«Somos DeFi, así que la MiCA no se nos aplica». Lo sentimos, pero la ABE y la AEVM opinan lo contrario

MiCA Decoded es una serie semanal de 12 artículos para Bitcoin.com News, escrita conjuntamente por los cofundadores y directores generales de LegalBison: Aaron Glauberman, Viktor Juskin y Sabir Alijev. LegalBison asesora a empresas de criptomonedas y FinTech sobre licencias MiCA, solicitudes de CASP y VASP, y estructuración normativa en toda Europa y más allá.

La entrada de esta semana ha sido escrita por Eira Järvi, abogada sénior de LegalBison, que lidera la investigación regulatoria global y la implementación de licencias CASP y otras licencias complejas. Eira aplica activamente la investigación global a productos activos orientados al cliente.

El auge de las DeFi

Las finanzas descentralizadas han ido en aumento en los últimos años. La industria de las criptomonedas ha sido testigo de la aparición de nuevos proyectos DeFi casi a diario. Las nuevas redes blockchain, los protocolos y las aplicaciones descentralizadas (dApps) constituyen el tema central de los debates entre los entusiastas de las DeFi y de los boletines informativos. Estos giran en torno a temas como la eficiencia, la transparencia, la composibilidad, la privacidad y la accesibilidad de las DeFi. Con la entrada en vigor de MiCAR (Reglamento sobre los mercados de criptoactivos), muchos equipos de desarrollo de DeFi están contemplando ahora la posibilidad de expandir sus proyectos a los mercados de la UE. Sin embargo, en este contexto, hay un tema que sigue siendo más crucial que todos los demás. ¿Cómo garantiza el equipo que el proyecto que está desarrollando cumple con la legislación?

Para la mayoría de las startups de DeFi, la respuesta puede parecer sencilla: MiCAR contiene una exención para proyectos «totalmente descentralizados» en la que muchas startups confían con seguridad a la hora de justificar su confianza en lanzar sus proyectos en la UE sin buscar asesoramiento legal, y mucho menos el cumplimiento de MiCAR. Este artículo pretende desmontar la creencia popular de que, si un proyecto está lo suficientemente descentralizado, MiCAR no es motivo de preocupación para el equipo. Lo sentimos, ¡pero las directrices regulatorias desmontan ese mito!

El mito: MiCA no afecta a los proveedores de servicios DeFi y no custodiales

El artículo 3(1), punto 1, de MiCAR define la tecnología de registro distribuido («DLT») como «una tecnología que permite el funcionamiento y el uso de registros distribuidos», y el punto 2 define «registro distribuido» como «un repositorio de información que mantiene registros de transacciones y que se comparte y sincroniza entre un conjunto de nodos de la red DLT mediante un mecanismo de consenso».

El considerando 22 de MiCAR ofrece la orientación más importante sobre la relación de las DeFi con el Reglamento. Establece que MiCAR está diseñado para abarcar los servicios y actividades realizados, prestados o controlados, ya sea directa o indirectamente, por personas físicas o jurídicas y determinadas empresas dedicadas a servicios de criptoactivos, incluso en los casos en que exista descentralización.

Sin embargo, el considerando contiene la siguiente formulación crucial: «Cuando los servicios de criptoactivos se presten de manera totalmente descentralizada sin ningún intermediario, no deberían entrar en el ámbito de aplicación del presente Reglamento». La importancia de esta disposición radica en dos frases clave: «totalmente descentralizada» y «sin ningún intermediario». El texto del propio Reglamento no define «totalmente descentralizada» en ninguna parte de sus disposiciones operativas. La única referencia a este término se encuentra en el considerando 22, que forma parte del preámbulo y no de las disposiciones formales jurídicamente vinculantes. El considerando 83 establece además que «los proveedores de hardware o software de carteras sin custodia no deben entrar en el ámbito de aplicación del presente Reglamento», sin definir explícitamente en qué medida el suministro de hardware o software constituye un servicio totalmente descentralizado excluido del MiCAR.

El considerando 109 reconoce estas dificultades interpretativas y asigna la elaboración de proyectos de normas técnicas de regulación y de ejecución a la Autoridad Bancaria Europea («ABE») y a la Autoridad Europea de Valores y Mercados («AEVM»).

A la hora de determinar si los servicios entran en el ámbito de aplicación del MiCAR, del considerando 22 y de las orientaciones reglamentarias posteriores se pueden extraer dos condiciones:

• En primer lugar, ninguna entidad puede ejercer control sobre los parámetros del protocolo, los mecanismos de gobernanza o la infraestructura tecnológica básica sobre la que opera el servicio de criptoactivos.
• En segundo lugar, los usuarios deben acceder a lo que equivale a un «recurso de interés general», en lugar de adquirir servicios de un proveedor designado con el que exista una relación contractual de prestación de servicios.

Estas condiciones son fundamentales para evaluar si un proyecto de DeFi entra o queda fuera del ámbito de aplicación de MiCAR.

El peligro de sobreestimar el grado de descentralización

En un mundo con tecnologías en rápida evolución, inestabilidad geopolítica y sistemas financieros fragmentados que dependen de procesos manuales e intermediarios, las DeFi presentan una solución transparente y sin fronteras que cambia de forma fundamental la manera en que se inician, procesan y ejecutan las transacciones. En lugar de los modelos tradicionales del sistema financiero, en los que las transacciones deben pasar primero por una serie de intermediarios y backends institucionales antes de ser ejecutadas y liquidadas, en DeFi los usuarios realizan transacciones interactuando directamente con la red blockchain subyacente a través de protocolos e interfaces descentralizados, eliminando así la necesidad de intermediarios e infraestructuras de sistema complejas.

En el mundo del derecho on-chain, la línea entre la descentralización total y la falta de ella es más delgada de lo que parece. Antes de que pueda comenzar cualquier trabajo, un abogado que trabaje con un proyecto Web3 descentralizado determinará primero si el proyecto puede considerarse descentralizado mediante el análisis y la evaluación de las capas del proyecto, su estado de descentralización, así como los planes del equipo sobre la propiedad y la gobernanza.

En esta etapa inicial de la elaboración de la estrategia jurídica, hay muchos elementos técnicos y arquitectónicos que el abogado debe evaluar para llegar a un acuerdo definitivo sobre el estado de descentralización del proyecto. Aunque el equipo pueda estar convencido de que su proyecto está totalmente descentralizado, con todos sus elementos —como la DLT, el protocolo y la dApp—, en realidad, la evaluación inicial puede revelar lo contrario.

Para alcanzar un estado de verdadera y plena descentralización, todos los elementos del proyecto deben cumplir los criterios de plena autonomía y ausencia de influencia interna o externa en todo el ecosistema del proyecto y sus múltiples elementos, incluyendo, entre otros, la gobernanza, la propiedad, las interfaces, etc., lo cual, tras un análisis más detallado, muy pocos proyectos logran alcanzar. Esta conclusión puede ilustrarse mejor con un suceso reciente en el mundo de las DeFi. El 21 de abril de 2026, el Consejo de Seguridad de Arbitrum congeló más de 30 ETH (aproximadamente 71 millones de dólares) asociados al exploit de Kelp DAO. Un órgano de gobierno compuesto por 12 miembros pudo reaccionar ante la vulneración trasladando los fondos a una cartera intermediaria, de la que solo se pueden liberar mediante una votación de gobernanza, lo que, en la práctica, bloquea los fondos en la cartera.

Este ejemplo pone de manifiesto la existencia de un control operativo discrecional: aunque Arbitrum es, por definición, una red de capa 2 sin permisos y aparentemente totalmente descentralizada, el ejercicio de control sobre los activos de los usuarios es precisamente lo que no superaría la prueba de descentralización total de MiCAR. En este caso, el fondo prevalece sobre la forma a la hora de determinar el alcance regulatorio, independientemente de que el libro mayor subyacente no requiera permisos.

Por lo tanto, una simple afirmación de que un proyecto DeFi está totalmente descentralizado no es suficiente para descartar la obligación de cumplir con MiCAR y obtener la autorización necesaria como CASP. Los abogados evaluarán principalmente la arquitectura técnica del proyecto, la lógica de propiedad y las reglas de gobernanza, lo que significa que invocan la evaluación de «la sustancia sobre la forma» por encima de la semántica. Los organismos reguladores europeos, como la Autoridad Bancaria Europea (ABE) y la Autoridad Europea de Valores y Mercados (AEVM), respaldan plenamente este enfoque.

Perspectiva de la ESMA y la EBA sobre las DeFi

La perspectiva de la ESMA sobre las finanzas descentralizadas ha evolucionado sustancialmente a través de múltiples paquetes de consulta y, lo que es más significativo, a través del Informe conjunto con la EBA sobre los últimos avances en criptoactivos publicado el 13 de enero de 2025 (ESMA75-453128700-1391 / EBA/Rep/2025/01), elaborado de conformidad con el artículo 142 de MiCAR.

El razonamiento de la ESMA sobre el espectro de la descentralización es fundamental para esta evaluación. En su segundo paquete de consultas sobre normas técnicas de regulación y de ejecución, la AEVM propuso una definición de «tecnología de registro distribuido sin permiso» como «una tecnología que permite el funcionamiento y el uso de registros distribuidos en los que ninguna entidad controla el registro distribuido ni su uso, ni presta servicios básicos para el uso de dicho registro distribuido, y en la que cualquier persona que cumpla los requisitos técnicos y los protocolos puede configurar nodos de la red DLT».

Esta definición se basa en el documento consultivo del Consejo de Estabilidad Financiera, que distingue entre DLT sin permisos (totalmente descentralizada), DLT con permisos que permite un grado de centralización y plataformas centralizadas. La AEVM reconoce que «el alcance exacto de esta exención sigue siendo incierto» y considera que la evaluación de cada sistema debe realizarse caso por caso, teniendo en cuenta las características del sistema.

La AEVM reconoce que la descentralización no es un concepto binario, sino que existe en un espectro que va desde la centralización hasta diversos grados de descentralización: «En los DEX, la cadena de bloques sustituye al intermediario. Los DEX utilizan código autónomo (a menudo denominado «contratos inteligentes») para ejecutar operaciones directamente en la capa de liquidación de la cadena de bloques (con distintos grados de descentralización)».

El Informe Conjunto de enero de 2025 proporciona datos empíricos que respaldan el marco analítico. Las DeFi representan aproximadamente el cuatro por ciento de la capitalización de mercado global de criptoactivos, con tasas de penetración algo más elevadas entre los usuarios con sede en la UE. El informe confirma que muy pocos sistemas DeFi logran una descentralización verdaderamente plena en la forma contemplada en el considerando 22. El informe señala que incluso los protocolos aparentemente descentralizados suelen tener entidades identificables que ejercen diversos grados de control sobre la gobernanza, las actualizaciones de protocolos, el despliegue de contratos inteligentes y las estructuras de comisiones.

En cuanto a los proveedores de hardware y software de servicios auxiliares de los CASP, la posición que se desprende de las orientaciones de la AEVM es que las entidades que se limitan a crear y vender herramientas de desarrollo de software, aplicaciones o plataformas para la prestación o el comercio de criptoactivos no se clasifican automáticamente como CASP si sus actividades se limitan a la creación y venta de dichos servicios.

Sin embargo, las entidades que supervisan la creación y el desarrollo de software o plataformas para la prestación de servicios de criptoactivos pueden considerarse CASP si conservan el control o una influencia suficiente sobre los criptoactivos, el software, el protocolo, la plataforma o las relaciones comerciales con los usuarios. La prueba decisiva es, por lo tanto, la del control y la influencia, más que la mera participación tecnológica.

El papel de las relaciones contractuales en la definición de la descentralización total queda aún más subrayado por el análisis de la AEVM del artículo 73 de la MiCAR, que se refiere a la externalización de servicios o actividades a terceros. La AEVM concluye que no existe base jurídica para clasificar las DLT sin permiso utilizadas por los CASP como un proveedor externo, ya que no se requiere una relación contractual formal para interactuar con blockchains sin permiso. Esto lleva a la importante conclusión de que las DLT sin permiso pueden considerarse una forma de recurso de «bien común», mientras que las DLT con permiso operadas por empresas comerciales suelen implicar acuerdos contractuales formales y, por lo tanto, constituyen una relación de «proveedor externo». Esta distinción es la columna vertebral de la evaluación posterior en este memorándum.

El Informe Conjunto aborda además los riesgos de ML/TF y las consideraciones en materia de TIC aplicables a los sistemas descentralizados. La ausencia de controles tradicionales de AML/CFT en los sistemas puramente descentralizados plantea importantes preocupaciones normativas, ya que los procedimientos de «conozca a su cliente» y la supervisión de las transacciones suelen estar ausentes o ser incompletos. El informe señala que los riesgos de las TIC se encuentran entre las principales preocupaciones, ya que la mayoría de las pérdidas financieras relacionadas con las finanzas descentralizadas (DeFi) son atribuibles a vulnerabilidades de los contratos inteligentes, la manipulación de oráculos y los ataques de front-running, incluida la explotación del valor máximo extraíble («MEV»). Estos factores de riesgo, aunque no son determinantes para la clasificación regulatoria, orientan el enfoque de supervisión de las entidades que operan en diversos puntos del espectro de descentralización.

Marco del GAFI y relaciones contractuales

Las orientaciones del GAFI sobre los VASP y las DeFi proporcionan un marco analítico fundamental que ha sido adoptado y desarrollado posteriormente por la AEVM. Según la Guía actualizada del GAFI para un enfoque basado en el riesgo de los activos virtuales y los proveedores de servicios de activos virtuales (octubre de 2021), una persona que crea o vende una aplicación de software o una plataforma de activos virtuales puede no constituir un proveedor de servicios de activos virtuales cuando se dedica exclusivamente a la creación o venta de la aplicación o plataforma, haciendo hincapié en la palabra «exclusivamente».

En los casos en que los creadores, propietarios, operadores u otras personas parezcan mantener el control o ejercer una influencia suficiente sobre los acuerdos de DeFi, incluso si dichos acuerdos parecen descentralizados, pueden entrar en la definición del GAFI de un VASP si prestan o facilitan activamente servicios de VASP. El control o la influencia significativa pueden manifestarse a través del control sobre los activos o aspectos del protocolo del servicio, y a través de una relación comercial continua entre el operador y los usuarios, incluso si este control se ejerce a través de un contrato inteligente o, en algunos casos, a través de protocolos de votación. El razonamiento del GAFI sienta las bases para la evaluación de la descentralización en el marco de MiCAR al establecer dos principios cruciales:

• En primer lugar, los propietarios y operadores, así como su grado de control sobre las DeFi, a menudo pueden identificarse por su relación con las actividades que se llevan a cabo, más que por las etiquetas aplicadas al acuerdo.
• En segundo lugar, la centralización parcial no puede excluirse automáticamente, incluso si en el servicio intervienen partes distintas del proveedor de servicios principal o si partes del proceso están automatizadas mediante contratos inteligentes.

El papel de las relaciones contractuales en la evaluación de la descentralización merece una atención especial. El artículo 73 de MiCAR, relativo a la externalización de servicios o actividades a terceros para el desempeño de funciones operativas, regula cómo deben abordar los CASP los riesgos asociados a los proveedores externos.

Sin embargo, tal y como reconoce el segundo documento de consulta de la AEVM, no existe base jurídica para clasificar las DLT sin permiso utilizadas por los CASP como un proveedor tercero, ya que no se requiere ninguna relación contractual formal, como un acuerdo de nivel de servicio, para interactuar con blockchains sin permiso. La AEVM concluye que las DLT sin permiso pueden considerarse una forma de recurso de «bien común», mientras que las DLT con permiso operadas por empresas comerciales suelen implicar contratos disponibles para productos de cadena de bloques de marca blanca, lo que constituye una relación con un proveedor externo.

Esta conclusión tiene profundas implicaciones para la evaluación regulatoria de las plataformas construidas sobre una infraestructura sin permisos. Si una plataforma implementa contratos inteligentes en una cadena de bloques sin permisos, como Ethereum, el uso de esa infraestructura de cadena de bloques no establece, por sí mismo, una relación de proveedor de servicios de terceros.

Sin embargo, si el operador de la plataforma mantiene el control sobre los contratos inteligentes, puede actualizar o modificar su funcionalidad, controla el acceso a la interfaz de usuario o mantiene claves administrativas que pueden pausar, congelar o modificar el protocolo, estos elementos centralizados sitúan al operador dentro del ámbito de aplicación de MiCAR, independientemente de la naturaleza sin permisos del libro mayor subyacente.

La prueba es, por lo tanto, funcional más que tecnológica: se pregunta qué control ejerce realmente el operador, no sobre qué tecnología se basa el sistema.

Conclusiones clave:

Teniendo en cuenta el análisis anterior, y en particular el razonamiento de la ESMA tal y como se expone en los documentos de consulta y en el Informe Conjunto de enero de 2025, opinamos que las siguientes proposiciones son válidas a efectos de esta evaluación.

• En primer lugar, siempre que ninguna persona física o jurídica controle un protocolo o plataforma DeFi y su uso, y ninguna persona desempeñe una función fundamental e indispensable en su funcionamiento sin la cual no se pueda utilizar la tecnología, el protocolo o plataforma DeFi podrá considerarse excluido del ámbito de aplicación de MiCAR por ser «totalmente descentralizado» en el sentido del considerando 22.
• En segundo lugar, el mero desarrollo de software o herramientas auxiliares para CASP no se considera un servicio de criptoactivos a menos que se incluyan en el ámbito de las actividades realizadas por el desarrollador aspectos adicionales regulados por MiCAR, como influir en la oferta, venta, transferencia, custodia o negociación de criptoactivos.

Sin embargo, la aplicación práctica de estos principios a cualquier proyecto DeFi requiere un examen minucioso de las características operativas y de gobernanza reales de su ecosistema. En caso de que la arquitectura de un proyecto indique un control centralizado sobre la emisión de tokens, los parámetros del protocolo o la gobernanza del ecosistema, es poco probable que cumpla la exención de «totalmente descentralizado» del considerando 22, y los servicios prestados en relación con dicho proyecto deben evaluarse con arreglo a las disposiciones de MiCAR.

Lo que hemos descifrado

La exención por «total descentralización» es excepcionalmente restrictiva: el considerando 22 de la MiCA establece que los servicios prestados de «manera totalmente descentralizada sin ningún intermediario» quedan fuera del ámbito de aplicación del reglamento, pero alcanzar este verdadero estado de plena descentralización es increíblemente raro. Si una sola entidad ejerce control sobre la gobernanza, los parámetros del protocolo o la infraestructura básica, la exención no se aplica.

El fondo prevalece sobre la forma a la hora de determinar el cumplimiento: los reguladores van más allá de las afirmaciones de marketing y la semántica técnica para evaluar el control operativo real. La prueba regulatoria es funcional, no tecnológica: si un operador mantiene claves administrativas, controla la interfaz de usuario o tiene la capacidad de actualizar o pausar contratos inteligentes, entra dentro del ámbito de aplicación de la MiCA.

La descentralización existe en un espectro: La ESMA no considera la descentralización como un concepto binario. Incluso si un proyecto se basa en gran medida en código autónomo y contratos inteligentes, la presencia de entidades identificables que ejerzan diversos grados de control sobre las estructuras de comisiones, las actualizaciones de protocolos o la gobernanza dará lugar a un escrutinio regulatorio.

Las cadenas de bloques sin permisos son «bienes comunes»: Basarse en una cadena de bloques pública y sin permisos no establece una relación formal de externalización a terceros en virtud del artículo 73 de la MiCA, ya que la ESMA las clasifica como recursos de «bien común». Sin embargo, el despliegue de contratos inteligentes en una infraestructura de bien común no exime al operador de la plataforma de la MiCA si conserva el control funcional sobre dichos contratos.

Los desarrolladores de software no son automáticamente CASP: El mero hecho de crear y vender software o hardware sin custodia no clasifica automáticamente a una entidad como proveedor de servicios de criptoactivos (CASP). Sin embargo, si los desarrolladores u operadores conservan suficiente influencia sobre los criptoactivos, la plataforma o las relaciones comerciales en curso con los usuarios, cruzan el umbral regulatorio y serán regulados como CASP.

Este artículo se basa en un estudio realizado por LegalBison en abril de 2026. El contenido tiene fines meramente informativos y no constituye asesoramiento jurídico.