El 2025 es sin duda el año de la normativa compliance para todas aquellas empresas que directa o indirectamente, prestan servicios de proveedores de criptoactivos o activos digitales. La Unión Europea lleva años preparando un paquete de normativa que afecta tanto a los mercados, como a la ciberseguridad y el intercambio de información entre países, que será de aplicación desde enero de este año.
Si quieres saber exactamente qué regulación puede afectarte como proveedor de servicios, o usuario, este post es para ti
MiCA
MiCA (Markets in cryptoassets) es el Reglamento por excelencia dentro del mercado de los criptoactivos. Su objetivo es regular tres tipos de proveedores:
- los emisores de tokens
- los emisores de tokens respaldados por activos, o dinero electrónico
- los proveedores de servicios para que el mercado europeo sea más transparente, para que los players del ecosistema cuenten con planes de recuperación o liquidación así como fondos propios que den solidez al modelo de negocio y habilitar una serie de normas y requisitos que buscan proteger al inversor retail.
Junto a MiCA, vino TFR (Transfer of Funds Regulation) en materia de prevención de blanqueo de capitales. Replica la normativa sobre cierta información que debe acompañar a las transferencias de fondos para las entidades bancarias, y así, exige que determinados prestadores de servicios de criptoactivos, aumenten la información solicitada a sus cliente cuando estos realicen transferencias con activos digitales. Además, le acompaña la ya conocida como Travel Rule, un estándar introducido por el Grupo de Acción Financiera Internacional que pretende recoger los datos de toda la cadena dentro de una transacción, de forma que incorpora información sobre los beneficiarios de transacciones cuando estos, por ejemplo, son wallets auto alojadas.
DORA – Digital Operational Resilience Act (Reglamento 2022/2554)
Entrada en vigor: 17 de enero de 2025
El Reglamento DORA persigue fortalecer la resiliencia operativa digital del sector financiero en Europa. Sobre todo, que estas cuenten e implementen marcos que aseguren que pueden resistir, responder y recuperarse de incidentes operativos tecnológicos. Aplica, entre otros, a los proveedores de servicios de criptoactivos, que deberán estar en cumplimiento de este Reglamento para obtener la autorización que se regula en el Reglamento MiCA.
Entre las obligaciones que introduce se encuentra la obligación de comunicar incidentes de seguridad, el diseño e implantación de un marco de gestión de riesgos TIC, la realización de pruebas de resiliencia operativa, o detección y supervisión de los proveedores de servicios TIC críticos.
Dac 8: Octava Directiva de Cooperación Administrativa de la UE.
Entrada en vigor: 1 de enero de 2026
La Dac8 es la Directiva que establece normas para el intercambio automático de información fiscal entre los Estados de la UE sobre todo en lo que respecta a activos digitales y economía digital.
Por ello, los proveedores de servicios de criptoactivos como exchanges y custodios, deberán reportar información sobre las transacciones de sus usuarios, al estilo de lo que ya sucede con los modelos 172 y 173 en España, que aplican desde 2023. Todo ello con independencia de si ya cuentan con su autorización MiCA, o no.
La Dac8 aspira además a crear una suerte de base de datos con las transacciones realizadas de todos los contribuyentes europeos, de forma que los prestadores de servicios deberán registrarse en un único Estado (en este caso España) para cumplir con las obligaciones de información.
En cuanto a los criptoactivos objeto de información, se coge la definición de MiCA, es decir “una representación digital de un valor o un derecho que puede transferirse y almacenar electrónicamente, mediante la tecnología de registro distribuido o una tecnología similar” por lo que entrarían dentro de su ámbito todos los criptoactivos distintos de los EMT (e-money tokens) y las CBDCs.
Y en relación con los requerimientos de identificación y diligencia, estos proveedores deberán entre otras cosas identificar a sus usuarios conforme a los procedimientos recogidos en esta Directiva, entre los que se encuentran:
- Self-certification: el propio usuario deberá completar una serie de datos, siendo el plazo para documentar a los usuarios preexistentes, el 1 de enero de 2027.
- A esa auto certificación, el proveedor deberá aplicarle un test de razonabilidad, es decir un test que permita concluir de forma razonable que la declaración es veraz.
- Identificación de personas que ejercen el control de las entidades usuarias de los criptoactivos.
- Bloqueo de operativa de usuarios que no estén correctamente documentados, una vez se le haya requerido dos veces, sin contestación por parte de este.
Y por supuesto, son objeto de comunicación de información todos los usuarios de una empresa que sea sujeto obligado de la Dac8, tanto personas físicas como jurídicas.
Reglamento sobre Inteligencia Artificial
Entrada en vigor: 1 de agosto de 2024 pero plazo hasta 2026 de adaptación.
Desde el 2 de febrero de 2025, será aplicable lo relativo a las disposiciones generales y las prohibiciones de riesgo inaceptable.
Desde el 2 de mayo de 2025, deberán cumplirse las disposiciones relativas a los códigos de buenas prácticas, y desde el 2 de agosto de 2025, los distintos Estados miembros deberán haber adaptado sus normativas nacionales a las sanciones y multas para empezar a ejercer su potestad sancionadora.
Por último, a los sistemas más regulados, los de “alto riesgo” del Anexo I, se les da un plazo de 36 meses para que se adapten al Reglamento y cuenten con toda la documentación sobre funcionamiento de sus algoritmos, así como a cumplir con las obligaciones de transparencia.
Pese a las críticas recibidas, lo cierto es que el Reglamento apoya casi todo el peso en los desarrolladores de sistemas de IA de alto riesgo, puesto que la perspectiva que adopta este texto para regular es la basada en el riesgo que supone sobre todo para los derechos fundamentales de los ciudadanos de la UE.
Para los usos más comunes de usuarios retail, por ejemplo, el Reglamento considera que estos tienen riesgo mínimo y quedan exentos del mismo.
Como vemos, este año no solo entran en vigor y en aplicación distintas normativas a nivel europeo para los proveedores de criptactivos, sino que además muchas de ellas tienen ámbitos objetivos y subjetivos coincidentes y complementarios, por lo que es necesario que, con carácter previo se diseñe un buen programa de cumplimiento que ahorre dobles tareas, que marque los pasos correctos para evitar costes en tiempo y que sobre todo, venga acompañado de un asesoramiento técnico legal especializado en cada materia, lo que actualmente no es fácil.
Si como proveedor de estos servicios, necesitas revisar cuáles te aplican y de qué manera, nuestro equipo tiene más de 10 años de experiencia en regulación y activos digitales.
CEO de ATH21
SOBRE ATH21
ATH21 es la primera firma española de servicios legales integrales especializada en activos digitales y FinTech. Ofrecemos soluciones legales reales para los nuevos modelos de negocios, adaptándonos a cada proyecto, según la jurisdicción del momento en un entorno tan cambiante. Participamos en el desarrollo de proyectos internacionales basados en blockchain y activos digitales desde 2010.
Si quieres saber más sobre nuestros servicios o necesitas asesoría legal personalizada no dudes en escribirnos a hello@ath21.com
¿NECESITAS AYUDA?
En ATH21 tenemos un equipo legal y fiscal especialista en activos digitales. Si tienes cualquier pregunta no dudes en escribirnos y te ayudaremos en todo lo posible.
