las antiguas pesetas).

Estos resultados justifican el que reivindiquemos una vez más la necesidad de que las mutuas recuperemos la disponibilidad sobre los resultados económicos derivados de nuestra gestión, al menos en parte, ya que es el mejor instrumento para perfeccionar la competencia entre las mismas, que debe basarse en la mejora de la calidad y, en su caso, de la cantidad de servicios y prestaciones.

Para primar la gestión de las mutuas que obtienen resultados satisfactorios es necesaria una nueva regulación que permita, por un lado, un retorno a las empresas mutualistas de parte de las primas que han satisfecho en concepto de accidentes de trabajo y, por otro, que parte de los excedentes puedan ser destinados por las mismas, además de a prestar un mejor servicio a los trabajadores protegidos, a mejorar la competitividad mediante una rebaja real y efectiva de las cuotas que satisfacen. El sistema actual, del bonus, no funciona y, sobre la base de la nueva Ley de Mutuas, debe corregirse.

Las mutuas de accidentes de trabajo estamos sometidas a un intervencionismo sin precedentes por parte de la Administración, lo que hace preciso dar un mayor protagonismo a sus órganos de gobierno y propiciar la identificación de los mutualistas con su entidad, conservando ésta su esencia mutualista y su naturaleza de entidad privada con carácter y vocación claramente empresarial». Esta es una realidad que sentimos los empresarios mutualistas.

Los empresarios responsables de las diferentes mutuas de accidentes de trabajo no podemos seguir con esta incierta normativa, que va cercenando paulatinamente nuestra iniciativa.

Estamos intentando consensuar nuestro futuro con el Ministerio de Empleo y Seguridad Social y los agentes sociales, estableciendo unas claras reglas de juego por las que los empresarios asumamos el papel que nos corresponde, de auténticos protagonistas del mutualismo. Este protagonismo hemos de recuperarlo con la mayor urgencia.

Ante la presentación del Anteproyecto de Ley de Mutuas, el pasado mes de diciembre, pienso que ha llegado el momento de que hagamos un alto en el camino, redefiniendo nuevamente el mutualismo, entre la Administración, los agentes sociales (empresarios y sindicatos) y el propio sector.

El complejo mecanismo de sistemas de intervención pública sobre la actuación de las mutuas se ve completado con la existencia deprohibiciones que no tienen sentido, en un marco de libre y leal competencia y de colaboración con la Seguridad Social, como son:

  • La prohibición de hacer publicidad y propaganda competitiva.
  • La prohibición de políticas comerciales de captación.
  • La prohibición de interposición de recursos administrativos, demandas o recursos judiciales de las mutuas con cargo al Presupuesto contra las resoluciones de la Secretaría de Estado de la Seguridad Social, las entidades gestoras o la Tesorería General de la Seguridad Social; deben presentarlos las mutuas con cargo a su propio patrimonio histórico, aunque el beneficio repercuta favorablemente en las cuentas de la Seguridad Social.

Otro exponente claro de la publificación hacia la que se pretende llevar a las mutuas es la asimilación de sus empleados con los funcionarios, anulando la capacidad de las mutuas de desarrollar políticas de recursos humanos propias.

El presupuesto de las mutuas se integra en el de la Seguridad Social y finalmente en los Presupuestos Generales del Estado. En esta materia, también existen destacables restricciones en perjuicio de las mutuas y su buena gestión, viéndose como se ven obligadas a construir presupuestos excesivamente voluntaristas.

Por lo que hace al terreno de la competencia, si algo ha venido caracterizando a las mutuas ha sido el que se ha gestionado la colaboración de prestaciones de Seguridad Social con criterios de empresa privada en un marco competitivo, donde cada mutua ha intentado presentar sus servicios allá donde ha estimado conveniente, con lo que se han generado criterios de eficacia propios de ese margen libre de actuación.

