Tienes la entidad. Tienes la dirección. Incluso tienes el capital. Entonces, ¿por qué el regulador aún no está satisfecho? Porque bajo MiCA, la sustancia es una prueba empírica de si tu negocio opera genuinamente desde dentro de la UE, y la mayoría de los solicitantes subestiman lo que realmente exige.
MiCA Decoded es una serie semanal de 12 artículos para Bitcoin.com News, coautorizada por los directores fundadores y gerentes de LegalBison: Aaron Glauberman, Viktor Juskin y Sabir Alijev. LegalBison asesora a empresas de crypto y FinTech sobre licencias MiCA, solicitudes de CASP y VASP, y estructuración regulatoria en Europa y más allá.
La entrada de esta semana ha sido escrita por Krystian Lapka, abogado de LegalBison. Krystian se especializa en transacciones corporativas y comerciales transfronterizas, así como en la gestión estratégica de riesgos en la intersección entre el derecho civil y el derecho común.
La mayoría de los fundadores que se acercan a su primera solicitud de CASP entienden, al menos de forma abstracta, que MiCA requiere una presencia real en la UE. Lo que subestiman es cómo el regulador define “real”.
La configuración típica de etapa inicial parece coherente sobre el papel: una oficina registrada en una jurisdicción favorable de la UE, un director nombrado en los documentos de gobernanza, sistemas de TIC alojados en la nube o gestionados desde la infraestructura global del grupo, y capital suscrito depositado en una cuenta bancaria recién abierta.
Desde adentro, esto parece una empresa de la UE. Desde la perspectiva de una autoridad nacional competente, puede parecer una caja de cartón con un director adjunto.
Este artículo mapea qué requieren realmente las normas de MiCA en términos de personal, tecnología y resiliencia financiera, y explica por qué los reguladores tratan cada categoría como una prueba funcional en lugar de un ejercicio de documentación.
La preocupación que impulsa todo ello es la misma: evitar empresas de sobre, entidades que existen en papel en una jurisdicción favorable pero carecen de cualquier actividad económica significativa, capital humano o capacidad operativa dentro de ella.
El mito: La presencia equivale a sustancia
La lógica regulatoria aquí es más antigua que MiCA. En el fallo histórico Cadbury Schweppes (Asunto C-196/04), el Tribunal de Justicia de la Unión Europea estableció que la libertad de establecimiento no puede utilizarse para crear "arreglos completamente artificiales" que carezcan de actividad económica real. MiCA codifica este principio directamente en la regulación de activos criptográficos.
Artículo 59(2) del MiCA establece que los CASP autorizados deben tener su sede registrada en un Estado miembro donde realicen al menos parte de sus servicios de activos criptográficos, deben tener su lugar de gestión efectiva dentro de la Unión y deben contar con al menos un administrador residente en la Unión. La disposición es breve. Lo que hay detrás es considerablemente más exigente.
La reunión informativa de supervisión de la ESMA sobre la autorización de CASPs, aunque no vinculante, indica claramente cómo se espera que las ANC interpreten estos requisitos en la práctica.
La brecha entre el texto legal y las expectativas de supervisión es donde muchas aplicaciones encuentran fricción.
Personal: ¿Quién está realmente gestionando esta entidad?
El umbral mínimo según MiCA es un director residente en la UE. La orientación de supervisión eleva este requisito.
El informe de la ESMA anticipa que al menos dos ejecutivos senior supervisen conjuntamente las operaciones diarias. La razón es sencilla: un solo ejecutivo genera riesgo de concentración y elimina los controles internos que requiere una estructura de gobernanza funcional. Se espera que el nivel base sean dos ejecutivos con responsabilidades definidas y superpuestas.
La residencia no es suficiente por sí sola. La guía indica que cuando un miembro del órgano de gestión no sea residente en la jurisdicción de la ANC, dicha persona debe poder asistir a reuniones presenciales a solicitud de la autoridad dentro de dos días hábiles.
Para jurisdicciones donde la proximidad física al supervisor es operativamente relevante, esta es una limitación práctica sobre la distancia desde la jurisdicción de origen en la que un director puede ubicarse efectivamente.
El compromiso de tiempo se trata con la misma seriedad. La posición de la ESMA, tal como se expresa en su Supervisory Briefing on Authorization of CASPs, es que los miembros de la junta directiva ejecutiva deberían dedicar generalmente el 100% de su tiempo profesional al rol de CASP. El doble rol, en el que la misma persona desempeña funciones ejecutivas en varias entidades, solo está permitido en circunstancias restringidas. Un ejecutivo que divide su atención entre el CASP y otra empresa del grupo es probable que atraiga escrutinio durante la evaluación de idoneidad.
Las líneas de reporte son tan importantes como los perfiles individuales. El órgano de gestión debe demostrar que el control estratégico y operativo reside dentro de la entidad de la UE, no con una empresa matriz en un tercer país que toma las decisiones reales y emite instrucciones hacia abajo.
Una filial de la UE cuyos ejecutivos funcionan como agentes de implementación para una sede fuera de la UE no es, en sentido supervisorio, una entidad con gestión real de la UE.
La dimensión AML refuerza esto. La persona responsable de presentar informes de actividad sospechosa (el MLRO) debe estar físicamente presente, poseer autoridad genuina dentro de la entidad y poder interactuar directamente con la Unidad de Inteligencia Financiera local. Este requisito refleja una tendencia global más amplia: el Marco de Informe de Activos Criptográficos (CARF) de la FATF y la OCDE opera con la misma lógica, extendiendo los requisitos de sustancia y transparencia más allá de la UE.
Los requisitos de personal de MiCA y CARF no son desarrollos desconectados; reflejan un estándar internacional convergente sobre cómo debe ser, internamente, una entidad crypto regulada.
El estándar de idoneidad colectiva establecido en Artículo 68(1) requiere que el órgano de administración posea conocimientos, habilidades y experiencia adecuados, tanto individual como colectivamente. Como se cubrió en la entrega anterior de esta serie, ese estándar abarca la regulación de los mercados financieros tradicionales, la infraestructura DLT y la ciberseguridad, así como la gobernanza organizacional. Cada uno de esos dominios debe estar representado en la sala.
Un equipo compuesto enteramente por profesionales con antecedentes nativos en cripto, sin experiencia en servicios financieros regulados, o uno con amplia experiencia en TradFi y sin capacidad para evaluar riesgos en la cadena, presenta brechas estructurales que el proceso de evaluación pondrá de manifiesto.
Tecnología: Control, no solo alojamiento
DORA (Reglamento (UE) 2022/2554) se aplica directamente a los CASP y establece el marco para los requisitos de resiliencia ICT. La pregunta que los reguladores hacen sobre la tecnología no es qué infraestructura utiliza una empresa. La pregunta es quién la controla.
La infraestructura en la nube alojada por AWS, Azure o proveedores similares es aceptable según la práctica supervisorial actual. El problema surge cuando la entidad autorizada en la UE carece de control administrativo significativo sobre los sistemas en los que depende.
Si la gestión de las claves de cifrado recae en el equipo de TI global de una empresa matriz, si los derechos de acceso a los datos de los clientes se administran desde fuera de la UE, o si el plan de recuperación ante desastres depende de aprobaciones desde la sede de un país tercero, la entidad de la UE no puede demostrar independencia operativa real.
La posición de la ESMA, tal como se refleja en sus materiales de consulta, es que el equipo de gestión de la UE debe tener el control real sobre la infraestructura de TIC relevante para las operaciones del CASP. La política de continuidad del negocio y los planes de recuperación ante desastres requeridos según Artículo 68(7) deben ser propiedad y ejecutables por la entidad de la UE, no depender de una función global que pueda o no responder en una crisis.
La prueba práctica es clara: si el equipo global de TI de la empresa matriz se volviera inaccesible de la noche a la mañana, ¿podría la entidad de la UE continuar operando, acceder a los fondos de los clientes y devolver los activos a los clientes? Si la respuesta es no, o no sin una escalación significativa al personal fuera de la UE, la cuestión de la sustancia no se ha resuelto.
El cumplimiento del GDPR y los requisitos de gobernanza de datos se superponen al marco DORA. Los acuerdos de procesamiento de datos, las relaciones entre controlador y procesador y las consideraciones sobre la residencia de los datos forman parte de la arquitectura técnica que los reguladores examinarán.
Finanzas: Capital que realmente funciona
Artículo 67 establece las salvaguardias prudenciales mínimas. Las clases de capital se definen según la clase de servicio:
| Clasificación CASP | Servicios permitidos de criptoactivos | Capital inicial mínimo |
| Clase 1 | Recepción y transmisión de órdenes; Asesoramiento de inversión; Gestión de cartera. | 50.000 EUR |
| Clase 2 | Servicios de Clase 1 plus: Intercambio de activos criptográficos por moneda fiduciaria u otros activos criptográficos; Ejecución de órdenes; Colocación de activos criptográficos. | 125.000 EUR |
| Clase 3 | Servicios de clase 1 y 2 plus: Operación de una plataforma de negociación; Custodia y administración de activos criptográficos en nombre de los clientes. | 150.000 EUR |
La cifra mínima de capital es el punto de partida, no el límite. Las salvaguardias prudentes deben igualar la cantidad más alta entre el capital mínimo permanente o una cuarta parte de los gastos fijos del año anterior.
A medida que crece un CASP y aumentan sus gastos fijos, este segundo límite se convierte en la restricción vinculante. Cuando los gastos superan cuatro veces el capital inicial aportado, la empresa debe pasar al marco basado en gastos. Ese punto de inflexión llega más rápido de lo que muchos operadores anticipan, y los reguladores esperan un monitoreo proactivo en lugar de ajustes reactivos.
