MiCA, Dora y Dac8: 2025, el año de la regulación cripto

Optimismo, tendencia alcista, aumento de la adopción, entrada de nuevos inversores, inflación, liquidez. Estas palabras marcan las previsiones para 2025 en el mundo cripto. Un año que se espera positivo, tanto para bitcoin como para otros activos digitales como ethereum y las stablecoins. No obstante, hay un término que resume el hito más importante de este año: regulación. Europa es pionera con la entrada en vigor de MiCA (Markets in Crypto Assets) el pasado 30 de diciembre, la primera normativa que pone orden a una industria hasta ahora desregulada. Pero este Reglamento no es el único esfuerzo de los legisladores en este ámbito. El 17 de enero entrará en vigor Dora (Reglamento de Resiliencia Operativa Digital), que busca la ciberresiliencia de las entidades financieras, incluidos los proveedores criptos. Además, a lo largo del año, España y los demás países de la Unión deberán concluir la transposición de la DAC8, la octava actualización de la directiva sobre cooperación administrativa que introduce, entre otras, el intercambio información sobre criptoactivos. En tan solo un año, el sector cripto ha pasado de ser considerado el salvaje Oeste, libre de toda regulación y supervisión, a tener que adaptarse a normativas extremadamente complejas.

En el caso de MiCA, sus costes de adopción y la elevada burocracia que requiere, llevarán a una concentración de la industria y a la fusión de los actores más pequeños que de otras formas no lograrían sobrevivir, según explican fuentes del mercado. Este reglamento, que ha ido negociándose y tramitándose durante cuatro años, es lo más esperado por la industria. Impone límites estrictos pero establece reglas del juego uniformes en toda la Unión que garantizan a las empresas claridad en su actividad y mayor seguridad para los inversores.

“Si bien la implementación inicial de MiCA puede frenar la actividad del mercado a medida que las empresas se adaptan, las perspectivas a largo plazo para las criptomonedas de la UE, incluida España, son muy prometedoras. La claridad regulatoria atraerá tanto a nuevos participantes como a actores establecidos, en particular a instituciones financieras tradicionales como bancos y empresas de inversión, que hasta ahora han dudado en involucrarse con las criptomonedas debido a la incertidumbre regulatoria”, comenta Matthias Bauer-Langgartner, responsable europeo de policy en Chainalysis.

MiCA

“Representación digital de valor o derechos que puede transferirse y almacenarse electrónicamente, mediante la tecnología de registro descentralizado o similar”: esta es la definición que hace MiCA de los activos digitales. A partir de ahí, la normativa regula la emisión de stablecoins y de criptoactivos, así como la gestión, la oferta, el intercambio, la negociación y la transferencia de criptomonedas. Exige a los proveedores de estos servicios obtener una licencia de uno de los reguladores europeos para poder operar; establece unos requisitos mínimos prudenciales para asegurar una cobertura a los usuarios en caso de quiebra de la plataforma; fomenta la transparencia y establece la información que las plataformas tienen que dar a los usuarios sobre comisiones y gastos.

Una de las novedades más destacadas es que ya no será tan fácil emitir nuevos activos digitales. De hecho, MiCA exige que los emisores de estas monedas sean una entidad con licencia de dinero electrónico y que, para emitir un activo, publiquen un libro blanco, o whitepaper, que el regulador tiene que validar previamente. En este documento tendrá que incluir información sobre las características, derechos y obligaciones, tecnología subyacente y otros datos relacionados con el proyecto.

Asimismo, estas entidades tienen que tener respaldos de activos equivalentes a las unidades de stablecoins que emiten y las reservas tienen que estar resguardadas en diferentes entidades financieras. Los emisores que inviertan una parte de la reserva, lo podrán hacer únicamente en instrumentos financieros de elevada liquidez que presenten un riesgo mínimo de crédito, de mercado y de concentración. Además, las inversiones deberán poderse liquidar rápidamente y con la mínima incidencia negativa en los precios.

Gloria Hernández Aler, cofundadora y socia de finReg360, explica que las entidades financieras en los últimos 30 años han venido adaptándose a la normativa MIFID, que fue la primera directiva de servicios de inversión que establecía normas de conducta. “Han incorporado poco a poco las normas. En cambio, los proveedores de criptoactivos en pocos meses han pasado de cero a tener una regulación igual o súper parecida, con lo cual es una carga regulatoria brutal”, asevera. Una vez obtenida la licencia MiCA, estas empresas ya pasan a ser sujetos obligados de otras regulaciones adicionales: entre ellas, Dora y la directiva DAC8.

Dora

La ley de Resiliencia Operativa Digital (DORA) busca garantizar la ciberresiliencia y establecer unos requisitos uniformes en materia de seguridad de redes y sistemas de información que sustenten los procesos de las entidades financieras. Afecta a todo el sistema financiero europeo: bancos, aseguradoras, empresas de inversión, entidades de pago y de dinero electrónico y también a los proveedores de servicios relacionados con criptoactivos autorizados por MiCA y a proveedores TIC (tecnologías de la información y la comunicación). Muchas de estas empresas, de hecho, cuentan con proveedores de servicios tecnológicos externos, que a menudo son los mismos.