Un nuevo sistema que contemple las propuestas que se vienen señalando y las que más adelante se indican es mejor que el que progresivamente se ha ido implantado, con el que se ha pasado de una gestión privada a una gestión netamente de recursos públicos, con nulo marco de creatividad y un alto coste de oportunidad económico, y donde no se está viendo beneficio vía retorno a quienes los generan: los empresarios.

Asimismo, es evidente que la función de dirección de las mutuas ha tendido hacia una clara dependencia de la norma y de las más diversas formas de dirigir, desde la Administración, que se pueden imaginar. No es posible que se pretenda que la responsabilidad absoluta recaiga sobre los empresarios de las mutuas, y que tengan que estar a las órdenes de la Administración. La nueva ley debe afirmar que la dirección debe corresponder a los órganos de gobierno de las mutuas, en los que están representados todos los empresarios asociados a las mismas.

Los empresarios no queremos que la deriva hacia lo público se siga produciendo. Si se desea continuar con la relación de colaboración de las mutuas con la Seguridad Social, tiene que garantizarse su forma de gestión privada, para lo que resulta necesario una modificación del marco normativo de las mutuas, contrario del que aparece en el anteproyecto de ley.

El principio alrededor del cual planteamos reformar la colaboración en la gestión de las mutuas es la congruencia de su naturaleza privada con una gestión privada efectiva. Esa naturaleza privada debe verse reforzada dotando a las mutuas de la suficiente capacidad de gobierno y de gestión.

En tal sentido, y como responsables de las mutuas, las juntas directivas de las mismas hemos definido unos puntos que entendemos deberían orientar la reforma de la colaboración de las mutuas en la nueva ley:

  • Plena autonomía de gestión.
  • Libertad de elección, alternatividad o voluntariedad de aseguramiento.
  • Propiedad de los beneficios. Una vez dotadas las provisiones y reservas obligatorias y estatutarias, el destino que en cada caso debería darse a los beneficios de las mutuas sería el que se decidiese en sus juntas generales, pudiendo retornar parte a los empresarios asociados y a las propias mutuas, sin perjuicio de que se fijen las aportaciones a la Seguridad Social que correspondan.
  • Libre competencia. Los beneficiarios siempre serían la Seguridad Social, las empresas y los trabajadores.
  • Seguimiento de la incapacidad temporal derivada de contingencias comunes, con la posibilidad de dar altas (es la única forma de intentar atajar el cáncer del absentismo en nuestras empresas).

Los empresarios que formamos parte de los órganos de gobierno de las mutuas observamos que subsisten importantes restricciones que obstaculizan la gestión de nuestras entidades.

Si ni las primas recaudadas ni los excedentes de la gestión son recursos privativos de los empresarios asociados, sino recursos públicos, poco interés puede haber en lograr una gestión eficiente, más allá de tratar de asegurar los ingresos necesarios para cubrir los compromisos de gasto adquiridos y evitar que pueda hacerse efectiva la responsabilidad de los empresarios asociados.

Muchas de estas restricciones a la libre actuación de las mutuasencuentran su justificación en la naturaleza de los recursos que se gestionan; precisamente, para evitar un uso indebido de los recursos públicos se somete a las mutuas a los mismos controles exhaustivos previstos para todo el sector público en materia de contratación y fiscalización, por ejemplo.

Por ello, resulta del todo desmesurado que, a través del nuevo marco normativo en tramitación, se pretenda someter a las mutuas a controles mayores incluso a los actualmente vigentes para las entidades públicas, cuando al fin y al cabo las mutuas son entidades privadas. Obviamente, entendemos que esto no es proporcionado ni tiene razón de ser, puesto que las medidas de control introducidas en la normativa actual son más que suficientes para garantizar el buen uso de los recursos públicos. Establecer más medidas de control terminaría por lastrar la actuación de las mutuas, cuando lo que realmente resulta necesario es que estos controles sean los mínimos, efectivos y con la máxima seguridad jurídica.

