A partir del 1 de julio de 2026, todas las empresas que proporcionen servicios de criptoactivos en la UE necesitan autorización MiCA CASP. No hay excepciones ni prórroga. La pregunta real es cuántos operadores lo lograrán.
No muchos. Hasta la primavera de 2026, unos 130–140 CASP tenían autorización MiCA completa en los 27 estados miembros de la UE. Cientos de empresas que operaban legalmente bajo registros VASP nacionales anteriores a MiCA siguen esperando, o nunca presentaron solicitud. Italia tenía más de 150 registros VASP antes de MiCA; Francia tenía 104. Casi ninguno se ha convertido.
La brecha no es solo un atraso administrativo. MiCA se diseñó para entidades financieras reguladas, no para startups de criptomonedas. Un exchange de 5.000 millones de euros y una billetera de 10 personas enfrentan los mismos requisitos de capital, gobernanza e ICT. Ahí es donde fallan la mayoría de las solicitudes.
Tres clases de servicios, tres pisos de capital#
El artículo 67 de MiCA vincula los requisitos de capital a los servicios ofrecidos. Hay tres clases, y el capital mínimo de una empresa depende de cuál usa:
Clase 1: asesoramiento, recepción y transmisión de órdenes. Capital mínimo: 50.000 euros. Sin exchange, sin custodia. Aquí entran las empresas de señales e información sobre mercados.
Clase 2: añade exchange contra fiat y otros criptoactivos, ejecución de órdenes y colocación. Capital mínimo: 125.000 euros. Para plataformas de negociación, escritorios OTC y agregadores.
Clase 3: añade custodia y administración de criptoactivos por cuenta de clientes. Capital mínimo: 150.000 euros. Cualquier empresa que maneje claves privadas de clientes, gestione billeteras custodia o administre posiciones es Clase 3.
Los números parecen manejables. No lo son, por dos razones.
El capital debe mantenerse como fondos propios regulatorios, no como capital de trabajo ni depósitos de clientes. Debe estar segregado y disponible para la autoridad regulatoria bajo demanda. Para una startup, bloquear 125.000–150.000 euros permanentemente es un golpe real.
El artículo 67(1)(b) también requiere fondos propios iguales a lo mayor entre el piso de clase y un cuarto de los gastos generales fijos del año anterior. Una empresa con 600.000 euros en gastos anuales necesita 150.000 euros sin importar qué servicios ofrezca. A medida que crece el negocio, el cálculo basado en gastos generales supera el piso de clase sin que cambie el producto.
Pasar de una clase a otra no es un cambio de formulario. Una empresa de Clase 2 que añade custodia necesita una revisión supervisora completamente nueva para Clase 3. Los servicios no pueden activarse durante la solicitud.
La mayoría de los negocios de criptomonedas que crean un producto completo —exchange más custodia— son Clase 3 desde el principio, sin importar si la custodia genera ingresos. Una empresa que permite a usuarios mantener un saldo después de una operación está ofreciendo custodia. El piso de 150.000 euros y toda la gobernanza de Clase 3 aplican desde el día uno.
La gobernanza requiere estructura real, no solo casillas#
El capital es el precio de entrada. Los artículos 68 a 71 determinan si la solicitud pasa realmente.
El artículo 68 requiere que la junta directiva tenga "buena reputación" y "conocimientos, habilidades y experiencia adecuados" para la complejidad del CASP. Las autoridades regulatorias quieren al menos un director ejecutivo residente en el EEE que trabaje realmente en la UE. Viajar para reuniones no pasa la prueba en el Banco de Lituania, el AFM o BaFin.
El estándar técnico de ESMA bajo el artículo 68 requiere que las funciones de control interno clave tengan propietarios designados, responsabilidades documentadas e independencia estructural verificada. Esperan el modelo de tres líneas de defensa. Una función de cumplimiento que reporta al COO, quien también dirige ingresos y desarrollo comercial, falla la prueba de independencia. El director de cumplimiento reporta a la junta directiva, no a operaciones.
Cada titular de función clave recibe una evaluación de idoneidad: CEO, CFO, Director de Cumplimiento, MLRO. Muchas jurisdicciones también requieren Director de TI y Director de Custodia si esos roles tocan actividades reguladas. Cada persona presenta historial laboral, calificaciones y verificación de antecedentes. Si una persona falla, la solicitud entera se congela.
Los artículos 69 a 71 añaden: un procedimiento de quejas con escaladas definidas y plazos de respuesta; estándares de comunicación con clientes sobre claridad y transparencia; y una política escrita de conflictos de interés con revisión periódica de la junta.
El rol de MLRO tiene sus propias reglas. La mayoría de los estados miembros de la UE requieren un cargo nombrado y dedicado —distinto del CCO— con acceso a la junta directiva y capacidad documentada para presentar Reportes de Actividad Sospechosa de forma independiente. No puedes delegarlo a abogados externos. El MLRO debe estar en nómina.
Nada de esto es técnicamente complicado. Construirlo desde cero toma seis meses como mínimo, y la NCA verificará que realmente funcione, no solo que existan las políticas en papel.
La mayoría de los operadores en esta etapa mira cómo ItisPay resuelve esto sin licencia propia en lugar de gastar 12 meses construyendo un equipo de cumplimiento antes de saber si la NCA lo aprobará.
ICT y DORA: La captura técnica que subestiman#
A partir del 17 de enero de 2025, los CASP regulados por MiCA también caen bajo la Ley de Resiliencia Operacional Digital (DORA). MiCA requiere un marco de seguridad ICT para la autorización. DORA especifica qué va dentro.
El documento de DORA —presentado con la solicitud de MiCA— debe cubrir:
- Un marco de gestión de riesgos ICT con políticas escritas sobre identificación, protección, detección, respuesta y recuperación
- Procedimientos para detectar, clasificar e informar incidentes. Los incidentes ICT graves van a la NCA en horas definidas desde su detección
- Un plan de continuidad comercial, probado cada año
- Un registro de riesgos ICT de terceros para cada proveedor y proveedor en la nube relevante, con un plan de salida escrito para cada uno
- Simulacros de respuesta ante incidentes en ciclos definidos
Para CASP "significativos" por encima de los umbrales que define la NCA, los artículos 24-27 de DORA requieren Pruebas de Penetración Dirigidas por Amenazas cada tres años, usando proveedores externos aprobados. Un primer TLPT —alcance, ejecución, reporte de remediación— típicamente cuesta entre €30K y €80K.
Construir un marco ICT compatible con DORA desde cero toma entre seis y doce meses. La solicitud no pide una plantilla de política; pide una estructura que funcione de verdad. Las NCA quieren registros de pruebas e incidentes reales. Las empresas que llegan con documentación pero sin operaciones detrás se rechazan en la primera revisión formal.
Los requisitos de riesgos de terceros golpean fuerte para empresas de criptomonedas en la nube. Cada dependencia importante —proveedores de alojamiento, proveedores de KYC, proveedores de datos de cadena de bloques, custodia— necesita debida diligencia documentada, derechos de auditoría en los contratos y un plan de salida escrito. Una empresa que no puede demostrar cómo salir de AWS, Google Cloud o Fireblocks no pasará la evaluación de concentración de riesgos de DORA.
País por País: Los Plazos No Son Iguales#
MiCA es una regulación de la UE, pero la autorización ocurre en cada país. Los tiempos varían mucho.
Lituania es la más rápida. El Banco de Lituania autoriza CASPs en seis meses, a veces menos si la solicitud está completa. Su período transitorio terminó el 1 de enero de 2026, así que cualquier empresa aún en régimen transitorio allí ya está en riesgo. Si presentaste antes de febrero de 2026 con documentación completa, Lituania es la única que podría entregar licencia antes de julio.
Los Países Bajos son el segundo. La AFM emitió sus primeras licencias de MiCA el 30 de diciembre de 2024 y había autorizado 26 CASPs en mayo de 2026. El proceso toma nueve a doce meses. Pero piden cosas reales: oficina registrada, empleados locales, operaciones de verdad. Las empresas ficticias se filtran rápido.
Alemania (BaFin) es la más lenta. El proceso toma doce a veinticuatro meses. BaFin requiere expedientes de 200+ páginas incluso antes de dar feedback. A mayo de 2026 tenían 53 CASPs autorizados, pero eso refleja que el sector financiero alemán ya existía. Si no tienes operaciones reales en Alemania, una solicitud a BaFin son años de trabajo.
Francia (AMF) e Italia (Banca d'Italia/Consob) están entre doce y dieciocho meses. Malta (MFSA) publicó guía sobre MiCA en marzo de 2025 y se promueve como amigable con fintech, pero recibe menos solicitudes que los tres mercados grandes.
La realidad: si no has presentado aún, no hay jurisdicción que cierre una autorización de CASP antes del 1 de julio de 2026 a menos que ya estés en revisión avanzada. La ventana cerró en todos lados excepto Lituania, y apenas.
Polonia: Sin Autorización Posible#
Polonia es distinto. El 1 de diciembre de 2025, el presidente Karol Nawrocki vetó la ley que Polonia necesitaba para dar luz verde a solicitudes de CASP.
El veto fue específico. La presidencia objetó dos cosas: una disposición que permite a la KNF bloquear sitios web de VASP sin ir a corte, y otra que permite congelar cuentas de criptodivisas hasta 96 horas por sospecha de insider trading, extensibles a seis meses sin supervisión judicial.
El resultado: la KNF no acepta solicitudes de CASP. Las empresas que operan bajo el registro anterior de Polonia están en el limbo. MiCA tiene fuerza legal en toda la UE, pero sin una autoridad designada y sin procedimientos nacionales, no hay dónde presentar.
A mayo de 2026 no hay ley nueva. Las empresas con operaciones en Polonia tienen tres opciones: esperar a que el legislador actúe, solicitar en otro país y abandonar Polonia, o salir completamente.
Qué Mata de Verdad las Solicitudes#
No es el capital mínimo. Son cinco requisitos que llegan al mismo tiempo, y ninguno tiene atajo.
El oficial de cumplimiento debe ser solo eso. Las autoridades rechazan solicitudes donde el cumplimiento se mezcla con otras funciones o se divide entre empresas. Necesitas una persona dedicada, con credenciales europeas relevantes y residencia en el EEE. Cuesta mínimo €80.000–€120.000 al año, y debe ser empleado a tiempo completo desde el día que presentas.
El expediente es gigante. Cubre: gobierno corporativo y organigrama, programa AML/CFT, marco DORA, evidencia de capital, plan de negocios de tres años, antecedentes de personas clave, política de salvaguarda de activos de clientes, procedimiento de quejas, conflictos de intereses, y un whitepaper. Cientos de páginas. Casi todas las autoridades piden más información al menos una vez, lo que atrasa todo meses.
El capital se queda inmovilizado. Los fondos propios regulatorios deben existir mientras estés autorizado. Para una startup que necesita dinero móvil, es un problema real.
Los plazos no son garantizados. Las autoridades pueden extender la revisión sin límite. Ninguna promete un plazo fijo. Si esperabas lanzar producto en Q3 2026, no puedes confiar en una licencia.
Supervisión cuesta entre €150.000 y €250.000 anuales una vez operativo. Esto incluye honorarios de supervisores, pruebas de TIC continuas, auditorías y personal de cumplimiento. El depósito inicial es separado de estos costos anuales.
Si tu equipo no puede presupuestar €300.000–€500.000 para el primer año, considera la alternativa de capa de software. Consulta aquí para solicitar.
Tres opciones después del 1 de julio de 2026#
Si no tendrás autorización CASP antes del 1 de julio, tienes tres caminos.
Suspender operaciones en la UE. Deja de ofrecer servicios a clientes de la UE hasta obtener autorización. Es la opción que cumple completamente con la normativa, pero duele financieramente si tienes usuarios activos o ingresos de pagos europeos.
Operar bajo una entidad matriz o afiliada autorizada. Si tu grupo tiene una entidad con autorización CASP en cualquier estado miembro, puede servir a toda la UE mediante el pasaporte de MiCA. Pero esto requiere una reestructuración real—no alcanza con compartir marca o tecnología. La entidad autorizada necesita operaciones genuinas. Tendrás que notificar a los reguladores de origen y destino, y esperar aceptación. Si tu grupo aún no tiene una entidad autorizada, adquirirla o construirla significa empezar de cero en la cola.
Trabajar con un socio autorizado. Canaliza intercambios, transferencias o custodia a través de un CASP e institución de pago autorizada que ya tenga licencias. El socio asume el riesgo regulatorio. Tu marca sigue siendo la que ve el cliente.
Si construir tu propio stack no tiene sentido ahora, conecta con un socio CASP + PI autorizado. itispay.com/mica está hecho para esto.
Este texto es solo informativo. No es asesoramiento legal ni regulatorio. Consulta a un abogado antes de actuar.
