- MiCA define “servicio de criptoactivos” (CASP) y lista actividades concretas: custodia, plataforma, exchange, ejecución, recepción/transmisión, asesoramiento, gestión de carteras y transferencias, entre otras.
- Regla de base: no se prestan servicios de criptoactivos en la UE si no estás autorizado (o encajas en una excepción aplicable).
- En España hay periodo transitorio, pero está acotado: conviene planificar el expediente con antelación (el fin del transitorio se sitúa en 1 de julio de 2026 según comunicaciones y Q&A de CNMV).
- Qué es un CASP (y cuándo lo eres)
- Servicios CASP: checklist rápido por actividad
- Cuándo necesitas autorización (y qué NO es “atajo”)
- Capital mínimo MiCA (50k/125k/150k) explicado
- Qué incluye el expediente de autorización (checklist CNMV/MiCA)
- Calendario realista para llegar a tiempo
- Errores que bloquean la autorización (y cómo evitarlos)
- Plantillas: programa de actividades + matriz de controles
- FAQ
Qué es un CASP (y cuándo lo eres)
En MiCA, un proveedor de servicios de criptoactivos (CASP) es quien presta profesionalmente uno o varios servicios de criptoactivos a clientes. Dichos servicios están definidos y enumerados (no es “lo que yo quiera llamar servicio”).
Si tocas fondos/cripto de terceros, intermedias operaciones, operas un marketplace o asesoras para comprar/vender cripto, casi siempre estás dentro del perímetro CASP y debes analizar autorización y alcance.
Servicios CASP: checklist rápido por actividad
MiCA enumera los servicios de criptoactivos típicos. Úsalo como test de encaje (si respondes “sí” a alguno, probablemente eres CASP):
- Custodia y administración de criptoactivos por cuenta de clientes (incluye control de claves/medios de acceso).
- Gestión de una plataforma de negociación (trading venue de criptoactivos).
- Canje de criptoactivos por fondos (exchange cripto↔fiat utilizando capital propio).
- Canje de criptoactivos por otros criptoactivos (cripto↔cripto utilizando capital propio).
- Ejecución de órdenes relacionadas con criptoactivos por cuenta de clientes.
- Colocación de criptoactivos.
- Recepción y transmisión de órdenes por cuenta de clientes.
- Asesoramiento en materia de criptoactivos (recomendaciones personalizadas).
- Gestión de carteras de criptoactivos (discrecional e individualizada por mandato).
- Transferencia de criptoactivos por cuenta de clientes (de una dirección/cuenta a otra).
Cambiar nombres en la web (“solo facilitamos tecnología”, “no custodiamos”) no sirve si, en la práctica, tú controlas claves, mueves activos o decides cómo se ejecuta una orden. La autorización se analiza por la realidad operativa.
Cuándo necesitas autorización (y qué NO es “atajo”)
La lógica de MiCA es simple: si prestas servicios de criptoactivos en la UE, necesitas estar autorizado como CASP (salvo supuestos específicos previstos por el propio régimen).
Escenarios típicos
- Startups/empresas cripto “puras”: normalmente deben tramitar autorización CASP con la autoridad competente del Estado miembro (en España, CNMV).
- Entidades ya reguladas (p. ej., ciertas entidades financieras): pueden tener vías de notificación/encaje específicas, pero no es automático; el alcance y requisitos varían.
- Empresa de tercer país: el “reverse solicitation” (iniciativa exclusiva del cliente) es estrecho y no permite captar en la UE ni “convertir marketing en excepción”.
- “Ponemos un disclaimer y ya” (no: la norma limita la captación y no se salva con cláusulas).
- “Operamos desde fuera de la UE pero vendemos a Europa” (riesgo alto si hay captación, publicidad o actividad dirigida).
- “Subcontratamos todo” (subcontratar no elimina responsabilidad: te pedirán control, gobernanza y seguridad).
Capital mínimo MiCA (50k/125k/150k) explicado
MiCA fija requisitos prudenciales que, como mínimo, deben cubrir el mayor entre: (i) capital mínimo por tipo de servicios y (ii) una fracción de gastos fijos generales. En la práctica, el primer “suelo” se mira rápido con la tabla de clases.
| Clase | Servicios (resumen) | Capital mínimo | Cuándo suele aplicar |
|---|---|---|---|
| Clase 1 | Ejecución, colocación, transferencias, recepción/transmisión, asesoramiento, gestión de carteras | 50.000 € | Intermediación “ligera” sin custodia ni exchange |
| Clase 2 | Clase 1 + custodia y/o exchange (cripto↔fiat, cripto↔cripto) | 125.000 € | Custodios, brokers con exchange, OTC, etc. |
| Clase 3 | Clase 2 + gestión de plataforma de negociación | 150.000 € | Trading venues / plataformas |
Antes de “pedir licencia”, define tu mapa de servicios (qué haces exactamente) y alínea capital, gobernanza y TIC. El 80% de retrasos viene de arrancar el expediente sin un alcance cerrado.
Qué incluye el expediente de autorización (checklist MiCA/CNMV)
La solicitud de autorización CASP exige un paquete de información muy concreto: identidad/legal, programa de actividades, pruebas prudenciales, gobernanza, control interno y riesgos, TIC/seguridad, y procedimientos clave (segregación, reclamaciones, políticas específicas por servicio).
Checklist “de verdad” (lo que deberías tener preparado)
- Programa de actividades: servicios exactos, dónde se prestan, y cómo se comercializan.
- Prueba de capital/requisitos prudenciales (y coherencia con tu clase de servicios).
- Sistema de gobernanza: organigrama, responsabilidades, y perfiles idóneos del órgano de dirección.
- Accionistas/participaciones cualificadas: estructura, honorabilidad, y documentación de soporte.
- Control interno y gestión de riesgos: incluyendo riesgo operativo y AML/FT, y continuidad de negocio.
- Documentación TIC y seguridad: arquitectura, medidas, controles, y explicación “no técnica” para el supervisor.
- Segregación de criptoactivos y fondos de clientes (cómo evitas mezclas y cómo lo evidencias).
- Reclamaciones: procedimiento, plazos, y canal.
- Políticas específicas según servicios: custodia, plataforma, metodología de precios en exchange, política de ejecución, etc.
Coherencia entre: (1) lo que vendes (marketing/UX), (2) lo que haces (operativa real) y (3) lo que documentas (políticas/TIC/controles). Si hay divergencia, el expediente se encalla.
Calendario realista para llegar a tiempo
Si tu objetivo es operar sin sustos cuando se cierre el periodo transitorio, planifica el expediente como proyecto. Un enfoque “a última hora” suele fallar por falta de evidencia y por iteraciones (Q&A, aclaraciones, ajustes).
Calendario recomendado (8–12 semanas como base)
- Semana 1–2: cierre de alcance (servicios CASP), mapa de flujos, y gap analysis.
- Semana 3–5: políticas (custodia/ejecución/precios), riesgos, segregación, reclamaciones, continuidad.
- Semana 6–8: paquete TIC/seguridad, evidencias (logs, control de accesos, gestión de incidentes), y dossier de gobernanza.
- Semana 9–10: revisión integral (consistencia legal-operativa), anexos, y preparación de Q&A.
- Semana 11–12: presentación + seguimiento de requerimientos/observaciones.
Monta una carpeta con estructura: 01_Alcance_y_Flujos / 02_Gobernanza / 03_Riesgos_y_Controles / 04_TIC_Seguridad / 05_Politicas_por_Servicio / 06_Evidencias. Si el material está ordenado, respondes requerimientos mucho más rápido.
Errores que bloquean la autorización (y cómo evitarlos)
Error 1 — Definir mal el servicio (y pedir “la licencia equivocada”)
Ejemplo típico: crees que haces “solo recepción y transmisión”, pero en realidad haces custodia (control de claves) o exchange. Resultado: te piden rehacer políticas, capital mínimo y parte TIC.
Error 2 — TIC “bonita” pero sin controles demostrables
Diagrama de arquitectura no basta. Necesitas evidencias: control de accesos, segregación, logging, gestión de cambios, backups, respuesta a incidentes, y continuidad.