No existe otro medio de alinear incentivos y, a la vez, evitar un uso indebido de recursos públicos que devolver a las empresas mutualistas y a las propias mutuas parte de los recursos que gestionan, y es en este sentido en el que planteamos esta reforma.

No me cansaré de reiterar que es necesaria una nueva regulación que suponga, por un lado, un retorno a los mutualistas de parte de las primas que hemos satisfecho en concepto de accidentes de trabajo y, por otro, permitir que parte de los excedentes puedan ser destinados por las mutuas no sólo a prestar un mejor servicio a los trabajadores protegidos, sino a las propias empresas mutualistas, lo que supondrá una rebaja real y efectiva de las cuotas que satisfacemos los empresarios.

Esperemos que la urgente tarea de la refundación de las mutuasconforme a las líneas antes expuestas se haga con la mayor seriedad, atendiendo las continuas reclamaciones y sugerencias realizadas por nuestro sector.

Alternativas al seguro de responsabilidad civil de los Prestadores de Servicios de Certificación.

1 respuesta

El artículo 20. de Ley 59/2003, de 19 de diciembre, de firma electrónica, señala la obligaciones de los prestadores de servicios de certificación que expiden certificados reconocidos.

En su apartado segundo se indica como una de esas obligaciones:

2. Los prestadores de servicios de certificación que expidan certificados reconocidos deberán constituir un seguro de responsabilidad civil por importe de al menos 3.000.000 de euros para afrontar el riesgo de la responsabilidad por los daños y perjuicios que pueda ocasionar el uso de los certificados que expidan.

La citada garantía podrá ser sustituida total o parcialmente por una garantía mediante aval bancario o seguro de caución, de manera que la suma de las cantidades aseguradas sea al menos de 3.000.000 de euros.

Las cuantías y los medios de aseguramiento y garantía establecidos en los dos párrafos anteriores podrán ser modificados mediante real decreto.

Esta parte de la norma es un vestigio de la anterior regulación, el Real Decreto-ley 14/1999, de 17 de septiembre que en su artículo 12 establecía entre las obligaciones de los prestadores de servicios de certificación que emiten certificados reconcidos:

Disponer de los recursos económicos suficientes para operar de conformidad con lo dispuesto en este Real Decreto-ley y, en particular, para afrontar el riesgo de la responsabilidad por daños y perjuicios. Para ello, habrán de garantizar su responsabilidad frente a los usuarios de sus servicios y terceros afectados por éstos. La garantía a constituir podrá consistir en un afianzamiento mercantil prestado por una entidad de crédito o en un seguro de caución.

Inicialmente, la garantía cubrirá, al menos, el 4 por 100 de la suma de los importes límite de las transacciones en que puedan emplearse el conjunto de los certificados que emita cada prestador de servicios de certificación. Teniendo en cuenta la evolución del mercado, el Gobierno, por Real Decreto, podrá reducir el citado porcentaje, hasta el 2 por 100.

En caso de que no se limite el importe de las transacciones en las que puedan emplearse al conjunto de los certificados que emita el prestador de servicios de certificación, la garantía a constituir, cubrirá, al menos, su responsabilidad por un importe de 1.000.000.000 de pesetas (6.010.121,04 euros). El Gobierno, por Real Decreto, podrá modificar el referido importe.

Estaba clara la ignorancia del legislador en aquella norma, pero no lo resolvió bien el nuevo legislador en la del 2003.

Por un lado, ninguna de las formas de establecer la responsabilidad civil de los prestadores de servicios de certificación está alineada con la Directiva 1999/93/CE del Parlamento Europeo y del Consejo de 13 de diciembre de 1999 por la que se establece un marco común para la firma electrónica.

Esto hace que la labor de los PSC esté especialmente penalizada en España frente al resto de países de la Unión Europea, y por ello no es extraño que diferentes prestadores de servicios de certificación técnicamente muy competentes hayan tenido que clausurar sus actividades.

