¿Qué necesita realmente un exchange para estar regulado por MiCA?

Desde el pasado 1 de julio, la pregunta que se hacen millones de usuarios europeos de criptomonedas ya no es «¿qué es MiCA?», sino algo mucho más práctico: ¿mi exchange cumple de verdad, o solo lo parece? El régimen transitorio que permitía operar con registros nacionales antiguos ha terminado de forma definitiva en los 27 Estados miembros, y el número de plataformas que han conseguido la autorización completa como CASP (Crypto Asset Service Provider) sigue siendo sorprendentemente bajo: apenas una docena y media de exchanges cuentan con la licencia que permite operar una plataforma de trading real con custodia de fondos, frente a los cientos que operaban antes bajo registros nacionales dispares.

Esto deja a mucha gente con una duda razonable: cuando un exchange dice «estamos regulados por MiCA», ¿qué significa eso exactamente? ¿Qué tiene que demostrar una empresa para ganarse ese sello? Este artículo desglosa, paso a paso, los requisitos reales, dejando de lado el marketing, que un exchange necesita cumplir para operar legalmente en la Unión Europea.

1. Tener la licencia CASP correcta (y no cualquier licencia)

Lo primero que hay que entender es que «licencia MiCA» no es una etiqueta única. El reglamento agrupa los servicios de criptoactivos en tres clases prudenciales, y cada una exige un capital mínimo distinto:

  • Clase 1: asesoramiento, recepción y transmisión de órdenes. Capital mínimo: 50.000 €. No incluye exchange ni custodia.
  • Clase 2: añade el cambio de cripto por dinero fiat o por otros criptoactivos, ejecución de órdenes y colocación. Capital mínimo: 125.000 €.
  • Clase 3: añade la custodia y administración de criptoactivos por cuenta de clientes. Capital mínimo: 150.000 €.

Aquí está el matiz que más confunde a los usuarios: un exchange que permite a sus usuarios mantener saldo después de operar ya está prestando custodia, aunque no lo llame así en su web. En la práctica, casi cualquier plataforma de trading centralizada con el modelo habitual, en el que se deposita, se opera y se retira cuando se quiere, necesita la licencia de Clase 3 desde el primer día, con independencia de si cobra o no comisiones específicas por custodiar los fondos.

Esto explica por qué el número de exchanges realmente autorizados para operar una plataforma de negociación con custodia es tan reducido: de los más de 200 CASP registrados en la UE, solo una minoría tiene la licencia de Clase 3 que de verdad cubre el modelo de negocio que usa la mayoría de traders minoristas. El resto son asesores, brokers sin custodia o intermediarios de nicho.

2. Capital propio real, no capital de trabajo

El capital mínimo no es un número simbólico que se declara en una escritura y se olvida. MiCA exige que los fondos propios continuos se mantengan de forma permanente como el mayor valor entre dos cifras: el mínimo de su clase, o una cuarta parte de los gastos fijos generales del ejercicio anterior. Es decir, cuanto más grande y más cara de operar es la plataforma, más capital tiene que inmovilizar, incluso si supera de sobra el umbral inicial.

Además, ese capital debe estar separado del dinero de los clientes y de la tesorería operativa del negocio. No vale mezclarlo con los fondos que la empresa usa para pagar nóminas o marketing. Es precisamente el tipo de mezcla de fondos que hizo caer a FTX en 2022, algo que MiCA intenta hacer estructuralmente imposible en Europa exigiendo segregación de activos en todo momento.

3. Segregación y custodia de los fondos de los clientes

Este es, probablemente, el requisito con más peso simbólico tras el colapso de varios exchanges en los últimos años. Un CASP autorizado debe cumplir lo siguiente:

  • Mantener los criptoactivos y el dinero de los clientes separados de los activos propios de la empresa, en todo momento y sin excepción.
  • Tener una política de custodia documentada: uso de wallets en frío (cold storage) y en caliente (hot wallets), procedimientos de firma múltiple o MPC (computación multipartita), ceremonias de generación de claves y un plan de recuperación ante desastres.
  • Ser capaz de devolver los fondos a los clientes en caso de insolvencia, sin que esos activos formen parte de la masa concursal de la empresa.

En otras palabras: si un exchange quiebra estando correctamente autorizado bajo MiCA, tus fondos no deberían desaparecer en el proceso, ya que deberían estar legalmente aislados del patrimonio de la empresa. Esa es la diferencia de fondo entre un exchange licenciado y uno que no lo está.

