Prioridades Supervisoras 2026 - 2028

Banco Central Europeo (ECB)

El Banco Central Europeo (ECB) ha publicado las prioridades supervisoras del Mecanismo Único de Supervisión (SSM) para los próximos tres años, para reflejar los retos y las vulnerabilidades más estructurales del sector.


Prioridades Supervisoras 2026 - 2028

Ver vídeo

Resumen ejecutivo

Se espera que las entidades financieras refuercen su resiliencia frente a los riesgos geopolíticos y las incertidumbres macro-financieras; fortalezcan su resiliencia operativa y sus capacidades en Tecnologías de la Información y la Comunicación (TIC); y desarrollen estrategias digitales sólidas respaldadas por una gobernanza y unos marcos de gestión de riesgos adecuados. Estas prioridades se fundamentan en los resultados del último ciclo del Proceso de Revisión y Evaluación Supervisora (SREP), que ofrecen una visión integral de la situación del sector y señalan las áreas que requieren actuaciones supervisoras específicas. Para cada una de estas prioridades, el ECB ha identificado un conjunto de vulnerabilidades y ha definido los correspondientes programas de trabajo supervisor.

Contenido principal

Esta Nota Técnica resume las prioridades supervisoras del SSM para 2026-2028, así como los programas de trabajo previstos para afrontar las vulnerabilidades identificadas y los resultados del SREP 2025:

  • Prioridad 1. Reforzar la resiliencia de los bancos frente a los riesgos geopolíticos y las incertidumbres macro-financieras. El ECB subraya que los bancos deben reforzar su capacidad para resistir un entorno operativo cada vez más incierto, marcado por tensiones geopolíticas crecientes, fragmentación comercial, riesgos climáticos y relacionados con la naturaleza, cambios demográficos y rápida transformación tecnológica. Aunque los bancos presentan actualmente fundamentos sólidos, estas fuerzas estructurales aumentan la probabilidad de escenarios severos de riesgo extremo y exigen una vigilancia continua y una gestión prospectiva de los riesgos. 

    Principales vulnerabilidades identificadas:

    • Asegurar la toma de riesgos prudente y de estándares sólidos de concesión de crédito: se espera que los bancos mantengan prácticas sólidas de concesión de crédito y precios basados en el riesgo para evitar el deterioro de la calidad de los activos y la acumulación de préstamos morosos (NPLs).
    • Asegurar una capitalización adecuada y aplicación coherente del Reglamento de Requisitos de Capital (CRR) III: las entidades deben prepararse para aplicar correctamente los nuevos enfoques estandarizados para garantizar niveles suficientes de capital en condiciones de tensión.
    • Asegurar una gestión eficaz de los riesgos climáticos y relacionados con la naturaleza: los bancos deben reforzar su capacidad para evaluar y gestionar los riesgos derivados de fenómenos climáticos y naturales en el corto, medio y largo plazo, abordando las deficiencias persistentes en sus marcos de gestión.

  • Prioridad 2. Reforzar la resiliencia operativa de los bancos y desarrollar capacidades sólidas en materia de tecnologías de la información y la comunicación (TIC). El ECB destaca la necesidad de que los bancos aborden las deficiencias existentes desde hace tiempo en su resiliencia operativa y en sus marcos de gestión del riesgo TIC. Esta prioridad apoya el cambio supervisor más amplio, que pasa de identificar riesgos a garantizar que los bancos remedien las deficiencias materiales de manera oportuna y eficaz.

    Principales vulnerabilidades identificadas:

    • Implementar marcos sólidos y resilientes para la gestión del riesgo operativo: se espera que los bancos refuercen sus marcos de riesgo operativo, incluyendo la respuesta a incidentes, la planificación de la continuidad del negocio, la gestión de las dependencias de terceros y la resiliencia de la ciberseguridad. Garantizar el cumplimiento de la Ley de Resiliencia Operativa Digital (DORA) es un elemento clave de esta expectativa.
    • Subsanar las deficiencias en las capacidades de notificación de riesgos y los sistemas de información relacionados: las entidades deben subsanar las deficiencias en la gobernanza de los datos, las infraestructuras de IT fragmentadas, los controles insuficientes de la calidad de los datos y los retrasos en la notificación de riesgos, todo lo cual dificulta la identificación eficaz de los riesgos y la toma de decisiones.

  • Prioridad a Medio y Largo Plazo. Estrategias digitales (y relacionadas con la inteligencia artificial – IA-), así como su gobernanza y gestión del riesgo. Además de las dos prioridades principales, el ECB identifica un enfoque estratégico a medio y largo plazo en la transformación digital de los bancos, especialmente en relación con la adopción y la gobernanza de tecnologías avanzadas como la IA y los servicios en la nube. A medida que la digitalización se acelera en el sector bancario, las entidades deben garantizar que sus iniciativas estratégicas estén respaldadas por una gobernanza sólida, controles de riesgo adecuados y marcos de supervisión apropiados.

    Principales vulnerabilidades identificadas:

    • Superar la fragmentación o insuficiente definición de las estrategias digitales: algunos bancos pueden carecer de planes de transformación plenamente articulados y de estructuras de gobernanza capaces de respaldar la escala y complejidad de las iniciativas digitales y basadas en IA.
    • Reforzar la gobernanza y supervisión de tecnologías emergentes: las entidades deben reforzar su capacidad para supervisar, evaluar y gestionar las implicaciones prudenciales de la adopción de la IA, el uso de servicios en la nube y otras tecnologías avanzadas, asegurando su alineación con los modelos de negocio y perfiles de riesgo.
  • Resultados del SREP 2025. El ECB recoge en los resultados agregados del SREP 2025 una evaluación detallada de las principales fortalezas y vulnerabilidades del sector, destacando mejoras en rentabilidad y en los scores de los modelos de negocio, aunque con dudas sobre la sostenibilidad futura ante las incertidumbres macro-financieras y geopolíticas. La adecuación del capital se mantiene estable, con énfasis en la planificación del Proceso interno de evaluación de la adecuación del capital (ICAAP) y las pruebas de resistencia. En gobernanza interna y gestión de riesgos persisten deficiencias, con avances lentos en RDARR y necesidad de reforzar la cultura de riesgo. El riesgo operativo y de TIC continúa siendo el componente más débil, marcado por carencias en ciberseguridad, externalización y continuidad de negocio. En riesgo de crédito, aunque el crédito minorista permanece resiliente, persisten vulnerabilidades en los bienes inmuebles comerciales (CRE) y pymes, y los scores muestran variaciones relevantes. Los riesgos climáticos y medioambientales (C&E) siguen siendo prioritarios, con los supervisores evaluando avances en integración de riesgos climáticos y atendiendo a deficiencias persistentes.

Accede a la nota técnica sobre las Prioridades Supervisoras 2026 - 2028 disponible en español e inglés.