Un organigrama con los puestos de trabajo adecuados no te garantizará la obtención de la licencia. Lo que busca el regulador es una estructura de cumplimiento: independencia documentada, experiencia colectiva en tres ámbitos de conocimiento distintos y una sustancia institucional real. Así es como funciona esa norma en la práctica.
MiCA al detalle: por qué el regulador considera a tu equipo de cumplimiento normativo como un único cerebro
ESCRITO POR
COMPARTIR
MiCA Decoded es una serie semanal de 12 artículos para Bitcoin.com News, escrita conjuntamente por los cofundadores y directores generales de LegalBison: Aaron Glauberman, Viktor Juskin y Sabir Alijev. LegalBison asesora a empresas de criptomonedas y FinTech sobre licencias MiCA, solicitudes de CASP y VASP, y estructuración regulatoria en toda Europa y más allá.
El mito: basta con externalizar la figura del responsable de cumplimiento
Cuando los fundadores comienzan a planificar la autorización de proveedores de servicios de criptoactivos (CASP), la conversación casi siempre llega al mismo punto: «Entonces, ¿tenemos que contratar a un responsable de cumplimiento?» A veces, la pregunta viene acompañada de una segunda: «¿Y un responsable de la notificación de blanqueo de capitales (MLRO)? ¿Eso es todo?»
La respuesta a ambas preguntas es sí. Pero considerar esos dos nombramientos como la meta final es la interpretación errónea más común y con mayores consecuencias de lo que MiCA exige realmente de una función de cumplimiento normativo. Los reguladores no comprueban si el organigrama tiene los títulos de los puestos correctos. Evalúan si el órgano de gestión, como unidad en su conjunto, cuenta con la arquitectura de conocimientos, la independencia estructural y la profundidad operativa documentada necesarias para dirigir una institución financiera regulada. Una licencia MiCA no se expide a una persona. Se expide a una entidad. Esta distinción es la razón fundamental por la que tantas solicitudes en fase inicial se estancan o requieren una revisión significativa antes de que una Autoridad Nacional Competente (NCA) conceda la autorización.
Qué significa realmente «colectivamente» en el Reglamento
El artículo 68, apartado 1, de la MiCA es preciso en este punto. Los miembros del órgano de dirección deben poseer los conocimientos, las competencias y la experiencia adecuados «tanto a título individual como colectivo». Esa sola palabra, «colectivamente», desempeña una función reguladora significativa.
Las directrices conjuntas de la ABE y la AEVM sobre la idoneidad de los miembros del órgano de dirección y los accionistas de las entidades sujetas a la MiCA explicitan los mecanismos de esa norma al enumerar las áreas específicas de experiencia profesional que debe poseer el órgano de dirección. Eira Järvi, abogada sénior de LegalBison, ha resumido los requisitos específicos en la tabla siguiente.
| Categoría de requisitos | Descripción detallada |
| Regulación de los mercados financieros | Conocimiento de los instrumentos financieros y de los instrumentos financieros basados en la tecnología de registro distribuido (DLT), incluidos los requisitos normativos en virtud de la SIBA y otras leyes aplicables |
| Cumplimiento de las normas contra el blanqueo de capitales y la financiación del terrorismo | Conocimiento de los requisitos en materia de AML/CTF, incluyendo estrategias de identificación, evaluación y mitigación de riesgos |
| Activos virtuales | Conocimiento de los tipos de activos virtuales, incluidos los tokens referenciados a activos y los tokens de dinero electrónico, así como los riesgos asociados a cada uno de ellos |
| Protección de datos | Comprensión de las obligaciones en materia de protección de datos relevantes para las operaciones de la empresa |
| Gestión de riesgos | Comprensión de los principios y procedimientos de gestión de riesgos, incluidos los riesgos de mercado, de crédito y de liquidez |
| Gobernanza y controles internos | Capacidad para evaluar la eficacia de los mecanismos de gobernanza, los mecanismos de supervisión y los controles internos |
| Resiliencia operativa digital | Familiaridad con los requisitos relacionados con la resiliencia operativa |
| Conocimientos estratégicos y de gestión | Experiencia en planificación estratégica, desarrollo empresarial y ejecución de objetivos empresariales |
| Gestión de terceros | Comprensión de los acuerdos de externalización, la gestión de proveedores externos y los requisitos normativos asociados |
| Comunicación y supervisión | Capacidad para exponer puntos de vista, debatir estrategias y, cuando proceda, cuestionar las decisiones de la dirección para garantizar una supervisión eficaz |
| Contabilidad y auditoría | Capacidad para interpretar la información financiera, identificar cuestiones clave y comprender las normas contables y de auditoría pertinentes |
| Conocimientos jurídicos y normativos | Familiaridad con los requisitos legales aplicables a los VASP, incluida la emisión y gestión de activos virtuales |
Al analizar las directrices de la AEVM, queda claro que el perfil combinado del órgano de dirección debe abarcar de forma demostrable tres ámbitos de conocimiento fundamentales, que incluyen todos los detallados por Eira:
- Mercados financieros tradicionales: marcos normativos, obligaciones de protección de los inversores, normas de conducta en el mercado y las normas operativas que se aplican a los proveedores de servicios financieros autorizados.
- Infraestructura de tecnología de contabilidad digital (DLT) y ciberseguridad: arquitectura de blockchain, riesgo a nivel de protocolo, exposición a contratos inteligentes, modelización de amenazas de ciberseguridad y las vulnerabilidades operativas específicas que surgen de la prestación de servicios en cadena.
- Estrategia empresarial y gobernanza organizativa: diseño de la gestión de riesgos, arquitectura de control interno, política de gobernanza y capacidad para evaluar y revisar periódicamente la eficacia del cumplimiento normativo de la empresa.
El regulador no espera que una sola persona abarque los tres ámbitos. La expectativa, formalizada por el requisito de la AEVM de que las empresas presenten una evaluación de su «idoneidad colectiva», es que el equipo, en su conjunto, los cubra todos sin lagunas significativas.
Un órgano de dirección compuesto íntegramente por personas con experiencia en finanzas tradicionales, sin nadie capaz de evaluar el riesgo de la infraestructura de DLT, es estructuralmente incompleto antes de que se presente la solicitud. Lo mismo se aplica a la inversa: un equipo con profundos conocimientos técnicos en criptomonedas, pero sin nadie que comprenda el funcionamiento de los mercados financieros regulados, se enfrentará al mismo escrutinio.
El problema del compromiso de tiempo del que nadie habla
Hay una segunda faceta del criterio de idoneidad colectiva que pilla desprevenidos a los solicitantes. Las personas adecuadas deben existir en la práctica, no solo sobre el papel. Cada miembro del órgano de dirección debe documentar, por escrito, su compromiso de tiempo mínimo con la empresa: concretamente, una estimación del tiempo dedicado a la función (con indicaciones tanto anuales como mensuales), junto con una declaración formal de todos los demás cargos de director ejecutivo y no ejecutivo que ocupe actualmente.
El borrador de las normas técnicas de regulación de la AEVM sobre autorización (extraído del primer paquete de consulta) es explícito al respecto. La evaluación abarca si cada persona está presente de manera efectiva, no solo si figura nominalmente en la lista. Un director no ejecutivo que ocupe otros cuatro puestos en consejos de administración y mantenga una relación de asesoramiento en materia de cumplimiento con otras dos empresas se enfrentará a un escrutinio directo. La autoridad nacional competente debe estar convencida de que el órgano de dirección puede desempeñar realmente sus funciones, no solo de que los nombres adecuados figuran en la solicitud.
Esto es especialmente importante para las empresas de criptomonedas en fase inicial que incorporan a figuras con experiencia en cumplimiento normativo a tiempo parcial o en calidad de asesores para reforzar una solicitud de autorización. El regulador comprobará exactamente cuántas horas al mes dedica esa persona y comparará esa cifra con el alcance de la función y los servicios que la empresa pretende prestar. Un desajuste entre la responsabilidad y el tiempo dedicado es una señal de alarma, no una cuestión técnica.