4. Gobernanza y personas físicas responsables

MiCA no se conforma con papeleo corporativo bonito. Los artículos que regulan la gobernanza exigen que el consejo de administración tenga «buena reputación» y «conocimientos, habilidades y experiencia adecuados» para la complejidad del negocio que dirige. En la práctica esto se traduce en lo siguiente:

  • Al menos un director ejecutivo con residencia efectiva en el Espacio Económico Europeo que trabaje realmente desde allí, ya que no basta con viajar ocasionalmente a reuniones.
  • Un responsable de cumplimiento (compliance officer) dedicado en exclusiva a esa función, sin compartirla con otro cargo ni repartirla entre distintas entidades del grupo. El coste de esta figura ronda entre 80.000 y 120.000 euros anuales, y debe estar contratada desde el mismo momento en que se presenta la solicitud.
  • Fichas de idoneidad («fit and proper») para todos los altos cargos, que las autoridades revisan de forma individual.

5. KYC, AML y la Travel Rule

Ningún exchange puede operar bajo MiCA sin un programa serio de prevención de blanqueo de capitales (AML) y conocimiento del cliente (KYC). Esto incluye lo siguiente:

  • Verificación de identidad obligatoria desde el primer euro operado, sin umbrales de exención por importes pequeños.
  • Cumplimiento de la Travel Rule bajo el Reglamento (UE) 2023/1113, que obliga a que las transferencias de criptoactivos vayan acompañadas de información sobre el ordenante y el beneficiario, igual que ocurre con las transferencias bancarias tradicionales.
  • Una vez autorizado, el CASP se convierte automáticamente en entidad obligada bajo las normas europeas contra el blanqueo, con supervisión continua de transacciones sospechosas.

6. Resiliencia tecnológica bajo DORA

Aquí entra en juego otro reglamento europeo que se solapa con MiCA: DORA (Reglamento de Resiliencia Operativa Digital). Un exchange licenciado tiene que demostrar lo siguiente:

  • Un registro documentado de todas las externalizaciones tecnológicas críticas, incluyendo proveedores de alojamiento en la nube (AWS, Google Cloud), proveedores de KYC, proveedores de datos on chain y servicios de custodia como Fireblocks.
  • Due diligence formal sobre cada uno de esos proveedores, con derechos de auditoría incluidos en los contratos.
  • Un plan de salida por escrito para cada dependencia crítica: si el exchange no puede explicar cómo migraría de AWS a otro proveedor en caso necesario, no pasa la evaluación de concentración de riesgo que exige DORA.
  • Gestión de incidentes, control de accesos y registros (logs) auditables como evidencia operativa, no solo como política sobre el papel.

7. Transparencia, conducta de mercado y protección al usuario

Más allá de la solvencia y la tecnología, MiCA impone reglas de comportamiento que buscan proteger directamente al usuario minorista:

  • Información clara sobre riesgos antes de que un cliente opere, incluyendo un resumen no técnico de los riesgos del criptoactivo en cuestión.
  • Prohibición de prácticas de abuso de mercado: uso de información privilegiada, manipulación del libro de órdenes, front running de las órdenes de los propios clientes.
  • Prohibición de pago por flujo de órdenes que perjudique la ejecución óptima del cliente.
  • Un procedimiento de reclamaciones formalizado y accesible, con plazos de respuesta definidos.
  • Para las plataformas que ofrecen stablecoins, mecanismos de prueba de reservas (proof of reserves), especialmente relevantes tras los cuestionamientos que sufrieron varias stablecoins en los últimos años.

8. El pasaporte europeo: una licencia, veintisiete mercados

Uno de los puntos que más suele sorprender a los usuarios es que no hace falta pedir una licencia en cada país. Un CASP autorizado por cualquier autoridad nacional competente, como la CNMV en España, la BaFin en Alemania, la AMF en Francia, la MFSA en Malta o la FMA en Austria, obtiene automáticamente el derecho de «pasaporte» para prestar servicios en los 27 Estados miembros mediante una simple notificación, sin tener que iniciar un proceso de autorización distinto en cada mercado.

Esto explica por qué los grandes exchanges internacionales han elegido puntos de entrada muy concretos: Malta se ha convertido en la sede favorita de plataformas grandes como OKX o Crypto.com, Luxemburgo ha atraído marcas globales que buscan pasaporte rápido, como Coinbase o Bitstamp, Austria concentra las entidades europeas de Bybit y KuCoin, y los Países Bajos combinan fintechs de pagos con exchanges nativos como Bitvavo.

9. Lo que MiCA no exige (y por qué importa)

Para entender bien el marco también conviene saber qué queda fuera:

  • Los exchanges descentralizados (DEX), como Uniswap o Curve, no necesitan licencia CASP porque no custodian fondos de terceros, ya que el usuario mantiene siempre el control de sus claves privadas.
  • No existe un régimen de equivalencia para terceros países. Una empresa con sede fuera de la UE no puede simplemente «reconocer» su licencia extranjera: tiene que constituir una filial física en un Estado miembro, con un director residente real y una autorización CASP completa desde cero.
  • MiCA tampoco regula los instrumentos financieros tokenizados que ya caen bajo MiFID II, para evitar solapamientos normativos.

