La Comisión Nacional del Mercado de Valores (CNMV) ha comunicado oficialmente a Autoridad Europea de Valores y Mercados (ESMA) la adopción de cinco directrices fundamentales que refuerzan la aplicación del Reglamento MiCA en España.

Este paso marca un avance significativo en la armonización regulatoria del ecosistema cripto a nivel europeo, alineando a las autoridades nacionales con los estándares técnicos más recientes de la ESMA.

Estas cinco directrices que se describen a continuación tienen como objetivo reforzar la protección del inversor, garantizar una mayor transparencia operativa y elevar los estándares de ciberseguridad, sentando las bases para un mercado de criptoactivos más robusto, confiable y sostenible.

I. Requisitos de idoneidad y estado de cuentas periódico para la gestión de carteras

Este primer documento de la ESMA se centra en garantizar que los servicios y productos ofrecidos por los proveedores de servicios de criptoactivos (PSC) sean adecuados para los clientes, basándose en principios similares a los establecidos en MiFID II, pero adaptados al entorno de los criptoactivos.

Los aspectos que debes tener en cuenta son:  

  • Información al cliente y verificación de la comprensión: los PSC deben informar a los clientes sobre la finalidad y el alcance de la evaluación de idoneidad. Es necesario recabar información sobre los conocimientos, experiencia, situación financiera y objetivos de inversión del cliente.
  • Proporcionalidad: la profundidad de la información recopilada debe ser proporcional a la complejidad del producto o servicio ofrecido.
  • Actualización de la información: la información del cliente debe actualizarse periódicamente, al menos cada dos años, o cuando se tenga conocimiento de cambios relevantes.
  • Conocimiento de los criptoactivos: los PSC deben comprender adecuadamente los criptoactivos que ofrecen o recomiendan, evaluando sus características, riesgos y costes.
  • Cualificación del personal: El personal involucrado en la prestación de servicios debe tener las cualificaciones y competencias necesarias, ya que el sector cripto implica mucha fluctuación y riesgo para el inversor. 

Los PSC que ofrecen el servicio de gestión carteras de criptoactivos deben proporcionar a sus clientes un estado de cuentas periódico para garantizar la transparencia y la comprensión de la evolución de las inversiones.

Este reporte de cuentas e información al cliente debe cumplir con los siguientes requisitos:  

  • Medio duradero: el estado de cuentas debe proporcionarse en un formato que permita al cliente almacenarlo y reproducirlo sin alteraciones.
  • Acceso en línea: si se proporciona acceso a través de un sistema en línea, debe garantizarse que el cliente pueda acceder a la información durante un período adecuado. 
  • Contenido mínimo: el estado de cuentas debe incluir información detallada sobre la composición y valoración de la cartera, las transacciones realizadas, los beneficios o pérdidas, y los costes asociados.

Ponte en contacto

Necesitas ayuda

Contáctanos

II. Transparencia en los servicios de transferencia de activos

En este bloque, la ESMA ha publicado una serie de guías que refuerzan cómo deben operar los PSC cuando ofrecen servicios de transferencia de criptoactivos bajo MiCA. Estas normas buscan proteger al cliente, aumentar la transparencia y reducir los riesgos operativos.

Aquí te dejamos los puntos más importantes:

  • Información previa: antes de cualquier contrato, los PSC deberán proporcionar al cliente, en formato electrónico y de forma clara, información detallada sobre el servicio, incluyendo la red blockchain utilizada, tiempos estimados de confirmación, comisiones, condiciones de anulación y contactos útiles.
  • Información individual por transferencia: antes y después de cada transferencia, el cliente debe recibir datos como la irreversibilidad de la operación, comisiones aplicadas, direcciones blockchain, fecha valor y desglose de cargos. Todo esto en formato electrónico, gratuito al menos una vez al mes.
  • Tiempos y límites claros: Los PSC deberán fijar tiempos máximos de ejecución y horas límite para instrucciones válidas. También deberán informar sobre el número de confirmaciones de bloque necesarias o el tiempo razonable para considerar una transferencia irreversible.
  • Gestión de rechazos o errores: se deben definir criterios basados en el riesgo para rechazar, suspender o devolver transferencias. Además, debe informarse al cliente del motivo, cómo corregirlo y si hay cargos involucrados.
  • Responsabilidad: los PSC son responsables de garantizar que las transferencias se realicen de acuerdo con las instrucciones del cliente y deben establecer mecanismos para abordar cualquier problema que surja durante el proceso de transferencia.

Como buena práctica, se anima además a los PSC a ofrecer material educativo que ayude a los usuarios a entender sus derechos y los riesgos de las transferencias. Estas medidas suponen un paso adelante en la profesionalización del ecosistema cripto europeo y en la construcción de la confianza del usuario bajo el nuevo marco MiCA. Las entidades deberán implementar procedimientos claros para informar al cliente antes y después de cada transferencia, establecer plazos de ejecución, y gestionar errores o transacciones no autorizadas, siendo el objetivo mayor transparencia en la operativa diaria. 

III. Clasificación de criptoactivos

La nueva directriz de la ESMA introduce plantillas estandarizadas y diagramas de flujo que ayudan tanto a emisores como a autoridades a determinar si un criptoactivo entra en el ámbito de aplicación del Reglamento MiCA y, en caso afirmativo, cómo clasificarlo correctamente como utility token, ficha referenciada a activos (ART) o ficha de dinero electrónico (EMT). 

Esta herramienta estructurada incluye una prueba normalizada de clasificación, lo que facilita una aplicación coherente del reglamento en toda la Unión Europea desde las primeras etapas del diseño del producto. Además, se ofrecen modelos específicos para las explicaciones que deben acompañar al libro blanco (whitepaper) de un criptoactivo, así como formatos para los dictámenes jurídicos exigidos al solicitar la admisión a negociación de ART. 

En conjunto, estas medidas no solo simplifican la preparación de la documentación clave para cumplir con MiCA, sino que también refuerzan la seguridad jurídica y la supervisión uniforme en todo el mercado europeo.

IV. Captación desde terceros países

MiCA establece un marco claro para regular la captación de clientes en la Unión Europea por parte de empresas de terceros países.

Las directrices emitidas por ESMA interpretan la captación en un sentido amplio y tecnológicamente neutro, abarcando cualquier forma de promoción, publicidad u oferta de servicios de criptoactivos dirigida a clientes o potenciales clientes en la UE. Esto incluye medios tradicionales y digitales como anuncios en internet, correos electrónicos, redes sociales, reuniones presenciales, plataformas móviles, patrocinios, campañas de afiliación y herramientas emergentes en sitios web, entre otros. También se consideran captación aquellas acciones generales de marca que impactan al público en la UE.

Las autoridades nacionales competentes deben evaluar todas las circunstancias del caso para determinar si una empresa de un tercer país está captando clientes en la UE, incluso si dicha captación no es exclusiva. En situaciones en las que se identifique captación, estas empresas deben abstenerse de prestar servicios en la Unión o implementar medidas como el bloqueo geográfico de los medios de acceso a sus servicios relacionados con criptoactivos. No obstante, se exceptúan de esta definición los contenidos estrictamente educativos o eventos centrados en compartir conocimientos técnicos, siempre que no sirvan indirectamente para promocionar los servicios de la empresa.

La captación también puede producirse a través de terceros, como personas que actúan en nombre de la empresa, incluyendo influencers y afiliados. Cualquier beneficio recibido desde la empresa (monetario o no) constituye un indicio claro de que se actúa en su nombre, aunque la falta de compensación no elimina esta posibilidad. 

Respecto a la iniciativa exclusiva del cliente, el denominado, “reverse solicitaton”, MiCA prevé una exención de la obligación de autorización cuando el cliente inicia por su cuenta la relación con la empresa de un tercer país. Esta exención debe interpretarse estrictamente y no puede ser utilizada para justificar contactos posteriores no solicitados o para ofrecer otros productos fuera del contexto de la solicitud original del cliente. Por ejemplo, si un cliente contacta con la empresa para comprar el criptoactivo A, la empresa puede ofrecerle en ese momento otros criptoactivos parecidos. Pero no puede volver a contactarlo un mes después para ofrecerle más criptoactivos A o similares.

directrices esma para implementar mica

Ejemplo práctico: ¿puedo promocionar servicios cripto en Europa desde El Salvador? 

La respuesta corta: sí, pero bajo condiciones muy estrictas, y con consecuencias serias si se incumplen. La ESMA ha sido clara al respecto en sus directrices sobre reverse solicitation, o captación inversa. En estos casos puntuales, la empresa no necesita autorización MiCA, pero hay una trampa: si ese contacto se utiliza como excusa para iniciar una relación más amplia o promocionar otros servicios, se considerará captación ilegal.

Además, si se promociona desde fuera de la UE sin autorización, MiCA otorga facultad a las autoridades competentes para ordenar el cese inmediato de la actividad sin previo aviso ni imposición de un plazo. 

Aunque la ESMA no menciona expresamente la responsabilidad de administradores o titulares reales, puede deducirse que esta no se limita solo a la empresa. En línea con la regulación financiera europea, los responsables deben garantizar el cumplimiento normativo y, en caso de infracción, pueden ser considerados responsables por acción u omisión.

Las autoridades competentes deben implementar mecanismos de supervisión proactiva para prevenir la elusión de estas normas y pueden colaborar estrechamente con otras autoridades (ya sean nacionales o extranjeras) que puedan saber si las empresas de terceros países ofrecen servicios en el mercado de referencia. Entre dichas autoridades están la policía y a las autoridades fiscales locales. Esto incluye el monitoreo de la presencia en línea de las empresas, el análisis de campañas SEO dirigidas a países de la UE, la colaboración con otras autoridades nacionales e internacionales y la atención a quejas de usuarios o denuncias. El objetivo es asegurar que la captación de clientes europeos por parte de entidades no autorizadas no se realice de forma encubierta, preservando así la integridad del mercado interior de servicios de criptoactivos.

¿Entonces, cómo puedo cumplir con MiCA si opero desde fuera?

  • No uses publicidad o marketing dirigido a la UE sin autorización previa.
  • Implementa bloqueos geográficos y legales en tu web si no estás autorizado.
  • Evita todo tipo de contacto comercial no solicitado.
  • Si un cliente europeo te contacta, limita la relación al producto solicitado. No ofrezcas otros productos o servicios posteriores.
  • Documenta cada interacción para poder probar que fue realmente una captación inversa.

V. Seguridad y protocolos de acceso

La quinta directriz es clave para regular los sistemas y protocolos de acceso de seguridad que deben aplicar los oferentes y las personas que soliciten la admisión a la negociación de criptoactivos, excluyendo las fichas referenciadas a activos y las fichas de dinero electrónico.

Los aspectos clave que debes tener en cuenta son:  

