La MiCA y la Travel Rule ya no son tareas secundarias que se delegan al departamento jurídico y se espera que salgan bien. Mientras que la MiCA establece el listón en la UE, la Travel Rule se ha convertido en una obligación a nivel mundial. Estas normas tratan sobre el cumplimiento normativo en materia de criptomonedas, que se convierte en una capacidad a nivel de sistema integrada en su producto, arquitectura y operaciones diarias. A continuación, omitimos las definiciones que ya conoce y vamos directamente a lo que debe construir, cambiar y demostrar para mantener su credibilidad y competitividad.
Cumplimiento normativo de las plataformas de intercambio de criptomonedas en 2026: un problema sistémico
Para cualquier plataforma regulada, el cumplimiento normativo de las plataformas de intercambio de criptomonedas se evalúa en función del comportamiento del sistema bajo carga, en todas las jurisdicciones y cuando se produce un fallo. Decir «utilizamos un proveedor» ha dejado de ser una respuesta aceptable.
Los reguladores ahora evalúan la madurez operativa. El Grupo de Acción Financiera Internacional (GAFI) destaca las deficiencias persistentes en la forma en que las jurisdicciones y los proveedores de servicios implementan las obligaciones de lucha contra el blanqueo de capitales (AML) y la financiación del terrorismo, incluidos los requisitos de la norma de viaje y los controles basados en el riesgo. Pide explícitamente que se tomen medidas más enérgicas en materia de controles operativos en el mundo real, en lugar de basarse únicamente en la documentación.
Lo que esto significa en la práctica:
- La responsabilidad no se puede externalizar. Los proveedores pueden proporcionar herramientas, pero la responsabilidad recae en la plataforma de intercambio. Si falla una transferencia sujeta a la norma de viaje, los datos están incompletos o las comprobaciones de la contraparte son inconsistentes, los reguladores examinarán su plataforma, no la de su proveedor.
- Las pruebas prevalecen sobre las listas de verificación. El cumplimiento normativo moderno en materia de criptomonedas se evalúa a través de registros de decisiones, historiales de transacciones y flujos de trabajo reproducibles. Los auditores esperan que se demuestre por qué se liberó, retrasó o bloqueó una transferencia.
- Las políticas estáticas ya no son válidas. Los supervisores esperan sistemas que se adapten a las diferencias jurisdiccionales, las señales de riesgo y los datos incompletos, especialmente en el caso de las transferencias transfronterizas de criptomonedas.
- La transparencia operativa es lo primero. En las revisiones, los reguladores suelen preguntar cómo se toma una decisión sobre la norma de viaje de principio a fin, dónde se evalúa el riesgo de contraparte y cómo se gestionan y registran las excepciones.
La conclusión es clara: en 2026, el cumplimiento normativo reside en su arquitectura. Las plataformas de intercambio que lo tratan como una capacidad del sistema superan las auditorías y la concesión de licencias con mucha menos fricción. El resto acaba reconstruyéndose bajo presión, normalmente en el peor momento posible.
MiCA + Travel Rule: un modelo operativo para el cumplimiento de la Travel Rule
En 2026, tratar MiCA y la Travel Rule como dos flujos de trabajo separados es un error estructural. Los reguladores no los evalúan de forma aislada, y usted tampoco debería hacerlo. En la práctica, el cumplimiento de MiCA para los criptoactivos y el cumplimiento de la Travel Rule convergen en un único modelo operativo que rige la forma en que su plataforma detecta el riesgo, toma decisiones y demuestra su responsabilidad.
Qué cambia MiCA para las plataformas criptográficas (más allá de las licencias)
MiCA pregunta cómo se comporta su plataforma una vez obtenida la licencia.
Los cambios reales se producen en tres áreas:
- La gobernanza y la rendición de cuentas se aplican técnicamente. MiCA asigna la responsabilidad a la alta dirección, pero la aplicación recae en los sistemas. Si una transacción permite el abuso del mercado, el wash trading o el uso de información privilegiada, los reguladores esperan que usted muestre qué controles fallaron y quién era el responsable de ellos. Por eso MiCA asume una inteligencia transaccional continua, aunque nunca lo mencione explícitamente.
- El riesgo de externalización se hace visible. Según MiCA, el uso de proveedores para la supervisión o la mensajería no transfiere la responsabilidad. Su plataforma debe ser capaz de explicar las decisiones de principio a fin, incluidas las basadas en herramientas de terceros. Muchos equipos suspenden las auditorías porque pueden nombrar a los proveedores, pero no pueden reconstruir sus decisiones.
- La detección del abuso de mercado se convierte en una capacidad básica. La aplicación de la MiCA asume que usted puede identificar patrones de comportamiento anormales en las cuentas, las carteras y el tiempo. Esa expectativa requiere implícitamente un análisis del tipo «conozca su transacción», aunque la MiCA lo enmarque en la integridad del mercado y no en la lucha contra el blanqueo de capitales.
Una lista de verificación práctica del cumplimiento de la MiCA comienza con preguntas mucho más difíciles: dónde se toman las decisiones sobre las transacciones dentro de la plataforma, cómo se registran esas decisiones y quién puede explicarlas claramente meses después bajo el escrutinio de los reguladores.
La regla de viaje en la práctica
Sobre el papel, la regla de viaje para criptomonedas parece ser una obligación de compartir datos. En realidad, la aplicación de la regla de viaje para criptomonedas consiste en controlar las decisiones antes de que se muevan los fondos.
Hay tres puntos que son los más importantes:
- La realidad del umbral cero de la UE. Según el Reglamento de la UE sobre transferencias de fondos, todas las transferencias de criptomonedas están incluidas en su ámbito de aplicación. No existe una zona de confort de minimis. Eso significa que la lógica de la norma de viaje debe estar siempre activa, no activarse de forma condicional, incluso si otras jurisdicciones siguen utilizando umbrales.
- La identificación de la contraparte no es sinónimo de confianza en la contraparte. No basta con saber que una cartera pertenece a otro VASP. Los reguladores esperan que se evalúe si esa contraparte aplica controles comparables. Aquí es donde la adopción global fragmentada crea riesgo y por qué las decisiones sobre la norma de viaje no pueden aplazarse ni ignorarse.
- La Travel Rule es una decisión previa a la transacción. Para cuando «informas» de una transferencia incorrecta, ya has fracasado. El cumplimiento de la Travel Rule consiste en que tu sistema pueda pausar, bloquear o escalar una transferencia cuando falten datos necesarios, estos sean inconsistentes o presenten un alto riesgo. Esa decisión debe registrarse, justificarse y ser reproducible.
Esta expectativa combinada se ve reforzada en las comunicaciones de supervisión de la Autoridad Europea de Valores y Mercados sobre la implementación de MiCA. En ellas se hace hincapié en que los proveedores de servicios de criptoactivos deben demostrar controles operativamente eficaces sobre la supervisión de las transacciones, el riesgo de contraparte y la transferencia de información.
En resumen, la MiCA y la Travel Rule están interrelacionadas. Las plataformas que las diseñan como un único modelo operativo superan las revisiones más rápidamente. Las plataformas que no lo hacen acaban adaptando los controles bajo la presión reguladora, cuando el coste es más elevado y las opciones son limitadas.
Arquitectura de cumplimiento de la norma de viaje
En el caso de las plataformas reguladas, el cumplimiento de la norma de viaje para las criptomonedas se evalúa en función de una capacidad fundamental: ¿puede su sistema tomar la decisión correcta antes de que se transfieran los fondos y puede demostrar posteriormente por qué se tomó esa decisión? Si su respuesta interna a lo que es la norma de viaje sigue siendo «compartir datos a posteriori», no está alineado con la forma en que se aplica en la práctica la norma de viaje del GAFI.
Este es el tipo de arquitectura que normalmente se nos pide que revisemos después de que un regulador ya haya planteado sus inquietudes.
Una pila práctica de la norma de viaje
Las plataformas que superan las auditorías crean pilas claras y controladas que reflejan los requisitos reales de la norma de viaje según la norma de viaje AML.
Como mínimo, deben funcionar conjuntamente cuatro elementos:
- Una capa de decisión consciente de la jurisdicción
La lógica de la norma de viaje debe evaluarse antes de que se construya una transacción. Los umbrales, los pasos de verificación y los requisitos de datos varían según la región y cambian. Codificarlos de forma rígida es un camino rápido hacia el incumplimiento. - Un flujo de coordinación de la norma de viaje
La identificación de la contraparte, la verificación de sanciones, el intercambio de datos y la gestión de los tiempos de espera deben tratarse como una decisión atómica. La falta o el retraso de los datos es en sí mismo una señal de riesgo. - Un límite estricto de la información de identificación personal (PII)
Los datos de la norma de viaje deben almacenarse en una bóveda dedicada con cifrado explícito y reglas de acceso. Si estos datos aparecen en registros, herramientas de análisis o canalizaciones de reintento genéricas, se ha creado una responsabilidad de cumplimiento. - Un registro de auditoría para las decisiones y el linaje de los datos
Los reguladores no solo preguntan qué ha sucedido. Preguntan por qué. Cada decisión de «aceptar/retener/rechazar» debe ser trazable hasta las entradas, las reglas, las versiones y las marcas de tiempo.
Así es como se evalúa realmente la norma de viaje del GAFI: como un mecanismo de control continuo integrado en el comportamiento del sistema.
Donde la mayoría de las plataformas siguen fallando
Las plataformas no superan las revisiones de la norma Travel Rule principalmente debido a puntos ciegos en su arquitectura:
- Filtración de información de identificación personal en registros, análisis o trazas de depuración.
- Umbrales codificados en torno a supuestos ajenos a la UE.
- Reintentos silenciosos que eluden la lógica de decisión.
- Ausencia de una responsabilidad clara sobre los resultados «aprobado/retenido/rechazado».
Cuando los reguladores preguntan quién aprobó una transferencia y en qué se basó, «el sistema lo hizo» no es una respuesta aceptable.
Conozca su transacción (KYT): control crítico
Conocer su transacción se ha convertido en una expectativa básica tanto en MiCA como en la Regla de Viaje, pero también es una de las áreas más fáciles de utilizar indebidamente. KYT es poderoso cuando se trata como una aportación a la toma de decisiones. Se vuelve arriesgado cuando se trata como un tomador de decisiones autónomo.
Donde KYT aporta un valor real es en el contexto del comportamiento. Revela la velocidad de las transacciones, los patrones de entrada y salida, los momentos anormales y las anomalías en el origen de los fondos que las comprobaciones de identidad estáticas nunca detectarán. Estas señales son exactamente lo que los reguladores esperan que las plataformas supervisen en virtud de los requisitos de integridad del mercado de la Travel Rule AML y MiCA.
Donde los equipos se meten en problemas es en la automatización excesiva. El KYT no puede sustituir al KYC, la gobernanza o la responsabilidad humana. La puntuación de caja negra, que a menudo se basa en el desarrollo de la inteligencia artificial sin umbrales claros ni lógica de anulación, crea un riesgo de auditoría.
Cuando una institución financiera incorpora a un usuario, los procedimientos KYC deben identificar y verificar inmediatamente su identidad. En colaboración con ICONOMI, una plataforma de gestión de criptoactivos con sede en el Reino Unido, hemos dado prioridad a lo siguiente:
- Integridad del flujo de registro: sometimos a pruebas de estrés los flujos de registro tanto personales como empresariales utilizando escenarios reales. Esto incluyó una rigurosa validación de campo para garantizar la integridad de los datos, refinar los mensajes de error para mayor claridad y garantizar un proceso de creación de cuentas sin fricciones.
- Validación de la seguridad de las contraseñas: verificamos que se aplicaran estrictamente y se comunicaran claramente los criterios de complejidad de las contraseñas (por ejemplo, variedad y longitud de los caracteres). Esto eliminó las credenciales débiles, reforzando la primera línea de defensa de la plataforma contra el acceso no autorizado.
- Pruebas de verificación de identidad (IDV): realizamos pruebas exhaustivas del sistema de carga de documentos, asegurando la compatibilidad con diversos tipos de identificación y validando las capturas a doble cara. También simulamos casos extremos, como una mala calidad de imagen o documentos no válidos, para confirmar que el manejo de los rechazos y las opciones de reintento seguían siendo fluidos.
- Geo-Fencing y detección de VPN: Para prevenir el fraude y garantizar el cumplimiento de la normativa regional, evaluamos la respuesta de la plataforma al uso de VPN. Esto implicó verificar que el acceso se bloqueara estrictamente en las jurisdicciones restringidas, sin interrupciones en las regiones permitidas.
El patrón correcto es sencillo: KYT informa las decisiones, pero no las toma. Las plataformas maduras tratan los resultados de KYT como pruebas estructuradas que alimentan los motores de políticas y los controles humanos.
De los casos extremos a la ejecución: qué hacer en los próximos 90 días
La mayoría de los incumplimientos normativos se deben a casos extremos sin resolver que los equipos posponen hasta que los reguladores obligan a abordarlos. Las carteras no alojadas, las contrapartes que no admiten su protocolo de la norma de viaje y los requisitos jurisdiccionales incoherentes son una realidad.
Lo que aceptan los reguladores no es la perfección, sino decisiones basadas en el riesgo y bien fundamentadas. Eso significa ser capaz de demostrar cómo se evaluó la propiedad de la cartera, por qué se consideró aceptable o no una contraparte y qué controles provocaron la escalada. Lo mismo se aplica cuando las contrapartes no pueden intercambiar datos de la norma de viaje: proceder a ciegas es peor que esperar con justificación.
Un plan de ejecución práctico es el siguiente:
Días 1-30: audite su superficie de cumplimiento actual. Identifique dónde se toman las decisiones sobre las transacciones, dónde fluye la información de identificación personal y dónde existen reintentos silenciosos o alternativas. Aquí es donde las pruebas específicas de blockchain suelen revelar problemas mucho antes que los reguladores.
Días 31-60: centralice la lógica de las políticas, aísle los datos sensibles tras límites estrictos y asigne una propiedad clara para las decisiones de «aceptar/retener/rechazar». Si opera en la UE, alinee estos controles explícitamente con el cumplimiento de la MiCA para los criptoactivos.
Días 61-90: modos de fallo de las pruebas de estrés. Simule datos faltantes, contrapartes no compatibles e inconsistencias transfronterizas. Prepare pruebas para presentar ante los reguladores: historiales de decisiones, versiones de normas y vías de escalamiento. Aquí es también donde la alineación con el cumplimiento de la DORA comienza a cobrar importancia, ya que la resiliencia operativa y el cumplimiento ya no son separables.
Se trata de un trabajo de ejecución. Rara vez es glamuroso, pero es lo que evita tener que tomar medidas correctivas de última hora bajo presión.
Lo que deberá poder demostrar en 2026
En 2026, los reguladores evaluarán las pruebas. Las pruebas son el resultado que se espera que su plataforma produzca de forma continua.
Como mínimo, esas pruebas incluyen registros de decisiones que muestren qué reglas se aplicaron y por qué, políticas y modelos versionados para explicar el comportamiento histórico, y narrativas de incidentes que resistan el escrutinio meses después. La afirmación «seguimos las mejores prácticas» no tiene ningún peso a menos que esté respaldada por datos.
Aquí es donde muchos equipos subestiman el alcance. Las pruebas de cumplimiento se solapan cada vez más con áreas que tradicionalmente pertenecían a la ingeniería y las operaciones. Tanto si se crea internamente como si se trabaja con un tercero, el requisito es el mismo: las decisiones deben ser explicables, reproducibles y asumidas.
Las plataformas que tratan las pruebas como una característica de primer orden del producto superan las auditorías más rápidamente y retienen a los socios bancarios con mayor facilidad. Las que no lo hacen descubren la brecha cuando ya es demasiado tarde.
Reflexión final: ¿limitación o ventaja?
La MiCA y la Travel Rule acabarán con las plataformas frágiles y recompensarán a las disciplinadas. La diferencia radica en la arquitectura, la propiedad y las pruebas.
Los equipos que tratan el cumplimiento normativo como una capacidad del sistema superan el escrutinio regulatorio, generan confianza, avanzan más rápido en nuevos mercados y crecen con menos sorpresas. Si esto le suena como el trabajo en el que su equipo ya está trabajando o posponiendo, ya sabe cómo ponerse en contacto con nosotros.
Descubra cómo una plataforma regulada de criptomonedas eliminó los frágiles riesgos de incorporación y cumplimiento antes de que los reguladores los señalaran