Error 3 — Segregación teórica (sin mecanismo operativo)
La segregación debe existir en el sistema: wallets/cuentas, permisos, reconciliaciones, y trazabilidad. Si no puedes demostrarlo, es un punto débil.
Error 4 — Marketing/claims que chocan con la realidad
Si tu web promete “custodia segura” o “mejor precio” pero no tienes política de custodia ni metodología/controles de pricing, te expones a requerimientos y a riesgo reputacional.
- Documentos genéricos que no mencionan tu flujo real (onboarding, ejecución, custodia, liquidación).
- Políticas sin responsables, sin métricas y sin evidencias (solo “intenciones”).
- Outsourcing crítico sin control (no hay KPIs, SLAs, auditorías ni plan de salida).
Plantillas: programa de actividades + matriz de controles
Para que el expediente sea defendible, necesitas convertir “lo que hacemos” en un programa de actividades claro y una matriz de controles que conecte riesgos → controles → evidencias.
Plantilla 1 — Programa de actividades (1 página)
| Servicio CASP | Descripción operativa | Clientes/mercados | Canales | Sistemas/TIC | Outsourcing |
|---|---|---|---|---|---|
| Custodia | Cómo se gestionan wallets, claves, aprobaciones, recovery | Retail / Pro | Web / API | Wallet infra + KMS + IAM + SIEM | Proveedor HSM / custodia (si aplica) |
| Exchange cripto↔fiat | Modelo de precios, ejecución, liquidación, fees | ES / UE | App / Web | Matching / pricing engine / monitoring | Liquidity provider (si aplica) |
Plantilla 2 — Matriz de controles (riesgo → control → evidencia)
| Riesgo | Control | Frecuencia | Responsable | Evidencia |
|---|---|---|---|---|
| Pérdida de activos por acceso indebido | MFA + roles mínimos + revisiones de permisos | Mensual | CTO / SecOps | Logs IAM + acta de revisión + tickets |
| Mezcla de fondos/cripto cliente vs empresa | Segregación por wallets/cuentas + reconciliación | Diaria | Ops / Finance | Report reconciliación + alertas + cierres |
Primero define alcance CASP y flujos. Luego escribe políticas y, por último, crea evidencias (controles ejecutados). Hacerlo al revés (políticas genéricas sin flujo real) suele salir caro.
FAQ
¿“Licencia CASP” es un único permiso para todo?
No. La autorización se concede en función de los servicios que vas a prestar (custodia, exchange, plataforma, etc.). Cuanto más crítico el servicio, más exigencias (p. ej., capital mínimo y políticas específicas).
¿Puedo empezar por asesoramiento y luego añadir custodia/exchange?
Sí, pero es clave que el alcance inicial sea realista. Si luego amplías servicios, tendrás que tramitar la ampliación y aportar documentación adicional (mejor planificarlo desde el inicio).
¿El capital mínimo (50k/125k/150k) es lo único prudencial?
No. Además del “suelo” por clase, se considera el nivel de gastos fijos generales y la necesidad de salvaguardias prudenciales sostenidas. Por eso el business plan y la coherencia financiera importan.
¿Qué es lo que más fricción genera con el supervisor?
Alcance mal definido, TIC/seguridad sin evidencias, segregación débil, outsourcing sin control y contradicciones entre marketing y documentación.
¿Qué debería preparar antes de una primera reunión?
(1) Mapa de servicios CASP y flujos (captación→onboarding→ejecución→custodia/transferencia→reclamaciones), (2) arquitectura TIC a nivel alto, (3) borrador de programa de actividades y matriz de controles.
¿Por qué es importante el calendario en España?
Porque existe un periodo transitorio y la recomendación práctica es llegar con tiempo: los expedientes suelen requerir iteraciones y ajustes. Planificar “para ayer” suele salir mal.
Artículos relacionados
Referencias oficiales:
• Reglamento (UE) 2023/1114 (MiCA): boe.es
• CNMV (información y Q&A sobre MiCA): cnmv.es
• ESMA (MiCA / CASP): esma.europa.eu