  • Proporcionalidad: la ESMA diferencia y es consciente de que no todas las empresas tienen la misma dimensión, ni los mismos recursos económicos, por tanto, las directrices deben cumplirse de manera proporcional, considerando el tamaño de la organización, su nivel de riesgo, y la complejidad de sus operaciones. Esto implica que no todas las entidades deben aplicar las medidas con la misma intensidad, sino ajustarlas a su realidad operativa.
  • Gestión de sistemas y riesgos TIC: las empresas deben contar con un marco de gobernanza sólido y controles internos efectivos para gestionar y mitigar los riesgos tecnológicos. Esto incluye asignar responsabilidades claras al personal, asegurar la formación continua sobre riesgos TIC, y garantizar que existan recursos suficientes, humanos y financieros, para sostener estos mecanismos. El órgano de dirección tiene la responsabilidad última de supervisar la implementación de estas políticas de seguridad.
  • Seguridad física en instalaciones: son fundamentales para proteger centros de datos y zonas sensibles frente a accesos no autorizados y riesgos ambientales. 
  • Control de acceso a redes y sistemas: el acceso lógico a sistemas de información debe limitarse exclusivamente a personal autorizado, formado y supervisado. Se deben implementar controles robustos como la autenticación fuerte, el control de accesos basado en roles y la supervisión constante de actividades anómalas. Además, el acceso privilegiado debe ser rigurosamente restringido y monitorizado. Los derechos de acceso serán revisados periódicamente y retirados si ya no se justifican.
  • Gestión segura de claves criptográficas: este es un pilar crítico en la actividad de un PSC. Las entidades deben proteger estas claves durante todo su ciclo de vida: desde su creación hasta su eventual destrucción. Esto incluye almacenamiento seguro, renovación oportuna, respaldo, y sustitución en caso de pérdida o alteración. Para ello, deben mantenerse registros actualizados de todos los certificados y dispositivos asociados, especialmente los que protegen activos TIC esenciales.

¿Cómo afectarán estas nuevas directrices?

Estas nuevas guías de la ESMA evidencian la creciente complejidad regulatoria que enfrentan los proveedores y entidades de este sector. La aplicación proporcional de estos principios exige una evaluación precisa del perfil de cada organización, así como la implementación de medidas técnicas, administrativas y organizativas adaptadas. Esto hace aún más vital contar con asesoramiento especializado en todos los ámbitos: legal, tecnológico, de ciberseguridad y cumplimiento normativo. Solo obteniendo la autorización será posible operar en el mercado; y una vez conseguida, será igualmente imprescindible cumplir con todos los requisitos establecidos y mitigar los riesgos asociados para mantener dicha autorización y operar con seguridad.

Si necesitas asistencia o información con la adaptación de tu empresa a la nueva regulación MiCA, puedes contactar con los profesionales de Supra Legit Lawyers por correo electrónico a info@supralegit.com o por WhatsApp al +34 627 971 734.

Ponte en contacto

Necesitas ayuda

Contáctanos

Publicaciones Similares

Cómo declarar cryptomonedas en la renta española

Cómo declarar criptomonedas en las declaraciones fiscales en 2025 paso a paso en España

Las criptomonedas continúan ocupando un lugar central en el radar de Hacienda y de las autoridades fiscales de toda Europa. El aumento de personas que invierten en activos digitales, junto con nuevas normativas, refuerza la necesidad de cumplir con las obligaciones fiscales asociadas a estos activos. En esta guía, te explicaremos por qué es crucial…

Ciberseguridad y responsabilidad legal

Ciberseguridad y responsabilidad legal ante una brecha de datos en la empresa

En una economía guiada por los datos, la seguridad de la información personal ya no es una opción, sino una obligación legal y estratégica.  Las brechas de seguridad representan un riesgo sistémico para las empresas, no solo por las posibles sanciones, sino por el impacto en la confianza, la reputación y la viabilidad operativa. En…

contrato desarrollo software

Contratos de Licencia de Software para Empresas Tecnológicas

En el dinámico mundo de las empresas tecnológicas, el software es el motor que impulsa la innovación, la eficiencia y el crecimiento. Ya sea que se trate de aplicaciones personalizadas, plataformas de software como servicio (SaaS) o soluciones empresariales completas, el software es una herramienta vital para el éxito en el entorno empresarial actual. Sin…

¿Soy un usuario de especial relevancia? Análisis del RD 444/2024

¿Soy un usuario de especial relevancia? Análisis del RD 444/2024

En uno de nuestros artículos anteriores, veníamos comentando las características principales del nuevo Registro Estatal para influencers y creadores de contenido, que venía a obligar a los usuarios que cumplieran con los requisitos del artículo 94.2 de la Ley General de Comunicación Audiovisual (en adelante, LGCA) a inscribirse en el mismo. Pues bien, esta obligación…