En este sentido, Dora busca minimizar el riesgo tecnológico y se presenta como “el Código Civil” de la tecnología para el sector financiero. María Vidal Laso, socia de protección de datos y nuevas tecnologías de finReg360, explica que ante un agente perturbador, como un hacker, una pandemia o cualquier otro evento que afecte la actividad de la empresa, esta tiene que tener un “plan B o una salida para seguir operando” y que no influya en la operativa de la entidad. “En Europa existen unas 25.000 entidades financieras y cualquier ciberincidente puede propagarse rapidísimamente”, alerta.

Esto se traduce en diferentes medidas. Primero, las entidades financieras deben desarrollar marcos integrales de gestión del riesgo de las TIC, identificando activos críticos, realizando análisis de riesgos de forma regular para detectar vulnerabilidades, probando sistemas ante ciertas amenazas y estableciendo medidas de ciberseguridad. Además, deben monitorear, registrar e informar sobre incidentes relacionados con estas tecnologías a través de informes a las autoridades competentes y a sus clientes afectados.

Finalmente, estas instituciones deberán asumir un papel activo también en la gestión del riesgo de proveedores de estos servicios, con acuerdos contractuales específicos, tal y como detalla Marina Fontcuberta, directora de Derecho Digital de BDO Abogados: “Primero, hacer una auditoría a los proveedores: analizar los que la empresa tiene, clasificarlos, estudiar los riesgos y los tiempos de respuesta ante posibles incidentes”.

Dora entrará en vigor el próximo 17 de enero. Aunque no existe un periodo de transición como en el caso de MiCA, las autoridades competentes (como la CNMV o Banco de España) tienen hasta abril para notificar a las autoridades europeas todos los acuerdos contractuales con proveedores de servicios tecnológicos comunicadas por las entidades financieras. A partir de ese momento, los supervisores anunciarán cuáles de estos terceros proveedores TIC son críticos, es decir, aquellos con mucha concentración en entidades y que, por ello, necesitan requisitos reforzados. Se trata en estos casos de grandes empresas como Microsoft, Google, SAP. “Estos van a estar regulados y supervisados directamente por la Esma (Autoridad Europea de Valores y Mercados), la EBA (Autoridad Bancaria Europea) y Eiopa (Autoridad Europea de Supervisión de Seguros y Pensiones de Jubilación)”. Las entidades financieras estarán supervisadas por los reguladores que controlan su actividad, como la CNMV o Banco de España.

DAC 8

DAC8 es la octava modificación de la Directiva de Cooperación Administrativa, que regula el nuevo marco de intercambio automático de información en la UE sobre criptoactivos y dinero electrónico. Los países de la UE deberán concluir su transposición este año, para que entre en vigor el 1 de enero de 2026. Ante la creciente digitalización de la economía y el auge de los criptoactivos, la Comisión Europea consideró que la ausencia de reglas específicas sobre este sector amenazaba los logros alcanzados por la DAC en materia de transparencia y cooperación administrativa a nivel internacional para luchar contra el fraude fiscal y evitar la falta de recaudación y de erosión de bases imponibles, tal y como explica Deloitte. Por ello, esta directiva pretende mejorar la transparencia en las transacciones con criptoactivos y con dinero electrónico para facilitar un mejor control tributario por parte de las autoridades de la UE.

Ana Mayo Rodríguez, socia de Fiscal de finReg360, aclara que se aplica a proveedores de servicios de criptoactivos regulados por MiCA y a los operadores cripto que no entren en el ámbito de aplicación del reglamento, pero que están obligados a comunicar información sobre los usuarios residentes en la Unión. En este sentido, están sujetos a comunicación de información aquellos criptoactivos que puedan utilizarse con fines de pago o inversión, como stablecoins, tokens de dinero electrónico y NFTs. Quedan excluidos, en cambio, las monedas digitales emitidas por los bancos centrales, el dinero electrónico y los activos que no se utilizan para pagos o inversión, como los utility tokens. Los proveedores criptos están obligados a transmitir información sobre compraventa de activos digitales, operaciones de canje de criptos por dinero fiat, transferencias de activos digitales y operaciones de pago minorista (por valor superior a 50.000 dólares o su equivalente en otra moneda).

Como explica Mayo, la directiva obliga tanto a clientes como a proveedores a reportar el NIF —algo que los modelos fiscales en España ya lo prevén pero que no es tan extendido en Europa—, para un intercambio más eficiente de la información entre países. “Se prevé crear una plataforma a nivel europeo en la que los estados puedan acceder a la información de sus residentes fiscales. Esto es súper ambicioso porque supone tener una especie de Gran Hermano, un control absoluto sobre las operaciones de los contribuyentes”, asevera.

La experta calcula que ya hay unos 48 países, también fuera de la Unión, que se han sumado a la iniciativa y han anunciado que van a reportar toda la información sobre criptoactivos, entre ellos también Estados Unidos, Reino Unido, Suiza. En este sentido, esta directiva fomenta la transparencia en un sector donde, también en el ámbito fiscal, ha reinado la opacidad. “En el mundo cripto siempre se ha jugado a la ocultación. Pero ahora esto se acaba”, asegura.