Por otro lado, la ignorancia del legislador lleva a que se definan modelos de cumplimiento que no son válidos para los prestadores de servicios de certificación.

Por ejemplo, la imposición de un Aval o Seguro de Caución puede ser válidos como garantía en una licitación, y quizá por eso se ha filtrado a esta norma procedente de otras regulaciones. Pero no tienen sentido en un servicio de certificación.

El Aval y el seguro de caución implican la identificación del beneficiario al contratarlo, algo de lo que nada dice la norma.

Supongamos que se designa beneficiario del instrumento financiero (aval o caución)  al órgano supervisor de los prestadores de servicios de certificación. ¿Cómo se compensa a quien ha sufrido un perjuicio por una actuación inadecuada del Prestador? Posibles damnificados: un titular de certificado o un tercero que confía en un certificado. Claramente ninguno de ellos tiene una opción para ver satisfechas sus reclamaciones, salvo la avenencia del PSC, para lo cual es inútil el Aval y la Caución. Y si se usa como mecanismos de coacción del supervisor (algo inútil, porque para ello cuenta con un régimen sancionador) no tendría sentido ejecutar un aval de 3 millones de euros por una incidencia valorada en 100 euros. Se pierde completamente el principio de proporcionalidad.

La única opción correcta es contratar un seguro de responsabilidad civil. Sin embargo, no es posible contratarlo en España porque ninguna compañía aseguradora española lo comercializa. Si se consulta a la Dirección General de seguros para que designe una aseguradora o al Consorcio de Compensación de Seguros para que oferte el citado seguro (por ser un seguro obligatorio), responde diciendo que no procede, por contemplar la Ley otras modalidades de aseguramiento de la responsabilidad.

Al final, la única opción es contratarlo en una entidad extranjera (o incumplir la ley).

Y por otro lado, ¿por que 6 millones de euros (como en el RD  14/1999) o  3 millones de euros (como en la Ley 59/2003)? No hay ninguna razón actuarial para dar esa cifra o cualquier otra. Los actuarios de las entidades aseguradoras calculan las pólizas de los riesgos especiales o singulares, en base a valoración de siniestros posibles (coste de indemnización) y de su probabilidad, que es mayor conforme aumenta el número de certificados expedidos. Al establecer una cuantía tan desproporcionada sin ninguna razón, las compañías aseguradoras se curan en salud y cobran pólizas extremadamente elevadas sin siquiera considerar los impactos reales del riesgo atendido.

Han pasado 10 años desde que se aprobó la Ley y casi 15 desde la aprobación del Real Decreto, y esta inconsistencia sigue en el marco jurídico español de los prestadores de servicios de certificación penalizándolos frente a los de otros países. Afortunadamente, en breve se aprobará el Reglamento del Parlamento Europeo y del Consejo relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior que en su artículo 19 indica que los proveedores de servicios de confianza cualificados que prestan servicios de confianza cualificados:

asumirán el riesgo de la responsabilidad por daños y perjuicios contando con recursos financieros suficientes o con pólizas de seguros de responsabilidad adecuadas;

Puesto que es un Reglamento Europeo es de directa aplicación en todos los países de la Unión Europea, y deroga las leyes nacionales de Firma Electrónica.

Afortunadamente acabará con la discriminación de los Prestadores españoles de Servicios de Confianza.

Ampliación: Seguro de caución

El artículo 68 de la Ley española de Contrato de Seguro 50/1980 del 8 de octubre de 1980 establece:

Por el seguro de caución el asegurador se obliga, en caso de incumplimiento por el tomador del seguro de sus obligaciones legales o contractuales, a indemnizar al asegurado a título de resarcimiento o penalidad los daños patrimoniales sufridos, dentro de los límites establecidos en la Ley o en el contrato. Todo pago hecho por el asegurador deberá serle reembolsado por el tomador del seguro.

Ampliación: Avales y fianzas

Ver el TÍTULO XIV de Código Civil

Otros artículos anteriores sobre este tema: