• January 26, 2026
  • Se lee en 18 minutos
Lista de verificación del cumplimiento de MiCA: una guía práctica para empresas de criptomonedas

MiCA ya está en vigor, los plazos están fijados y los reguladores están listos para hacer cumplir la normativa, con multas que pueden alcanzar los 20 millones de euros o el 5 % de los ingresos globales en caso de incumplimiento. Para cualquier producto criptográfico que opere en la UE o preste servicios a clientes de la UE, «esperar y ver» se convierte en una responsabilidad. Con la implementación de la MiCA en 2025 por parte de la ESMA, que endurece las normas en materia de salvaguardias de custodia, notificación de incidentes y resiliencia operativa, el listón está claro y es alto.

Esta guía es una lista de verificación del cumplimiento de la MiCA: qué implementar, la secuencia que evita tener que volver a trabajar, quién debe encargarse de cada tarea y cómo validarla para que el cumplimiento se convierta en una parte viva y comprobable de su plataforma. Se trata de un manual que ayuda a los equipos a mantener sus licencias, la seguridad y la preparación para las auditorías sin retrasar la hoja de ruta del producto.

Esta lista de verificación supone un camino claro desde la estrategia hasta la ejecución, comenzando por los requisitos reales que la MiCA impone a su negocio. A continuación, vamos a desglosarlos.

Contenido

El reglamento MiCA descifrado: qué significa para su negocio de criptomonedas

MiCA es el reglamento de la UE para los servicios de criptoactivos: sencillo sobre el papel, implacable en la práctica. Define cómo debe funcionar su plataforma, cómo proteger los fondos de los usuarios, cómo comunicarse con los clientes, cómo probar sus sistemas y con qué rapidez informar de los incidentes cuando algo falla.

A quién se aplica MiCA:
Proveedores de servicios de criptoactivos (CASP) de cualquier tamaño, emisores de tokens, emisores de monedas estables, exchanges, proveedores de monederos, asesores, corredores… Básicamente, cualquier negocio relacionado con criptoactivos en la UE. Incluso las empresas no pertenecientes a la UE están sujetas al reglamento MiCA en el momento en que prestan servicios a clientes de la UE.

Qué regula la MiCA:
Las licencias, la gobernanza, la resiliencia operativa, las normas de custodia, los conflictos de intereses, la alineación con la normativa AML, las normas de transparencia, la divulgación de información, la notificación de incidentes y las pruebas que demuestran que todo ello funciona.

Por qué las startups no pueden ignorarla:
Los reguladores ahora se basan en la supervisión automatizada, y la MiCA introduce plazos de notificación estrictos que se miden en horas, no en días. Un informe de incidente omitido o un proceso de custodia no verificado puede costar más que una interrupción de la producción.

El cumplimiento de la MiCA no es opcional. Cualquier empresa de criptomonedas o blockchain que ofrezca servicios a usuarios de la UE debe cumplir los requisitos de la normativa MiCA, incluso si todo su equipo opera fuera de la UE. En el momento en que incorpora a un cliente de la UE, entra en el ámbito de aplicación.

A continuación, desglosemos esto en una lista de verificación práctica del cumplimiento de la MiCA que puede utilizar para crear y validar un producto que cumpla con la normativa.

La lista de verificación de cumplimiento de MiCA

La mayoría de las guías de cumplimiento se limitan a enumerar los requisitos en una sola lista y dejan que usted averigüe el orden en que deben cumplirse, por lo que muchos equipos malinterpretan cómo funciona en la práctica la normativa MiCA sobre criptomonedas. Este enfoque fracasa en la práctica porque la implementación de MiCA tiene dependencias: no se puede presentar una solicitud de licencia sin clasificación, y no se puede demostrar la resiliencia operativa sin controles técnicos ya establecidos. Esta es la parte que buscan la mayoría de los fundadores: una lista de verificación real del cumplimiento de MiCA que traduzca el texto legal en tareas operativas, organizada por fases para que su equipo sepa qué abordar primero.

Lista de verificación del cumplimiento de MiCA: una guía práctica para empresas de criptomonedas

Fase 1: Clasifique su negocio y sus activos

La forma más rápida de perderse en la normativa MiCA es clasificar erróneamente lo que es. La clasificación determina todos los requisitos de licencia, todos los controles de seguridad y todas las divulgaciones que necesitará más adelante.

Empiece por identificar si opera como CASP, emisor, asesor o custodio. A continuación, clasifique correctamente sus tokens: utilidad, token referenciado a activos (ART) o token de dinero electrónico (EMT). La Guía de clasificación de tokens de la Comisión Europea hace que este paso sea innegociable, ya que etiquetar incorrectamente una moneda estable o un token similar a una inversión puede descarrilar la concesión de la licencia incluso antes de presentar la solicitud.

Haga un mapa de las actividades reguladas que realiza, como el staking, el intercambio, la custodia, la ejecución y la gestión de carteras. Cada una de ellas conlleva diferentes obligaciones. Y recuerde un detalle práctico que muchos equipos pasan por alto: si su plataforma permite a los usuarios mantener activos en la aplicación, se le considera un custodio según la MiCA, incluso si nunca toca las claves privadas. La normativa tiene en cuenta la percepción de los usuarios y la exposición al riesgo, no su arquitectura interna.

Fase 2: Elabore su paquete de licencia

Una vez que la clasificación esté definida, reúna los documentos que los reguladores quieren ver antes incluso de abrir su expediente. Este es su plan operativo.

Necesitará:

  • Una estructura de gobernanza que muestre quién toma las decisiones y cómo fluye la responsabilidad.
  • Un marco de control interno que refleje los riesgos y los procesos de mitigación.
  • Un programa contra el blanqueo de capitales (AML) diseñado para cumplir con las expectativas de la sexta directiva contra el blanqueo de capitales (AMLD6), que incluya procesos de selección, supervisión y escalado.
  • Un plan de continuidad del negocio que cubra interrupciones, pérdida de datos y patrones de recuperación.
  • Un plan de controles de tecnología de la información y la comunicación (TIC) y de resiliencia operativa alineado con la MiCA y la Ley de Resiliencia Operativa Digital (DORA).
  • Políticas para la notificación de incidentes, la gestión de riesgos y los conflictos de intereses.
  • Estados financieros y pruebas de adecuación del capital.

La mayoría de las startups fracasan en cuanto a pruebas. Los reguladores quieren pruebas de que sus controles funcionan. Eso significa registros, instantáneas de supervisión, informes de pruebas y patrones de validación repetidos.

Fase 3: Implementar controles técnicos y de seguridad

MiCA espera que sus sistemas sean seguros, observables y resistentes antes de solicitar una licencia.

Controles operativos y de seguridad que debe implementar

  • Control de acceso basado en roles con registro de actividades listo para auditorías.
  • Una arquitectura de custodia basada en cuentas segregadas y un porcentaje claro de almacenamiento en frío.
  • Supervisión de transacciones 24/7 que señala las anomalías en tiempo real.
  • Reglas automatizadas contra el fraude y activadores AML integrados directamente en su canal de transacciones.
  • Un programa de pruebas de penetración que satisfaga las expectativas de MiCA y DORA en cuanto a la validación periódica de la seguridad, respaldado por la certificación de terceros cuando sea necesario.
  • Límites de velocidad de API, detección de anomalías y protección DDOS como medidas de seguridad predeterminadas.
  • Un plan de copia de seguridad y recuperación con RTO/RPO definidos que la ingeniería pueda cumplir realmente.

Notificación de incidentes
Según la MiCA, y reforzado por el calendario de implementación de la DORA de la UE para 2025, los «incidentes graves» deben notificarse rápidamente: una notificación inicial en un plazo de cuatro horas y un informe completo en un plazo de 72 horas. Este requisito obliga a los equipos a tratar los flujos de trabajo de los incidentes de la misma manera que tratan las implementaciones: probados, ensayados y automatizados siempre que sea posible.

Fase 4: Cumplimiento del libro blanco

Si emite un token, su libro blanco se convierte en un documento de divulgación regulado. Debe definir claramente el propósito del token, la arquitectura técnica, los derechos económicos, los riesgos inherentes y la gobernanza.

Los reguladores también lo cotejan con su marketing y su hoja de ruta. Si una característica aparece en sus anuncios pero no en su libro blanco, o si su sección de riesgos contradice su página de inicio, espere preguntas de seguimiento. Cree una sencilla revisión de control de calidad antes de cada lanzamiento: todas las afirmaciones de marketing deben coincidir con el libro blanco, todos los elementos de la hoja de ruta deben estar en consonancia con las divulgaciones.

Fase 5: Protección del consumidor y transparencia

La protección del consumidor en virtud de la MiCA es directa y cuantificable. Si los usuarios pagan por ello, lo utilizan o lo almacenan, deben comprender los riesgos.

En la práctica, esto significa:

  • Divulgación clara y accesible de los riesgos.
  • Precios y tarifas transparentes, sin sorpresas en la letra pequeña.
  • Tolerancia cero con las afirmaciones engañosas.
  • Supervisión del contenido de los afiliados y los influencers, al igual que el suyo propio.
  • Un proceso funcional y documentado de gestión de reclamaciones.

Y una regla a seguir: si promociona «rendimientos por participación», esos rendimientos deben ser reales, reproducibles y verificables en la cadena. Los reguladores ahora comparan sus divulgaciones con sus datos de transacciones reales.

Fase 6: Gobernanza y controles internos

La gobernanza en el marco de la MiCA representa poder, responsabilidad y rendición de cuentas documentada.

Debe implementar:

  • Un responsable de cumplimiento con verdadera autoridad e independencia.
  • Un responsable de riesgos y un responsable de cumplimiento para equipos más pequeños, que se encargue de las evaluaciones y las medidas de mitigación.
  • Un ciclo de auditoría interna anual.
  • Controles de externalización y evaluaciones de riesgos de los proveedores.
  • Normas de negociación del personal que eviten el uso indebido de información privilegiada mediante la autorización previa y la supervisión.

La MiCA es explícita en este punto: si su director técnico posee tokens en sus listas de intercambio, ese conflicto debe evaluarse, documentarse y supervisarse.

Fase 7: Informes y mantenimiento de registros

Los informes continuos son donde el cumplimiento de la MiCA se convierte en una fuerza operativa. Deben mantenerse ciertos registros y poder recuperarse inmediatamente.

Realice un seguimiento y conserve:

  • Informes de transacciones y ejecuciones.
  • Su libro de reclamaciones.
  • Registros de incidentes con historial de detección y corrección.
  • Pistas de auditoría vinculadas a los derechos de acceso y los cambios en el sistema.
  • Evaluaciones de riesgos con propiedad y marcas de tiempo claras.
  • Datos de reservas de capital para emisores de monedas estables.

La MiCA se suma a las leyes contra el blanqueo de capitales. Sus obligaciones en materia de AML/KYC siguen rigiéndose por la AMLD6, que la actualización del marco normativo de la UE para 2025 refuerza con normas de supervisión y escalamiento más estrictas.

Las verdaderas trampas de las sanciones de MiCA

MiCA es peligroso porque ahora los reguladores aplican la ley basándose en lo que se puede demostrar, no en lo que se afirma tener. En la nueva ola de regulación de las criptomonedas en Europa, las multas más elevadas recaen sobre los equipos que subestiman las pruebas y la disciplina operativa que MiCA exige desde el primer día.

A continuación se presentan las trampas del mundo real que desencadenan la aplicación de la ley y sanciones económicas en virtud del artículo 111 (hasta 20 millones de euros o el 5 % de los ingresos globales).

1. Lagunas en las pruebas

La mayoría de los equipos dan por sentado que «tener el control» es suficiente. Según la MiCA, no lo es. Los reguladores exigen pruebas: registros, resultados de pruebas, registros de conciliación, tickets de incidencias e instantáneas de supervisión. Cuando alguno de estos elementos falta, está incompleto o es incoherente, se considera un incumplimiento normativo, incluso si los procesos son técnicamente correctos.

Este es el patrón número uno destacado en el Informe de supervisión del abuso de mercado de la AEVM, en el que la falta de pruebas se reveló como el principal desencadenante de las medidas de supervisión.

2. Fallos de los tokens

Muchas empresas emergentes clasifican los tokens basándose en la descripción del producto en lugar de en las definiciones de la MiCA. Ahí es donde comienzan las sanciones. Los equipos se meten en problemas cuando un token comercializado como «activo de utilidad» se comporta como un token de pago o un derecho sobre activos subyacentes. Cuando los reguladores detectan una discrepancia, se enfrentan a multas y a una reclasificación obligatoria, lo que puede paralizar las operaciones del producto durante semanas.