Un punto estructural digno de mención: el capital debe depositarse en una cuenta mantenida con una institución de crédito formal.
Una cuenta de una EMI o proveedor de servicios de pago no cumple con este requisito. Establecer una relación bancaria como empresa crypto lleva tiempo y no está garantizado. Iniciar ese proceso temprano, antes de presentar formalmente la solicitud, no es opcional. Es una restricción de secuencia que afecta todo el cronograma de autorización.
El requisito de que los estados financieros utilizados en el cálculo de los gastos fijos estén debidamente auditados o validados por autoridades regulatorias nacionales añade una dimensión administrativa adicional. Las entidades recién constituidas que proyecten sus primeros doce meses de gastos deben incluir dichas proyecciones en su solicitud de autorización, con la metodología debidamente documentada.
Subcontratación y el umbral de sustancia
Artículo 73 permite que los CASP externalicen funciones operativas a terceros. La restricción es que la externalización no puede despojar a la entidad autorizada. La responsabilidad permanece con el CASP; la delegación no transfiere la rendición de cuentas.
La Reunión de Supervisión de la ESMA sobre la Autorización de CASP identifica el porcentaje de los costos totales atribuibles a funciones ubicadas fuera de la UE como un indicador práctico de si la externalización ha ido demasiado lejos. Un CASP cuya mayoría de los gastos operativos se dirige a proveedores de servicios no UE, incluso a aquellos bien gestionados y de reputación sólida, puede enfrentar preguntas sobre si la entidad de la UE tiene capacidad interna suficiente para calificar como un proveedor de servicios genuino en lugar de un mero conducto.
La distinción que establece el regulador es entre CASP que externalizan funciones específicas mientras mantienen el control y CASP que externalizan todo lo sustancial manteniendo únicamente la forma legal. Este último es una cáscara, independientemente de cómo se describa el arreglo en la solicitud.
Variación jurisdiccional: misma ley, práctica diferente
MiCA es directamente aplicable en todos los estados miembros de la UE. Los requisitos sustantivos son uniformes. La práctica de supervisión no lo es.
Chipre, a través de la CySEC, ha exigido explícitamente que la mayoría de los miembros del consejo de administración de un CASP sean residentes físicos de Chipre. Para un consejo compuesto por dos directores ejecutivos y dos no ejecutivos, esto significa un mínimo de tres directores residentes en Chipre. Esto va más allá de lo que requiere el texto de MiCA y refleja directivas nacionales de Lucha contra el Lavado de Dinero aplicadas sobre el marco armonizado de la UE.
Estonia presenta una dinámica diferente. Bajo el anterior régimen de registro de VASP administrado por la Unidad de Inteligencia Financiera, Estonia se convirtió en una de las jurisdicciones de licenciamiento más accesibles de Europa. La transición a MiCA transfirió la responsabilidad de supervisión a la Autoridad Estonia de Supervisión y Resolución Financiera, lo que implica un enfoque institucional diferente para la revisión y la supervisión continua.
La situación legislativa de Polonia, cubierta en entregas anteriores de esta serie, ha generado una brecha estructural en la que la ley de implementación nacional de MiCA aún no se ha promulgado, dejando a la KNF sin designación formal como autoridad competente y a los titulares de VASP sin una vía viable para presentar una solicitud doméstica de CASP.
Estas variaciones no son lagunas legales ni peculiaridades administrativas. Reflejan la realidad de que un marco legal armonizado aún opera a través de culturas nacionales de supervisión, limitaciones de personal e historias institucionales. Seleccionar una jurisdicción para la autorización de CASP significa seleccionar un regulador, con todas las implicaciones prácticas que ello conlleva.
Qué requiere realmente una «Establecimiento Auténtico»
En conjunto, los requisitos de sustancia bajo MiCA reflejan una filosofía de supervisión más que una lista de verificación. El regulador desea estar seguro de que, si algo sale mal, cuenta con recursos significativos.
Eso significa que el liderazgo ejecutivo es físicamente accesible y legalmente responsable según la ley de la UE. Significa que los sistemas TIC son controlables por la entidad de la UE sin depender de cadenas de autorización no pertenecientes a la UE. Significa capital que realmente está disponible y dimensionado según el riesgo operativo real.
Y significa gobernanza donde la entidad de la UE toma decisiones reales en lugar de implementar instrucciones emitidas desde otro lugar.
Las empresas que abordan esto como un ejercicio de documentación tienden a encontrar el proceso más difícil de lo esperado. Las empresas que construyen primero la sustancia y luego documentan lo que han construido tienden a encontrarlo más sencillo. La aplicación no crea la organización. Describe una que ya debería existir en gran medida.
Fuentes:
- Sesión informativa de supervisión de la ESMA sobre la autorización de CASPs
- Documento de consulta de la ESMA sobre MiCA, segundo paquete
- MFSA MiCA Rulebook
Este artículo se basa en un estudio realizado por LegalBison en mayo de 2026. El contenido es únicamente informativo y no constituye asesoría legal.