10. Quiénes han conseguido de verdad la licencia (julio de 2026)

Todo lo anterior es la teoría. En la práctica, este es el listado de exchanges que a día de hoy cuentan con autorización MiCA confirmada, con la fecha en que la obtuvieron y el país que actuó como autoridad competente. Es un buen ejercicio ver cuántos de los exchanges que probablemente usas aparecen aquí, y cuántos no:

Exchanges con licencia MiCA
# Exchange Licencia Sede
01 Coinbasejun 2024Luxemburgo
02 Bitstampjul 2024Luxemburgo
03 Krakensep 2024Irlanda
04 Bitvavodic 2024P. Bajos
05 Geminidic 2024Malta
06 Crypto.comdic 2024Malta
07 Coinmotiondic 2024Finlandia
08 One Tradingene 2025P. Bajos
09 Coinmerceene 2025P. Bajos
10 Bitpandaene 2025Austria
11 OKXene 2025Malta
12 Safelloene 2025Suecia
13 CoinJar EUfeb 2025Irlanda
14 Bullishmar 2025Alemania
15 Gate.io EUabr 2025Malta
16 Bybit EUmay 2025Austria
17 KuCoin EUjun 2025Austria
18 Bitget EUjun 2025Malta
19 Bit2Mejul 2025España
20 Finstjul 2025P. Bajos
21 BLOXoct 2025P. Bajos
22 Swissborgjun 2026Suiza
23 WhiteBIT EUjun 2026Austria

Un patrón salta a la vista: Malta, Luxemburgo, Austria y los Países Bajos concentran la mayoría de las autorizaciones, gracias a autoridades nacionales que han sido especialmente ágiles tramitando expedientes MiCA. También conviene notar que varias de estas marcas globales operan en Europa a través de una entidad europea separada de su matriz (Bybit EU, KuCoin EU, Gate.io EU, Bitget EU), lo que refuerza la idea de que el pasaporte europeo se construye desde dentro de la UE, y no por reconocimiento de licencias extranjeras.

11. Qué pasa si un exchange opera sin cumplir estos requisitos

La respuesta corta es que nada bueno, ni para la empresa ni para el usuario. Operar sin autorización tras el 1 de julio de 2026 constituye una infracción directa de la legislación de la UE, no una laguna aprovechable. Las sanciones pueden alcanzar entre 5 y 15 millones de euros, o hasta el 12,5% de la facturación global de la compañía, según el país y la gravedad. Varias autoridades nacionales, entre ellas la CNMV española y la AMF francesa, ya han advertido públicamente a plataformas concretas sobre la obligación de cumplir antes de la fecha límite.

Para el usuario, el riesgo práctico es distinto pero igual de real: si el exchange que usas nunca llegó a tener la segregación de fondos, la custodia auditada o los planes de continuidad que exige MiCA, tus criptoactivos podrían quedar atrapados o perderse en caso de problemas operativos o insolvencia, exactamente el escenario que la regulación pretende evitar.

(FAQ) Preguntas frecuentes

El dato fiable es el registro público de CASP de ESMA, que recoge todas las entidades autorizadas, la autoridad que las supervisa y el alcance exacto de servicios para los que tienen permiso. Fijarse solo en el logo o en el texto de la propia plataforma no es suficiente: conviene comprobar el registro directamente.

Sí. Gracias al pasaporte europeo, una autorización obtenida en cualquier Estado miembro es válida en los 27 países de la UE mediante notificación a la autoridad de cada país donde quiera operar, sin necesidad de una segunda solicitud completa.

No necesariamente. Si el modelo de negocio no incluye custodia, por ejemplo un bróker que ejecuta la orden y transfiere de inmediato los activos a una wallet externa del cliente sin retenerlos, podría bastarle con la Clase 2. Pero en cuanto el usuario puede dejar un saldo en la plataforma después de operar, la actividad se considera custodia y exige Clase 3.

Mucha. Durante el régimen transitorio, muchas plataformas operaban con registros nacionales antiguos (como el registro de proveedores de servicios sobre activos virtuales del Banco de España), que exigían controles mucho más ligeros. La autorización CASP plena es un proceso distinto y mucho más exigente, con capital, gobernanza, custodia auditada y resiliencia tecnológica verificados por el supervisor antes de conceder la licencia.

No. MiCA no reconoce equivalencias de terceros países. Una empresa extranjera debe constituir una filial dentro de un Estado miembro, con dirección efectiva y personal residente en la UE, y superar el mismo proceso de autorización que cualquier empresa europea. Es la razón por la que muchos grandes exchanges globales operan en la UE a través de una entidad separada, por ejemplo «Bybit EU» o «KuCoin EU», distinta de su matriz global.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *