Legislacion fintech en Espana: sandbox, MiCA y DORA en un mapa
El mapa regulatorio que faltaba
La regulacion fintech en Espana se ha movido mas en los ultimos 18 meses que en la decada anterior. Tres piezas legislativas convergen al mismo tiempo: el sandbox regulatorio reformado, MiCA (Markets in Crypto-Assets) plenamente aplicable desde diciembre de 2024, y DORA (Digital Operational Resilience Act) exigible desde enero de 2025. Para una empresa fintech operando en Espana, entender como encajan estas tres piezas no es opcional.
Lo que sigue es un mapa practico. No un analisis juridico exhaustivo (para eso, un bufete), sino la vision de ingenieria y cumplimiento que necesita un CTO o un equipo de producto para planificar.
El sandbox regulatorio espanol
La Ley 7/2020 creo el sandbox regulatorio espanol, uno de los primeros en Europa. Su proposito: permitir a empresas innovadoras probar productos financieros en un entorno controlado, con supervision de los reguladores (CNMV, Banco de Espana, DGSFP) pero sin necesidad de licencia completa.
Desde su lanzamiento, el sandbox ha procesado cuatro convocatorias. Los numeros son modestos: aproximadamente 70 proyectos admitidos en total, de los cuales unos 18 han completado la fase de pruebas satisfactoriamente. No es un volumen espectacular, pero las empresas que pasan por el sandbox obtienen algo valioso: un dialogo directo con el regulador y una via acelerada (al menos en teoria) hacia la licencia.
Las reformas de 2024 introdujeron cambios relevantes:
- Ampliacion de plazos: La fase de pruebas puede extenderse hasta 24 meses (antes 12).
- Regimen transitorio MiCA: Las empresas que operaban con criptoactivos antes de la entrada en vigor de MiCA pueden usar el sandbox como puente hacia la autorizacion completa.
- Interoperabilidad europea: Mecanismos para que los resultados del sandbox espanol sean reconocidos por reguladores de otros estados miembros.
Para una fintech que este considerando el sandbox: funciona mejor para productos genuinamente innovadores donde el marco regulatorio existente no encaja. Si tu producto encaja claramente en una categoria regulada (pagos, prestamos, inversion), la ruta directa a licencia es mas eficiente.
MiCA: la regulacion de criptoactivos
MiCA (Reglamento UE 2023/1114) es el primer marco regulatorio comprehensivo para criptoactivos en la Union Europea. Entro en vigor parcialmente en junio de 2024 (stablecoins) y plenamente en diciembre de 2024. A efectos practicos, cualquier empresa que emita, ofrezca o preste servicios relacionados con criptoactivos en la UE opera bajo MiCA desde enero de 2025.
Que cubre MiCA
MiCA establece requisitos para tres categorias principales:
Emisores de tokens referenciados a activos (ART): Stablecoins respaldados por cestas de activos. Requieren autorizacion del regulador nacional (en Espana, el Banco de Espana o la CNMV segun el caso), un white paper detallado, requisitos de capital, y reservas de activos custodiadas por terceros independientes.
Emisores de tokens de dinero electronico (EMT): Stablecoins referenciados a una moneda fiat. Requieren licencia de entidad de dinero electronico. Los emisores de EMT significativos (mas de 5 millones de titulares o mas de 5.000 millones EUR en circulacion) quedan bajo supervision directa de la EBA.
Proveedores de servicios de criptoactivos (CASP): Exchanges, custodios, asesores, operadores de plataformas. Necesitan autorizacion de la autoridad nacional competente. Los requisitos incluyen capital minimo (entre 50.000 y 150.000 EUR segun el servicio), gobierno corporativo, sistemas de gestion de riesgos, y proteccion del cliente.
Lo que cambia en la practica
Para empresas ya operando en Espana bajo el registro del Banco de Espana (el antiguo registro de proveedores de servicios de cambio de moneda virtual), MiCA implica una transicion sustancial. El regimen transitorio permite operar hasta julio de 2026 bajo las condiciones anteriores, pero la autorizacion MiCA completa debe solicitarse antes de esa fecha.
Los requisitos tecnicos de MiCA que afectan directamente a los equipos de ingenieria:
- Segregacion de activos de clientes: Los criptoactivos de los clientes deben estar segregados de los del operador, con mecanismos tecnicos verificables.
- Ciberseguridad: MiCA referencia explicitamente a DORA para los requisitos de resiliencia digital.
- Transparencia: White papers publicados, informacion de precios en tiempo real, registro de operaciones con trazabilidad completa.
- Prevencion de abuso de mercado: Sistemas de deteccion de insider trading y manipulacion de mercado aplicados a criptoactivos.
Plazos criticos
| Hito | Fecha |
|---|---|
| MiCA plenamente aplicable | Diciembre 2024 |
| Fin del regimen transitorio (registro BdE) | Julio 2026 |
| Estandares tecnicos de la EBA/ESMA | En publicacion progresiva durante 2025 |
DORA: resiliencia operativa digital
DORA (Reglamento UE 2022/2554) establece requisitos uniformes de resiliencia operativa digital para entidades financieras y sus proveedores tecnologicos criticos. Es aplicable desde el 17 de enero de 2025.
A diferencia de MiCA, DORA no es solo para fintechs. Afecta a bancos, aseguradoras, gestoras de fondos, entidades de pago, y tambien a los proveedores TIC criticos que les prestan servicio. Si tu empresa proporciona infraestructura cloud, procesamiento de pagos, o servicios de datos a una entidad financiera, DORA te afecta.
Los cinco pilares de DORA
1. Gestion de riesgos TIC: Un marco de gestion de riesgos tecnologicos comprehensivo, aprobado por el organo de administracion. Incluye identificacion de activos, proteccion, deteccion, respuesta y recuperacion. Suena similar a ISO 27001, y lo es en gran medida. La diferencia es que DORA lo hace legalmente obligatorio y especifica requisitos mas granulares.
2. Notificacion de incidentes: Clasificacion de incidentes TIC segun criterios definidos (duracion, alcance, impacto en datos, criticidad de servicios) y notificacion al regulador. Tres fases: notificacion inicial (dentro de las 4 horas para incidentes graves), informe intermedio (72 horas) e informe final (un mes).
3. Pruebas de resiliencia: Pruebas periodicas de los sistemas TIC, incluyendo analisis de vulnerabilidades, pruebas de penetracion, y para entidades significativas, pruebas TLPT (Threat-Led Penetration Testing) cada tres anos. Las TLPT son pruebas avanzadas basadas en inteligencia de amenazas reales, similares a los ejercicios TIBER-EU.
4. Gestion de riesgos de terceros TIC: Requisitos para la gestion de proveedores tecnologicos, incluyendo clausulas contractuales obligatorias, derechos de auditoria, estrategias de salida, y concentracion de riesgos. DORA introduce el concepto de “proveedor TIC critico” que puede quedar bajo supervision directa de las Autoridades Europeas de Supervision.
5. Intercambio de informacion: Mecanismos voluntarios para compartir inteligencia sobre ciber amenazas entre entidades financieras.
Implicaciones para proveedores tecnologicos
Si tu empresa es un proveedor TIC de una entidad financiera, DORA impone requisitos contractuales especificos:
- Descripcion clara de servicios, niveles de servicio, y ubicacion del procesamiento de datos.
- Cooperacion con los reguladores, incluyendo derechos de acceso y auditoria.
- Planes de salida que permitan a la entidad financiera migrar sin disrupcion.
- Notificacion de incidentes que afecten a los servicios prestados.
Si tu empresa es designada como “proveedor TIC critico” (tipicamente grandes proveedores cloud como AWS, Azure o GCP, pero potencialmente tambien proveedores especializados con alta concentracion), queda bajo supervision directa europea.
Como encajan las tres piezas
Aqui es donde el mapa cobra sentido. Para una fintech espanola tipica:
Si ofreces servicios de criptoactivos: MiCA es tu regulacion primaria. DORA aplica como complemento de resiliencia digital (MiCA lo referencia explicitamente). El sandbox puede ser tu puente si estas en transicion desde el registro antiguo.
Si eres un proveedor tecnologico para banca/seguros: DORA es tu regulacion primaria. Los requisitos contractuales de DORA determinan lo que tus clientes te van a exigir, quieras o no.
Si ofreces servicios de pago: La PSD2 (y la futura PSD3/PSR) sigue siendo tu marco principal, complementada por DORA para resiliencia operativa.
Si operas en multiples verticales: Necesitas un sistema de gestion de cumplimiento que cubra los solapamientos. La buena noticia: DORA y MiCA comparten base con ISO 27001 y ENS en gestion de riesgos, gestion de incidentes y continuidad. La mala: los requisitos de notificacion y los plazos son diferentes para cada norma.
Hoja de ruta practica
Para un equipo de producto o ingenieria en una fintech espanola, las prioridades inmediatas:
- Clasificar tu actividad bajo MiCA si operas con criptoactivos. Determinar si eres CASP, emisor de ART/EMT, o si tu actividad queda fuera del alcance. Esto determina todo lo demas.
- Evaluar tu exposicion a DORA: Bien como entidad financiera directa, bien como proveedor TIC. Los requisitos contractuales de DORA ya estan en vigor.
- Construir el marco de gestion de riesgos TIC que exige DORA. Si ya tienes ISO 27001, tienes el 70% hecho. Si no, es el momento de implementarlo.
- Preparar la capacidad de notificacion de incidentes. Cuatro horas para un informe inicial es poco tiempo. Necesitas procedimientos, plantillas y responsables definidos antes de que ocurra el incidente.
- Revisar contratos con proveedores TIC. DORA exige clausulas especificas. Si eres el proveedor, prepara anexos contractuales que cumplan los requisitos. Si eres el cliente, exigelos.
El panorama regulatorio fintech en Espana es mas claro ahora que hace dos anos. MiCA, DORA y el sandbox reformado proporcionan un marco definido. Lo que falta, como siempre, es la ejecucion. Para un analisis detallado del impacto de MiCA, consulta nuestro articulo sobre MiCA y la fintech espanola.
Etiquetas
Sobre el autor
abemon engineering
Equipo de ingenieria
Equipo multidisciplinar de ingenieria, datos e IA con sede en Canarias. Construimos, desplegamos y operamos soluciones de software a medida para empresas de cualquier escala.