Las funciones de control interno: estructura por encima de los títulos
Comprender la idoneidad colectiva a nivel del órgano de dirección es solo una parte del panorama. El artículo 68(4) de la MiCA exige a los CASP que adopten políticas y procedimientos «suficientemente eficaces para garantizar el cumplimiento». El artículo 68(5) exige personal con los conocimientos adecuados en todos los niveles de la empresa. El artículo 68(6) exige que el órgano de dirección revise periódicamente la eficacia de esas medidas y subsane cualquier deficiencia detectada.
El proyecto de RTS de la AEVM va más allá. Exige a las empresas que identifiquen funciones específicas de control interno y documenten, para cada una de ellas:
- La línea jerárquica que va directamente al órgano de dirección.
- Cómo opera la función de forma independiente del área de negocio que supervisa.
- Cómo puede la función acceder al órgano de dirección de forma programada y en caso de emergencia (ad hoc) cuando se detecte un riesgo de cumplimiento significativo.
Las tres áreas funcionales que constituyen el núcleo de este marco de control interno son:
- La función de cumplimiento (obligaciones reglamentarias, políticas de conducta, procedimientos internos).
- La función de evaluación de riesgos (identificación de riesgos, metodología de evaluación, protocolos de escalamiento).
- La función de auditoría interna (revisión independiente de la eficacia, evaluación periódica).
Nota: La función de PBC/FT y la función de continuidad del negocio también son pilares obligatorios de la solicitud de autorización, pero la AEVM las trata como requisitos organizativos distintos junto a este marco básico de control interno. La MiCA no siempre asigna estas etiquetas precisas en el texto de Nivel 1. Las normas técnicas de ejecución de la AEVM dejan claro que estas áreas básicas de control interno deben tener responsables designados, ámbitos de responsabilidad documentados e independencia estructural verificada.
Es en este último punto donde muchas solicitudes revelan un defecto estructural. Una función de cumplimiento que depende del director de operaciones, quien también gestiona los ingresos y el desarrollo empresarial, no es independiente en el sentido regulatorio. Una función de riesgos integrada en la mesa de negociación, que informa hacia arriba a través de la misma cadena jerárquica que la mesa a la que se supone que debe supervisar, tampoco cumple la norma.
El regulador solicitará el organigrama. A continuación, preguntará a quién rinde cuentas en la práctica el responsable de cumplimiento, cuáles son las demás responsabilidades de esa persona y qué derechos de escalamiento tiene cuando se identifica un riesgo grave de cumplimiento. Crear una solicitud de licencia CASP en torno a una estructura de independencia real requiere que la arquitectura se diseñe antes de redactar la solicitud, no que se adapte a posteriori.
Presencia física: el problema del director designado
La solicitud de autorización debe documentar un lugar físico de gestión efectiva dentro de la UE. Esto significa la dirección de la sede central, las ubicaciones de las sucursales cuando sea pertinente y la zona geográfica real de toma de decisiones de la empresa.
- Al menos un director que ejerza autoridad real debe ser residente en la Unión y estar accesible para la autoridad nacional competente (NCA) del Estado miembro de origen.
- Una dirección registrada en una jurisdicción de la UE respaldada por un acuerdo de director designado no cumple este requisito.
- El requisito de sustancia implica que el peso de la toma de decisiones debe recaer realmente dentro de la Unión.
Las autoridades nacionales competentes (ANC) evalúan esto a través de los campos de ubicación de la solicitud RTS y mediante la información sobre el tiempo dedicado por cada miembro del órgano de dirección.
Un director que esté físicamente presente en la UE durante dos semanas por trimestre no cumple los requisitos para ser considerado director residente en ningún sentido regulatorio significativo. Este es un punto que reviste especial importancia para las empresas que operan desde sedes centrales globales fuera de la UE y que están trabajando para obtener una licencia de criptoactivos en Europa. La entidad con sede en la UE debe funcionar como una unidad real de toma de decisiones, no como una fachada administrativa para una estructura de grupo que opera desde otro lugar.
La continuidad del negocio es responsabilidad del equipo de cumplimiento
La continuidad del negocio se considera generalmente una responsabilidad de TI. En virtud de la MiCA y de la Ley de Resiliencia Operativa Digital (DORA), ese enfoque es incorrecto para cualquier CASP autorizado.
La política de continuidad del negocio debe ser responsabilidad del órgano de dirección, que debe aprobarla y mantenerla. La DORA (Reglamento UE 2022/2554) regula los elementos específicos de las tecnologías de la información y la comunicación, y los CASP entran en el ámbito de aplicación de la DORA en su calidad de entidades financieras. Ambos marcos operan simultáneamente, y la función de cumplimiento normativo debe ser capaz de gestionarlos a la vez.
El segundo documento de consulta de la MiCA de la AEVM introdujo una obligación específica para las empresas que operan con tecnología de contabilidad distribuida sin permisos (blockchains públicas como Ethereum): una comunicación proactiva y estructurada con los clientes durante cualquier interrupción del servicio a nivel de DLT.
La empresa debe informar a los clientes sobre si sus fondos están en riesgo y ofrecer una visión clara de cómo se está gestionando la reanudación del servicio. La empresa sigue siendo plenamente responsable de cualquier pérdida derivada de sus propios contratos inteligentes, independientemente de si la cadena de bloques subyacente es de tipo «permissionless».
No se trata de una política estándar de interrupción de los servicios informáticos. Asumir esta obligación de manera significativa requiere que el órgano de dirección comprenda el riesgo de la infraestructura DLT a un nivel que va mucho más allá de los conocimientos técnicos generales. El equipo de cumplimiento que solo pueda describir el riesgo de la cadena de bloques en términos generales no podrá redactar, revisar ni mantener una política de continuidad del negocio que satisfaga el escrutinio regulatorio.
Los estándares de datos como capacidad de cumplimiento
Las responsabilidades de la función de cumplimiento se extienden a la arquitectura de datos. Los CASP que operan plataformas de negociación deben utilizar el estándar Digital Token Identifier (DTI) para todo el mantenimiento de registros y la presentación de informes a las autoridades nacionales competentes (NCA). El DTI identifica de forma única cada criptoactivo y lo vincula a la DLT específica en la que se emite, negocia o liquida. Esto permite a los reguladores llevar a cabo una vigilancia transfronteriza con datos coherentes y comparables.
Las normas de mensajería ISO 20022 regulan el formato de los datos transaccionales presentados a las autoridades. Los datos de transparencia pre y post-negociación deben divulgarse a través de canales públicos no discriminatorios y legibles por máquina para prevenir el abuso de mercado. Cada uno de estos requisitos tiene una dimensión técnica que el equipo de cumplimiento debe asumir, sin delegarla ciegamente al departamento de TI.
Una empresa que trate el mantenimiento de registros como una tarea general de administración del sistema, sin una supervisión de cumplimiento de las normas de datos específicas que exige la RTS, se enfrentará a problemas de supervisión tras la autorización. Las normas existen precisamente para que las autoridades nacionales competentes (NCA) puedan comparar registros de cientos de CASP en un único análisis. Una empresa que no pueda presentar datos en el formato requerido es una empresa que no puede demostrar un cumplimiento continuo.
Este es el significado práctico del estándar del «cerebro único». El equipo de cumplimiento integra el conocimiento normativo, la estructura de gobernanza, los conocimientos operativos sobre DLT y la alfabetización técnica en materia de datos como una única capacidad operativa. Ninguno de esos elementos puede externalizarse por completo a otra función.
Crear el equipo antes de presentar la solicitud
La solicitud de autorización para una licencia CASP MiCA documenta una institución que ya existe. Ese es el modelo mental que separa a las empresas que avanzan de manera eficiente en el proceso de aquellas que se estancan. Las empresas que solicitan una licencia de criptobolsa, una autorización de custodia de activos digitales o cualquier otra licencia CASP en Europa deben abordar la arquitectura del equipo como el primer resultado, no como algo que se va concretando mientras se redacta la solicitud.
La función de cumplimiento normativo debe ser estructuralmente independiente antes de que se redacte el primer documento. Se debe evaluar la cobertura del conocimiento colectivo del órgano de gestión y subsanar cualquier laguna antes de que comience la revisión de la autoridad nacional competente (NCA). Las declaraciones sobre el compromiso de tiempo deben ser realistas antes de su presentación.
La misma lógica se aplica a nivel mundial. Las empresas que solicitan una licencia VASP en jurisdicciones fuera de la UE se enfrentan cada vez más a normas paralelas: los reguladores de Oriente Medio, Asia-Pacífico y América están convergiendo en requisitos similares de «la forma sigue a la sustancia» para el diseño de la función de cumplimiento. La norma de la UE, que es la más detallada y técnicamente específica actualmente en vigor, constituye un punto de referencia útil para cualquier equipo que se esté constituyendo con el fin de obtener la condición de entidad regulada en cualquier jurisdicción importante.
«Somos DeFi, así que la MiCA no se nos aplica». Lo sentimos, pero la ABE y la AEVM opinan lo contrario
La MiCA pone en tela de juicio las afirmaciones sobre la descentralización de las finanzas descentralizadas (DeFi), mientras los reguladores evalúan las normas de control, gobernanza y cumplimiento. read more.
Leer ahora
«Somos DeFi, así que la MiCA no se nos aplica». Lo sentimos, pero la ABE y la AEVM opinan lo contrario
La MiCA pone en tela de juicio las afirmaciones sobre la descentralización de las finanzas descentralizadas (DeFi), mientras los reguladores evalúan las normas de control, gobernanza y cumplimiento. read more.
Leer ahora«Somos DeFi, así que la MiCA no se nos aplica». Lo sentimos, pero la ABE y la AEVM opinan lo contrario
Leer ahoraLa MiCA pone en tela de juicio las afirmaciones sobre la descentralización de las finanzas descentralizadas (DeFi), mientras los reguladores evalúan las normas de control, gobernanza y cumplimiento. read more.
Conclusión clave El mito: nombrar a un responsable de cumplimiento y a un MLRO (responsable de la gestión del riesgo de blanqueo de capitales) satisface las obligaciones de cumplimiento de la MiCA. La realidad: la MiCA exige un organismo de cumplimiento operativo, no una lista de cargos.
Hay tres aspectos que determinan si un órgano de dirección cumple la norma: Cobertura de conocimientos colectivos. El equipo, considerado como una unidad, debe abarcar la experiencia en mercados financieros tradicionales, la competencia en DLT y ciberseguridad, y la capacidad de gobernanza organizativa. Las lagunas en cualquiera de estos ámbitos son deficiencias estructurales, no preferencias de perfil.
Independencia estructural documentada. Las funciones básicas de control interno (cumplimiento normativo, evaluación de riesgos y auditoría interna) deben tener un responsable designado, una línea de información directa al órgano de dirección y una independencia verificada respecto al área de negocio que supervisan. (Nota: la lucha contra el blanqueo de capitales y la financiación del terrorismo, así como la continuidad del negocio, son igualmente obligatorias, pero se tratan como pilares organizativos distintos). Un organigrama que canalice el cumplimiento normativo a través de una función generadora de ingresos no superará el escrutinio de la autoridad nacional competente.
Sustancia institucional real. La dedicación de tiempo debe ser genuina y estar documentada. La presencia física en la UE debe reflejar el peso real en la toma de decisiones, no una dirección registrada. La política de continuidad del negocio debe ser responsabilidad del órgano de dirección. La comunicación de datos debe cumplir las normas DTI e ISO 20022 desde el primer día. La solicitud de la licencia CASP es el resultado. La arquitectura de cumplimiento es la base. Construya primero la base.
Este artículo se basa en un estudio realizado por LegalBison en abril de 2026. El contenido tiene fines meramente informativos y no constituye asesoramiento jurídico.
