DAC8 (criptoactivos): obligaciones de reporte y diligencia debida

DAC8 amplía el marco europeo de cooperación administrativa para incluir el intercambio automático de información sobre criptoactivos. Busca cerrar el gap de información fiscal en un mercado digital y transfronterizo.

Su enfoque es práctico: obliga a determinados operadores a identificar a los clientes (KYC fiscal), conservar evidencias y reportar operaciones/tenencias según los estándares que se fijen en la transposición.

En resumen: más transparencia, más datos, más trazabilidad y más exigencia en calidad de reporting.

El foco principal son los proveedores de servicios de criptoactivos que facilitan operaciones a usuarios con residencia fiscal en la UE (p. ej., intermediación, ejecución, custodia o transferencias).

Dependiendo del caso, también puede interactuar con entidades ya sujetas a otros regímenes de información (por ejemplo, por extensión/ajustes relacionados con CRS).

Si operas multi-jurisdicción, la pregunta clave es: dónde reportas y bajo qué régimen local.

El reporting suele estructurarse en dos bloques: datos del cliente (identificación y residencia fiscal) y datos de la operativa (operaciones relevantes con criptoactivos).

• Identificación del titular y, en su caso, datos de entidad/beneficiario efectivo según el flujo aplicable.
• Residencia fiscal y NIF/TIN, con evidencias y trazabilidad de validación.
• Operaciones/transferencias/ventas/canjes según el alcance final de tu caso.
• Fechas, importes/valoraciones y referencias internas que permitan reconstrucción y auditoría.

El punto crítico en DAC8 es la diligencia debida fiscal: capturar la residencia fiscal y NIF/TIN de forma consistente, y mantener evidencias auditables.

Buenas prácticas:

• Autocertificación (self-certification) integrada en onboarding y revisiones periódicas.
• Reglas de coherencia: país ↔ formato de NIF ↔ documentación aportada.
• Gestión de excepciones: cuentas con datos incompletos, reintentos y bloqueos definidos por política interna.
• Registro de cambios (quién/qué/cuándo) para cadena de custodia digital.

El alcance depende del servicio y del tipo de actividad: intermediación, custodia, ejecución, conversión fiat/cripto, transferencias, etc. Por eso es imprescindible un mapeo de operativa.

En compliance, lo importante no es “tener datos sueltos”, sino un modelo de datos que una cliente → cuenta → wallet → operación → valoración, con reglas claras y replicables.

Si tu trazabilidad es sólida, tu reporting es defendible.

DAC8 se alinea con estándares internacionales de reporting de criptoactivos (como CARF) y convive con marcos existentes de información y compliance.

En la práctica, esto empuja a las empresas a unificar: KYC/KYB, AML/CTF, gobierno del dato y reporting fiscal, para evitar duplicidades y errores.

La planificación debe contemplar: gap analysis, diseño de procesos, desarrollo de reporting, pruebas y puesta en producción. El “último mes” es tarde: el cuello de botella suele ser calidad de datos.

Recomendación operativa: prioriza onboarding (captura fiscal), integración de fuentes, validaciones y evidencias. Lo demás se construye encima.

Los riesgos típicos de DAC8 son: datos fiscales incompletos, errores de residencia, duplicidades, valoraciones inconsistentes y ausencia de evidencias auditables.

Cómo reducir exposición:

• Políticas claras (qué se recoge, cómo se valida y cuándo se bloquea).
• Controles de calidad y reconciliaciones periódicas.
• Documentación de criterios y gobierno del reporting.
• Pruebas antes de reportar (UAT con casos reales y edge cases).