MiCA al detalle: «Tenemos una oficina en la UE» no es suficiente: esto es lo que realmente quieren ver los reguladores

MiCA Decoded es una serie semanal de 12 artículos para Bitcoin.com News, escrita conjuntamente por los cofundadores y directores generales de LegalBison: Aaron Glauberman, Viktor Juskin y Sabir Alijev. LegalBison asesora a empresas de criptomonedas y FinTech sobre licencias MiCA, solicitudes de CASP y VASP, y estructuración normativa en toda Europa y más allá.

La entrada de esta semana ha sido escrita por Krystian Lapka, abogado de LegalBison. Krystian está especializado en transacciones corporativas y comerciales transfronterizas, así como en la gestión estratégica de riesgos en la intersección entre el derecho civil y el common law.

---

La mayoría de los fundadores que se enfrentan a su primera solicitud de CASP entienden, al menos en abstracto, que la MiCA exige una presencia real en la UE. Lo que subestiman es cómo define el regulador el término «real».

La configuración típica de una empresa en fase inicial parece coherente sobre el papel: un domicilio social en una jurisdicción favorable de la UE, un director nombrado en los documentos de gobernanza, sistemas TIC alojados en la nube o gestionados desde la infraestructura global del grupo, y capital desembolsado depositado en una cuenta bancaria de reciente apertura. Desde dentro, esto parece una empresa de la UE. Desde la perspectiva de una autoridad nacional competente, puede parecer un buzón con un director adjunto.

Este artículo describe lo que los requisitos de sustancia de la MiCA exigen realmente en materia de personal, tecnología y resiliencia financiera, y explica por qué los reguladores tratan cada categoría como una prueba funcional en lugar de un mero ejercicio de documentación. La preocupación que subyace a todo ello es la misma: evitar las sociedades de buzón, entidades que existen sobre el papel en una jurisdicción favorable pero que carecen de cualquier actividad económica significativa, capital humano o capacidad operativa en su seno.

El mito: presencia igual a sustancia

La lógica regulatoria aquí es anterior a la MiCA. En la histórica sentencia Cadbury Schweppes (Asunto C-196/04), el Tribunal de Justicia de la Unión Europea estableció que la libertad de establecimiento no puede utilizarse para crear «acuerdos totalmente artificiales» que carezcan de una actividad económica genuina. La MiCA codifica ese principio directamente en la regulación de los criptoactivos.

El artículo 59, apartado 2, de la MiCA establece que los CASP autorizados deben tener su domicilio social en un Estado miembro en el que presten al menos parte de sus servicios de criptoactivos, deben tener su lugar de gestión efectiva dentro de la Unión y deben contar con al menos un director residente en la Unión. La disposición es breve. Lo que hay detrás de ella es considerablemente más exigente.

El informe de supervisión de la AEVM sobre la autorización de los CASP, aunque no es vinculante, indica claramente cómo se espera que las autoridades nacionales competentes interpreten estos requisitos en la práctica. La brecha entre el texto legal y las expectativas de supervisión es donde muchas solicitudes encuentran dificultades.

Personal: ¿Quién dirige realmente esta entidad?

El umbral mínimo según la MiCA es un director residente en la UE. Las orientaciones de supervisión elevan ese listón. La nota informativa de la AEVM prevé que al menos dos altos ejecutivos supervisen conjuntamente las operaciones diarias. El razonamiento es sencillo: un único ejecutivo genera un riesgo de concentración y elimina los controles internos que requiere una estructura de gobernanza que funcione. Se espera como mínimo que haya dos ejecutivos con responsabilidades definidas y superpuestas.

La residencia no es suficiente por sí sola. Las directrices indican que, cuando un miembro del órgano de dirección no resida en la jurisdicción de la autoridad nacional competente (NCA), dicha persona deberá ser capaz de asistir a reuniones presenciales a petición de la autoridad en un plazo de dos días hábiles. Para las jurisdicciones en las que la proximidad física al supervisor es importante desde el punto de vista operativo, esto supone una restricción práctica sobre la distancia a la que un director puede ubicarse efectivamente de su jurisdicción de origen. El compromiso de tiempo se trata con similar seriedad. La posición de la AEVM, tal y como se articula en su Informe de Supervisión sobre la Autorización de los CASP, es que los miembros del consejo de administración ejecutivo deben, por lo general, dedicar el 100 % de su tiempo profesional a la función de CASP. El «doble cargo», en el que una misma persona desempeña funciones ejecutivas en varias entidades, solo se permite en circunstancias limitadas. Es probable que un ejecutivo que divida su atención entre el CASP y otra empresa del grupo sea objeto de escrutinio durante la evaluación de idoneidad.

Las líneas jerárquicas son tan importantes como los perfiles individuales. El órgano de dirección debe demostrar que el control estratégico y operativo recae en la entidad de la UE, y no en una sociedad matriz de un tercer país que toma las decisiones reales y da instrucciones hacia abajo. Una filial de la UE cuyos ejecutivos actúan funcionalmente como agentes de ejecución de una sede central no perteneciente a la UE no es, en el sentido supervisor, una entidad con una dirección genuinamente de la UE.

La dimensión de la lucha contra el blanqueo de capitales refuerza esta idea. La persona responsable de presentar informes de actividades sospechosas (el MLRO) debe estar físicamente presente, tener autoridad real dentro de la entidad y poder interactuar directamente con la Unidad de Inteligencia Financiera local. Este requisito refleja una tendencia global más amplia: el Marco de Notificación de Criptoactivos (CARF) del GAFI y la OCDE funciona con la misma lógica, extendiendo los requisitos de sustancia y transparencia más allá de la UE.

Los requisitos de personal de la MiCA y el CARF no son desarrollos inconexos; reflejan una norma internacional convergente sobre cómo debe ser, desde dentro, una entidad de criptoactivos regulada. La norma de idoneidad colectiva del artículo 68, apartado 1, exige que el órgano de dirección posea los conocimientos, las competencias y la experiencia adecuados, tanto a nivel individual como colectivo. Como se abordó en la entrega anterior de esta serie, dicha norma abarca la regulación de los mercados financieros tradicionales, la infraestructura de DLT y la ciberseguridad, así como la gobernanza organizativa. Cada uno de esos ámbitos debe estar representado en la sala. Un equipo compuesto íntegramente por personas con experiencia en el sector de las criptomonedas sin experiencia en servicios financieros regulados, o uno con amplia experiencia en finanzas tradicionales y sin capacidad para evaluar el riesgo en cadena, presenta deficiencias estructurales que el proceso de evaluación pondrá de manifiesto.

Tecnología: control, no solo alojamiento

El Reglamento DORA (Reglamento (UE) 2022/2554) se aplica directamente a los CASP y establece el marco para los requisitos de resiliencia de las TIC. La pregunta que se plantean los reguladores sobre la tecnología no es qué infraestructura utiliza una empresa. La pregunta es quién la controla.

La infraestructura en la nube alojada por AWS, Azure o proveedores similares es aceptable según la práctica supervisora actual. El problema surge cuando la entidad autorizada en la UE carece de un control administrativo significativo sobre los sistemas de los que depende. Si la gestión de las claves de cifrado recae en el equipo global de TI de la empresa matriz, si los derechos de acceso a los datos de los clientes se administran desde fuera de la UE, o si el plan de recuperación ante desastres depende de las aprobaciones de una sede en un tercer país, la entidad de la UE no puede demostrar una independencia operativa genuina.

La posición de la AEVM, tal y como se refleja en sus materiales de consulta, es que el equipo directivo de la UE debe ejercer un control efectivo sobre la infraestructura de TIC relevante para las operaciones del CASP. La política de continuidad del negocio y los planes de recuperación ante desastres exigidos en virtud del artículo 68, apartado 7, deben ser propiedad de la entidad de la UE y ejecutables por ella, sin depender de una función global que puede o no responder en caso de crisis.

La prueba práctica es clara: si el equipo global de TI de la empresa matriz dejara de estar disponible de la noche a la mañana, ¿podría la entidad de la UE seguir operando, acceder a los fondos de los clientes y devolver los activos a los clientes? Si la respuesta es no, o no sin una escalada significativa al personal no perteneciente a la UE, la cuestión de fondo no se ha resuelto.

Los requisitos de cumplimiento del RGPD y de gobernanza de datos se suman al marco de la DORA. Los acuerdos de tratamiento de datos, las relaciones entre el responsable y el encargado del tratamiento y las consideraciones sobre la residencia de los datos forman parte de la arquitectura técnica que examinarán los reguladores.

Aspectos financieros: capital que realmente funciona

El artículo 67 establece las salvaguardias prudenciales mínimas. Los niveles de capital se definen por clase de servicio:

La cifra de capital mínimo es el punto de partida, no el límite máximo. Las garantías prudenciales deben ser iguales al mayor de los siguientes importes: el capital mínimo permanente o una cuarta parte de los gastos fijos del año anterior. A medida que un CASP crece y sus gastos fijos aumentan, este segundo requisito se convierte en la restricción vinculante. Cuando los gastos fijos superan cuatro veces el capital desembolsado inicial, la empresa debe pasar al marco basado en los gastos fijos. Ese punto de inflexión llega antes de lo que muchos operadores prevén, y los reguladores esperan una supervisión proactiva en lugar de un ajuste reactivo. Un aspecto estructural que cabe destacar: el capital debe ingresarse en una cuenta mantenida en una entidad de crédito formal. Una cuenta de un EMI o de un proveedor de servicios de pago no cumple este requisito. Establecer una relación bancaria como empresa de criptomonedas lleva tiempo y no está garantizado. Iniciar ese proceso con antelación, antes de presentar formalmente la solicitud, no es opcional. Se trata de una restricción de secuencia que afecta a todo el calendario de autorización. El requisito de que los estados financieros utilizados en el cálculo de los gastos generales fijos estén debidamente auditados o validados por las autoridades reguladoras nacionales añade una dimensión administrativa adicional. Las entidades de reciente constitución que proyecten sus gastos generales para los primeros doce meses deben incluir dichas proyecciones en su solicitud de autorización, con la metodología claramente documentada.

Externalización y el umbral de sustancia

El artículo 73 permite a los CASP externalizar funciones operativas a terceros. La restricción es que la externalización no puede vaciar de contenido a la entidad autorizada. La responsabilidad recae en el CASP; la delegación no transfiere la responsabilidad.

El informe de supervisión de la AEVM sobre la autorización de los CASP identifica el porcentaje de los costes totales atribuibles a funciones ubicadas fuera de la UE como un indicador práctico de si la externalización ha ido demasiado lejos. Un CASP cuya mayor parte de los gastos operativos se destine a proveedores de servicios no pertenecientes a la UE, incluso si estos están bien gestionados y gozan de buena reputación, puede enfrentarse a dudas sobre si la entidad de la UE tiene suficiente capacidad interna para considerarse un auténtico proveedor de servicios en lugar de un mero conducto.

La distinción que establece el regulador es entre los CASP que externalizan funciones específicas pero mantienen el control y los CASP que externalizan todo lo sustancial y solo conservan la forma jurídica. Estos últimos son meras estructuras vacías, independientemente de cómo se describa el acuerdo en la solicitud.

Variación jurisdiccional: misma ley, prácticas diferentes

La MiCA es directamente aplicable en todos los Estados miembros de la UE. Los requisitos sustantivos son uniformes. La práctica supervisora no lo es. Chipre, a través de la CySEC, ha exigido explícitamente que la mayoría de los miembros del consejo de administración de un CASP sean residentes físicos en Chipre. Para un consejo compuesto por dos consejeros ejecutivos y dos no ejecutivos, eso significa un mínimo de tres consejeros residentes en Chipre. Esto va más allá de lo que exige el texto de la MiCA y refleja las directivas nacionales contra el blanqueo de capitales superpuestas al marco armonizado de la UE. Estonia presenta una dinámica diferente. Bajo el anterior régimen de registro de VASP administrado por la Unidad de Inteligencia Financiera, Estonia se convirtió en una de las jurisdicciones de concesión de licencias más accesibles de Europa. La transición a la MiCA trasladó la responsabilidad de supervisión a la Autoridad de Supervisión Financiera y Resolución de Estonia, lo que aporta un enfoque institucional diferente a la revisión y la supervisión continua.

La situación legislativa de Polonia, tratada en entregas anteriores de esta serie, ha generado una brecha estructural en la que aún no se ha promulgado la ley nacional de aplicación de la MiCA, lo que deja a la KNF sin una designación formal como autoridad competente y a los titulares de VASP sin una vía viable para solicitar la autorización CASP a nivel nacional.

Estas variaciones no son lagunas ni peculiaridades administrativas. Reflejan la realidad de que un marco jurídico armonizado sigue operando a través de las culturas de supervisión nacionales, las limitaciones de personal y las historias institucionales. Seleccionar una jurisdicción para la autorización CASP significa seleccionar un regulador, con todas las implicaciones prácticas que ello conlleva.

Lo que realmente exige el «establecimiento efectivo»

En conjunto, los requisitos de fondo de la MiCA reflejan una filosofía de supervisión más que una simple lista de verificación. El regulador quiere tener la seguridad de que, si algo sale mal, dispone de un recurso significativo. Esto significa que la dirección ejecutiva debe ser físicamente localizable y legalmente responsable en virtud de la legislación de la UE. Significa que los sistemas de TIC deben ser controlables por la entidad de la UE sin depender de cadenas de autorización de fuera de la UE. Significa que el capital debe estar genuinamente disponible y dimensionado en función del riesgo operativo real.

Y significa una gobernanza en la que la entidad de la UE toma decisiones reales en lugar de limitarse a aplicar instrucciones emitidas desde otros lugares. Las empresas que abordan esto como un mero ejercicio de documentación suelen encontrar el proceso más difícil de lo esperado. Las empresas que construyen primero la sustancia y documentan lo que han construido suelen encontrarlo más sencillo. La solicitud no crea la organización. Describe una que ya debería existir en gran medida.

Fuentes:

• Informe de supervisión de la AEVM sobre la autorización de los CASP
• Documento de consulta de la AEVM sobre la MiCA, 2.º paquete
• Reglamento MiCA de la MFSA

Este artículo se basa en un estudio realizado por LegalBison en mayo de 2026. El contenido tiene fines meramente informativos y no constituye asesoramiento jurídico.