3. Incumplimientos relacionados con los cambios

La MiCA da por sentado que su plataforma cambia a menudo y que cada cambio se somete a pruebas para comprobar su impacto en el cumplimiento. La trampa: un desarrollador actualiza una función, ajusta una tarifa, modifica un punto final de la API… y, sin querer, incumple un requisito de divulgación o una garantía operativa.

Si no puede mostrar un proceso de revisión trazable para estas actualizaciones, los reguladores lo tratarán como una gobernanza negligente.

4. Mensajes contradictorios

La incoherencia hace que las empresas sean multadas. Si su aplicación muestra un nivel de riesgo, su sitio web muestra otro y su libro blanco hace referencia a un modelo obsoleto, los reguladores lo consideran un engaño al consumidor. Ahora confían en herramientas de escaneo automatizadas para detectar afirmaciones incoherentes en todos los canales.

5. Registros incorrectos

MiCA exige la conservación durante varios años de los registros operativos, transaccionales y de gobernanza. Las empresas emergentes son multadas por almacenar datos incompletos, imposibles de buscar o mal estructurados que no pueden presentarse durante una inspección.

«¿Qué detectó su motor de fraude en mayo de 2024?».
Si necesita más de 10 minutos para responder, parece que no cumple con la normativa.

6. Escaladas perdidas

Los equipos suelen ignorar las pequeñas anomalías porque se «gestionan internamente». Los reguladores de MiCA observan los patrones a lo largo del tiempo:

  • Una interrupción menor.
  • Una discrepancia en la suma de comprobación.
  • Una conciliación retrasada.
  • Un grupo sospechoso de transacciones.

Individualmente, es inofensivo, pero si se ignora repetidamente, los reguladores lo tratan como una debilidad operativa sistémica, y es entonces cuando las sanciones se intensifican.

7. Conflictos no revelados

El cumplimiento normativo depende de las personas. Los ejecutivos que negocian activos cotizados en su plataforma, los asesores que reciben asignaciones de tokens y un fundador con un proyecto paralelo que se solapa con las operaciones de la bolsa son gestionables en el marco de MiCA, si se documentan. Los equipos son multados cuando no muestran supervisión, divulgación y revisión periódica.

Un plan práctico para cumplir con la normativa MiCA

La normativa MiCA puede parecer un proyecto de gran envergadura, pero la mayoría de los equipos que se encuentran en una fase inicial no necesitan cumplir con una normativa a escala empresarial desde el primer día. Lo que necesitan es una configuración por capas, eficiente y comprobable que satisfaga a los reguladores sin frenar la velocidad del producto. A continuación, le explicamos cómo hacerlo sin que su presupuesto se evapore.

Cree controles por capas

Los fundadores se meten en problemas cuando intentan implementar todo a la vez. MiCA no lo requiere. Un enfoque por fases mantiene su hoja de ruta en marcha mientras su postura de cumplimiento crece de forma constante.

  • Comience con los elementos esenciales de la licencia: gobernanza, controles internos y documentación de riesgos.
  • Pase a la custodia y la seguridad, donde se concentran la mayoría de los esfuerzos de ingeniería.
  • Automatice los informes y la supervisión en último lugar, una vez que sus patrones operativos se estabilicen.

Una implementación por capas significa menos reescrituras, menos sorpresas costosas durante las auditorías y un camino mucho más claro para demostrar que su plataforma cumple con MiCA cuando los reguladores la revisen.

Utilice herramientas modulares

Las plataformas de cumplimiento normativo para empresas parecen impresionantes, pero a menudo cuestan más que todo un sprint de desarrollo. Las startups necesitan componentes modulares y reemplazables.

Ejemplos de tipos de herramientas modulares:

  • Módulos de verificación de identidad.
  • Motores de supervisión AML.
  • Componentes de registro y SIEM.
  • Sistemas de control de políticas/versiones.
  • Flujos de trabajo de notificación de incidentes.

Obtendrá flexibilidad, menores costes y menos deuda técnica. Y cuando su plataforma se amplíe, cada módulo podrá ampliarse de forma independiente.

Externalice todo lo que le ralentice

Algunas partes del cumplimiento de la MiCA son esenciales, pero quizá no sea necesario que su equipo las realice internamente.

Puede externalizar:

  • Auditorías internas, para evitar la visión de túnel.
  • Revisión legal, para mantener la documentación lista para los reguladores.
  • Pruebas de penetración, para una validación de seguridad imparcial.
  • Supervisión de transacciones AML, si no desea mantener usted mismo los motores de reglas.

Esto permite a sus desarrolladores centrarse en el producto, sin verse abrumados por tareas de cumplimiento normativo incesantes ni perder tiempo solucionando problemas de seguridad de blockchain que se podrían haber evitado.

Valida todo con control de calidad

Aquí es donde los equipos triunfan o fracasan. Los controles no tienen sentido si nunca se han probado. MiCA exige pruebas, incluyendo registros de trabajo, pruebas superadas y flujos validados.

El cumplimiento sin pruebas es una quimera. Ejecute ciclos de validación en cada lanzamiento: flujos de custodia, activadores AML, canales de notificación de incidentes, lógica de conciliación, comprobaciones de identidad. Los equipos que ya utilizan servicios de pruebas de blockchain para contratos inteligentes o pruebas de infraestructura pueden aplicar la misma mentalidad a los flujos de trabajo de cumplimiento. La recompensa es enorme: menos incidentes, pruebas más sólidas y revisiones de licencias mucho más fluidas.

Lo hemos visto de primera mano. Al proporcionar servicios de control de calidad para la plataforma de gestión de criptoactivos de ICONOMI, ayudamos a optimizar su flujo de incorporación web y móvil, reduciendo el abandono de usuarios en un 15 %. Pero más allá de la usabilidad, verificamos la seguridad y la preparación para el cumplimiento de la plataforma en múltiples capas:

  • Verificación de identidad (KYC): validamos la funcionalidad de carga de documentos en múltiples formatos, probando «escenarios negativos» (mala iluminación, identificaciones incorrectas) para garantizar que los mensajes de error fueran claros y que la lógica de reintento fuera impecable.
  • Geo-Fencing y detección de VPN: para garantizar el cumplimiento de las restricciones regionales, probamos el comportamiento de la plataforma frente a las VPN, verificando que el acceso se controlara estrictamente de acuerdo con las regulaciones basadas en la ubicación.
  • Seguridad de acceso: validamos que los criterios de contraseña no solo se aplicaran, sino que se comunicaran claramente, evitando que las credenciales débiles comprometieran la primera línea de defensa de la plataforma.
  • Pruebas de casos extremos: al introducir intencionadamente datos inesperados (caracteres especiales, archivos de gran tamaño), llevamos el flujo de registro al límite para descubrir y corregir vulnerabilidades ocultas.

Convertir la normativa MiCA en un impulso

La MiCA se ha creado para filtrar a los desarrolladores descuidados. Los equipos que tratan el cumplimiento como parte del producto, y no como una capa de burocracia, terminan con plataformas más sólidas, una arquitectura más limpia y muchas menos sorpresas durante las auditorías. Cuando se implementan los controles y los ciclos de validación descritos anteriormente, el producto se vuelve más seguro por diseño, los reguladores confían en usted más rápidamente y los usuarios dejan de preguntarse: «¿Es esto legítimo?». Usted se gana el derecho a expandirse por toda la UE con una sola licencia, y eso vale más que cualquier solución alternativa.

Si está configurando su MiCA y desea que un par de ojos experimentados supervisen el proceso, ya sabe dónde ponerse en contacto con nosotros.

Descubra cómo ayudamos a una plataforma de criptomonedas a aumentar su estabilidad, solucionar problemas críticos y reforzar su preparación para cumplir con las exigencias normativas

Por favor ingrese su correo electrónico comercial no es un correo electrónico comercial
Created by
Alexander Kutyk
Ingeniero de control de calidad en QAwerk
linkedin
Alex es conocido por su experiencia en pruebas manuales y su capacidad para desmitificar herramientas y procesos complejos de control de calidad. Su competencia en control de calidad está respaldada por años de experiencia práctica, lo que le convierte en un experto de referencia para comprender los matices del control de calidad y las pruebas en entornos prácticos. More by Author