¿Qué documentos se requieren para solicitar una licencia MiCA?

El Reglamento de la UE sobre los Mercados de Criptoactivos (MiCA, Reglamento (UE) 2023/1114) ha establecido requisitos uniformes para los proveedores de servicios de criptoactivos (CASP) en toda la Unión Europea. Para obtener una licencia, debe preparar un conjunto detallado de documentos que permita a las autoridades competentes realizar una evaluación exhaustiva del solicitante, su gobierno corporativo, fiabilidad, cumplimiento de los requisitos prudenciales y capacidad para garantizar la protección del cliente y la estabilidad de los servicios prestados. A continuación hemos recopilado una lista de documentos necesarios para solicitar una licencia MiCA en la UE.

Documentos corporativos e información sobre el solicitante
Un paso clave es la presentación de los documentos constitutivos: estatutos sociales, escritura de constitución, extracto del registro mercantil e identificador de entidad jurídica (LEI). Si el solicitante planea operar una plataforma de negociación, debe indicarse el nombre comercial utilizado. El paquete de documentos debe incluir información sobre los accionistas y participantes con participaciones cualificadas, su reputación y el origen de los fondos, así como datos sobre los miembros del consejo de administración y los directivos clave que confirmen su cualificación, ausencia de antecedentes penales y conflictos de interés.

Programa de actividad y plan de negocio
De conformidad con el artículo 62(2) de MiCA, el solicitante deberá aportar un programa de operaciones que describa:

• la estructura organizativa de la empresa,
• la estrategia de prestación de servicios y público objetivo,
• capacidades operativas para los próximos tres años,
• canales de marketing (sitios web, aplicaciones móviles, publicidad en línea, colaboración con influencers, patrocinios, eventos, cursos de formación),
• previsiones financieras y plan de utilización del capital.

El regulador también espera análisis de escenarios y pruebas de resistencia que simulen condiciones de mercado adversas pero plausibles para evaluar la resiliencia de la empresa ante shocks externos.

Mecanismos de gestión y control interno
El solicitante debe describir el sistema de gobierno corporativo, la distribución de funciones, los mecanismos de control interno y los procesos de toma de decisiones. Esto incluye procedimientos para gestionar riesgos operativos, legales, cibernéticos y reputacionales, así como una descripción de los planes para garantizar la continuidad del negocio, minimizar el tiempo de inactividad y recuperarse de incidentes, incluidos ciberataques y casos de fuerza mayor.

Medidas AML/KYC y protección del cliente
Se presta especial atención a los mecanismos para combatir el blanqueo de capitales y la financiación del terrorismo (de conformidad con la AMLD5 y el Reglamento (UE) 2023/1113). Deben presentarse los procedimientos internos de KYC, supervisión y notificación de transacciones. Además, la solicitud debe incluir una descripción de las medidas para segregar los activos de los clientes con el fin de protegerlos contra el riesgo de pérdida o uso indebido.

Infraestructura de TI y ciberseguridad
El paquete de documentos incluye una descripción de los sistemas TIC, los protocolos de seguridad de la información, los recursos humanos asignados a la gestión de riesgos cibernéticos, así como los planes para evitar fugas de datos y protegerse contra pérdidas financieras.

Normas para la operación de plataformas de negociación (para CASP que gestionen plataformas)
Si el solicitante planea operar una plataforma de negociación, debe proporcionar las normas para la admisión de criptoactivos a negociación, el procedimiento para verificar su cumplimiento de los requisitos, una descripción de los tipos de criptoactivos que no se admitirán y las razones de dichas restricciones. Además, deben revelarse las normas para la ejecución y cancelación de órdenes, la transparencia y el registro de operaciones, así como el procedimiento para la liquidación de transacciones, incluido el uso de tecnología de registro distribuido (DLT).

Datos financieros y contables
Las autoridades competentes verificarán que existan fondos propios suficientes para garantizar el cumplimiento de los requisitos prudenciales (artículo 67 de MiCA). El solicitante deberá proporcionar estados financieros (si ya están disponibles), una descripción de las políticas contables y pruebas del importe requerido de capital (€50,000/€125,000/€150,000 según la clase de licencia).

Prueba de integridad de la dirección y los accionistas
Deben adjuntarse declaraciones de inexistencia de condenas penales, información sobre investigaciones o procedimientos administrativos en curso, y datos que permitan al regulador realizar una evaluación de idoneidad y honorabilidad.

Requisitos adicionales para la Clase 2 y la Clase 3
Para licencias de nivel superior, debe adjuntarse una descripción de los procedimientos para prevenir y revelar conflictos de interés, normas para supervisar el abuso de mercado y medidas reforzadas de ciberseguridad.

Información detallada sobre el proyecto cripto que debe proporcionarse en la solicitud de licencia MiCA

Una empresa que solicite una licencia como proveedor de servicios de criptoactivos (CASP) de conformidad con el artículo 62 del Reglamento (UE) 2023/1114 deberá incluir en su solicitud el siguiente conjunto de información y documentos:

• el nombre legal oficial de la empresa, su número de teléfono y dirección de correo electrónico;
• el nombre comercial utilizado o previsto;
• identificador de entidad jurídica (LEI);
• nombre completo, cargo, número de contacto y dirección de correo electrónico de la persona designada para interactuar con el regulador;
• la forma jurídica de la empresa (indicando si es una entidad legal u otra empresa), número de identificación nacional y confirmación de inscripción en el registro nacional de empresas;
• fecha de constitución de la empresa y Estado miembro de la UE en el que está registrada;
• los documentos fundacionales y estatutos sociales, así como reglamentos internos (si procede);
• la dirección de la sede central y la dirección del domicilio social, si es distinta;
• información sobre las sucursales que operarán en otros países de la UE, incluidos sus identificadores LEI, en su caso;
• nombres de dominio de todos los sitios web que utiliza la empresa para prestar servicios, así como enlaces a las cuentas oficiales de redes sociales de la empresa;
• si el solicitante no tiene estatus de entidad legal, documentos que confirmen:
  • un nivel de protección legal para los clientes y terceros equivalente al proporcionado a las entidades legales, incluso en casos de quiebra;
  • el cumplimiento por parte del solicitante de la supervisión prudencial adecuada a su forma organizativa y legal;
• si la empresa tiene la intención de operar una plataforma de negociación de criptoactivos:
  • la dirección física, número de teléfono y dirección de correo electrónico de la plataforma de negociación;
  • el nombre comercial bajo el cual operará la plataforma.

Esta información permite al regulador identificar al solicitante, evaluar su estatus legal, estructura y preparación para prestar servicios, y verificar el cumplimiento de los requisitos básicos de MiCA antes de pasar a la evaluación del modelo de negocio y los procesos internos.

1) Información general que debe proporcionarse al solicitar una licencia MiCA

Una entidad legal que solicite autorización como proveedor de servicios de criptoactivos (CASP) en virtud del artículo 62 del Reglamento (UE) 2023/1114 debe presentar a la autoridad supervisora una solicitud que contenga un conjunto completo de información y documentos de apoyo necesarios para su examen y para la adopción de una decisión sobre la concesión de la autorización:

• el nombre legal de la empresa, su número de contacto y dirección de correo electrónico;
• el nombre comercial utilizado o previsto;
• identificador de entidad jurídica (LEI);
• nombre, cargo, número de teléfono y dirección de correo electrónico de la persona designada autorizada para interactuar con el regulador;
• la forma legal de la empresa (entidad legal u otra empresa), número de identificación nacional y prueba de inscripción en el registro nacional de empresas;
• fecha de constitución y Estado miembro de la UE en el que se constituyó la empresa;
• documentos constitutivos, estatutos sociales y normativa interna, si procede;
• la dirección de la sede y, si es distinta, la del domicilio social;
• información sobre las sucursales que operarán en otras jurisdicciones, incluidos sus LEI;
• nombres de dominio de todos los sitios web a través de los cuales se prestan servicios, así como las cuentas oficiales de redes sociales de la empresa;
• si la empresa no tiene estatus de entidad legal, documentos que confirmen:
  • el nivel de protección de los derechos de los clientes y terceros, incluida la protección en caso de quiebra, comparable a la protección proporcionada por una entidad legal;
  • sujeción a supervisión prudencial adecuada a su forma organizativa y legal;
• si la empresa tiene intención de operar una plataforma de negociación:
  • la dirección física, número de contacto y dirección de correo electrónico de la plataforma de negociación;
  • el nombre comercial bajo el cual operará la plataforma.

Esta información permite al regulador identificar al solicitante, evaluar su situación jurídica y su estructura organizativa, y verificar que dispone de los recursos e infraestructura necesarios para prestar servicios de forma legal.

2) Programa de actividades de la empresa

Una empresa que solicite una licencia como proveedor de servicios de criptoactivos (CASP) está obligada a presentar un programa detallado de actividades para los tres años posteriores a la obtención de la licencia, que debe incluir:

• una descripción de la posición del solicitante dentro del grupo de empresas (si pertenece a uno) y una explicación de cómo sus actividades se corresponden con la estrategia del grupo y se relacionan con otras empresas del mismo;
• un análisis del impacto de las organizaciones vinculadas (incluidas las reguladas) en el negocio del solicitante;
• una lista completa de los servicios relacionados con criptoactivos que se prevé prestar, indicando los tipos de criptoactivos a los que se refieren;
• una descripción de otras actividades (reguladas o no reguladas) que la empresa tenga previsto realizar además de los servicios CASP;
• una indicación de si el solicitante ofrecerá criptoactivos al público o buscará su admisión a negociación, especificando los tipos de dichos criptoactivos;
• una lista de jurisdicciones de la UE y de terceros países en las que se prestarán los servicios, con una previsión del número de clientes por área geográfica;
• características de los tipos de clientes a los que se dirigen los servicios (minoristas, inversores profesionales, etc.);
• una descripción de los canales a través de los cuales los clientes acceden a los servicios, incluyendo:
  • nombres de dominio de sitios web y aplicaciones mediante las cuales se prestan los servicios, idiomas de la interfaz, tipos de servicios y países donde están disponibles;
  • nombres de las aplicaciones móviles y web, idiomas de la interfaz y lista de servicios disponibles a través de ellas;
• plan de marketing y publicidad:
  • canales de promoción utilizados (publicidad en línea, redes sociales, eventos, comunicados de prensa, etc.);
  • métodos de identificación de la empresa en las comunicaciones con los clientes;
  • descripción del público objetivo y de los tipos de criptoactivos a los que se dirigen las campañas;
  • idiomas utilizados en los materiales publicitarios;
• descripción de los recursos humanos, financieros y TIC asignados a la implementación de los servicios previstos, indicando su ubicación geográfica;
• política de externalización y una descripción detallada de los contratos previstos, incluidos los acuerdos intragrupo, el procedimiento para cumplir los requisitos del Artículo 73 de MiCA, información sobre los proveedores de servicios, su ubicación y funciones externalizadas, así como una descripción de los procesos para supervisar y evaluar los riesgos de externalización;
• un plan contable proyectado, incluidos escenarios de tensión que tengan en cuenta los préstamos y flujos financieros intragrupo;
• una descripción de las operaciones de intercambio (fiat on-/off-ramp), incluida la interacción con aplicaciones descentralizadas (DeFi) que se prevé utilizar en nombre de la empresa.

Además:

• si el solicitante tiene la intención de prestar un servicio de recepción y transmisión de órdenes de clientes para criptoactivos, presentar procedimientos y medidas para cumplir el Artículo 80 de MiCA;
• si el solicitante planea participar en la colocación de criptoactivos, aportar procedimientos para identificar, prevenir y revelar conflictos de interés, así como una descripción de las medidas correspondientes al Artículo 79 de MiCA y las normas técnicas adoptadas conforme al Artículo 72(5).

Este programa permite al regulador evaluar la estrategia de la empresa, la sostenibilidad de su modelo de negocio, sus recursos y su preparación para cumplir con los requisitos normativos durante todo su período de operación.

3) Requisitos prudenciales

Una empresa que solicite una licencia CASP debe preparar y presentar al regulador un conjunto completo de información que confirme el cumplimiento de los requisitos prudenciales establecidos en el Artículo 67 del Reglamento (UE) 2023/1114.

La solicitud debe especificar:

• Descripción de las salvaguardias prudenciales:
  • el importe de los fondos propios (capital) en la fecha de la solicitud y la metodología para su cálculo;
  • el importe de las garantías prudenciales cubiertas por fondos propios (si procede);
  • el importe de las garantías cubiertas por una póliza de seguro o garantía financiera comparable (si procede).
• Cálculos y planes previstos:
  • previsión del capital y las salvaguardias prudenciales para los tres primeros años de actividad tras obtener la licencia;
  • principales hipótesis utilizadas en la planificación, incluidos escenarios de tensión;
  • número previsto de clientes, volumen de órdenes y transacciones, y volumen de criptoactivos en custodia.
• Estados financieros (si la empresa ya está operando):
  • estados financieros aprobados de los tres últimos años;
  • si los informes no han sido auditados, confirmación de la autoridad supervisora nacional sobre el importe de los fondos propios.
• Procedimientos de planificación y seguimiento del capital:
  • descripción del sistema interno de control y seguimiento de las salvaguardias prudenciales.
• Pruebas de cumplimiento de los requisitos prudenciales:
  • documentos que confirmen el cálculo de los fondos propios conforme a MiCA;
  • para empresas de nueva creación, un extracto bancario que confirme la transferencia del capital autorizado a la cuenta;
  • si se utiliza una póliza de seguro o garantía comparable:
    • información sobre la compañía de seguros (nombre, fecha y país de registro, dirección de la sede y del domicilio social, datos de contacto);
    • una copia de la póliza de seguro o contrato de seguro firmado de conformidad con los Artículos 67(5) y 67(6) de MiCA.

Este conjunto de documentos confirma la estabilidad financiera de la empresa, la suficiencia de capital para cubrir los riesgos operativos y de mercado, y la capacidad de proteger a los clientes en caso de acontecimientos imprevistos.

4) Mecanismos de gobernanza, control interno y política de conflictos de interés

La solicitud debe describir la estructura organizativa, incluido el grupo de empresas (si el solicitante forma parte de él), la distribución de funciones y poderes, las líneas de autoridad y los mecanismos internos de control existentes. Es importante identificar a los responsables de las funciones internas clave, proporcionar sus biografías con una descripción de su formación, cualificaciones y experiencia profesional, y confirmar que cuentan con los conocimientos y habilidades necesarios para desempeñar sus funciones.

El regulador exige una descripción de las políticas y procedimientos internos que garanticen el cumplimiento de MiCA, así como los mecanismos para comunicar estos procedimientos a los empleados. Se presta especial atención a la existencia de un sistema interno de denuncia que permita a los empleados informar a la dirección sobre el incumplimiento de los requisitos normativos. El solicitante debe describir el procedimiento de mantenimiento de registros y almacenamiento de documentación conforme a las normas técnicas establecidas por la Comisión Europea, así como demostrar la existencia de un sistema para supervisar y revisar regularmente la eficacia de las políticas y procedimientos implantados.

El órgano de administración de la empresa debe poder recibir informes periódicos de las funciones de control interno, confirmando la independencia de estas funciones y su derecho a informar directamente, incluso cuando se identifiquen riesgos significativos de incumplimiento de los requisitos normativos. La solicitud describirá los sistemas TIC, las herramientas de control y las soluciones de respaldo que garanticen la estabilidad de los procesos, así como las medidas para prevenir abusos de mercado si el solicitante realiza actividades sujetas a tales riesgos.

Además, es necesario indicar si se ha nombrado un auditor externo, proporcionar sus datos de contacto y describir las políticas contables y los períodos de información aplicados.

La gestión de los conflictos de interés es de especial importancia. La solicitud debe incluir una copia de la política pertinente que describa cómo la empresa identifica, previene y divulga los conflictos de interés conforme al Artículo 72 de MiCA. El documento debe tener en cuenta la escala y naturaleza de las actividades del solicitante y garantizar que el sistema de remuneración no cree conflictos entre los intereses de la empresa y los de sus clientes. El solicitante también debe describir los sistemas de control implantados para supervisar la eficacia de la política, registrar cada caso de conflicto de interés, registrar su resolución y el hecho de que la información se haya comunicado al cliente.

Esta información exhaustiva permite a la autoridad competente verificar que el solicitante ha establecido un sistema sólido de gobierno corporativo, dispone de funciones de control interno independientes y aplica medidas eficaces para prevenir y resolver los conflictos de interés, lo que es un requisito previo para la concesión de una licencia MiCA.

5) Plan de continuidad del negocio

Este plan es una parte obligatoria de la solicitud y demuestra que la empresa es capaz de mantener sus operaciones regulares incluso en caso de interrupciones de los sistemas o infraestructuras clave.

La descripción debe confirmar que el plan cumple con los requisitos del Reglamento (UE) 2023/1114, se actualiza regularmente y se prueba en la práctica. El documento debe describir las acciones que la empresa llevará a cabo para mantener las operaciones en caso de eventos imprevistos, incluidas fallas de los sistemas informáticos, circunstancias de fuerza mayor o incidentes de ciberseguridad.

Si se externalizan funciones críticas a proveedores de servicios externos, el documento debe especificar cómo se garantizará la continuidad del negocio en caso de un deterioro repentino de la calidad de sus servicios o de la terminación de su prestación. También es necesario describir el plan de acción en caso de pérdida de un empleado clave o responsable de la toma de decisiones y, si es necesario, evaluar los riesgos políticos en la jurisdicción donde se encuentran los principales proveedores de servicios.

La presentación de dicho plan permite al regulador verificar que la empresa está preparada para posibles situaciones de crisis y puede minimizar el impacto de cualquier interrupción manteniendo la confianza de los clientes y la estabilidad del negocio.

6) Medidas contra el blanqueo de capitales y la financiación del terrorismo (AML/CFT)

Una empresa que solicite una licencia MiCA debe confirmar que dispone de un sistema eficaz de lucha contra el blanqueo de capitales y la financiación del terrorismo (AML/CFT) que cumpla con la Directiva (UE) 2015/849 y el Reglamento (UE) 2023/1113.

La solicitud debe describir el enfoque para gestionar los riesgos AML/CFT, comenzando por su identificación y evaluación. La empresa debe aportar un análisis de los riesgos inherentes y residuales asociados con la naturaleza de su base de clientes, los tipos de servicios prestados, los canales de distribución utilizados y las regiones geográficas en las que opera.

Es importante para el regulador ver las medidas específicas que la organización ya ha implementado o planea implementar para prevenir los riesgos identificados: procedimientos de evaluación de riesgos, normas para la realización de KYC y la diligencia debida del cliente, procedimientos para identificar transacciones sospechosas y notificarlas a las autoridades competentes en tiempo oportuno. Es necesario demostrar que las políticas y procedimientos internos son proporcionales a la escala del negocio, la complejidad del modelo, la gama de servicios prestados y el nivel de riesgo inherente.

El solicitante debe designar a una persona responsable del cumplimiento de los requisitos AML/CFT y confirmar su cualificación y experiencia. También deben describirse los recursos humanos y financieros asignados para implementar estos procedimientos, y confirmarse que el personal recibe formación periódica sobre cuestiones de blanqueo de capitales, incluida la formación sobre los riesgos específicos asociados a los criptoactivos.

La solicitud debe ir acompañada de copias de todas las políticas, procedimientos y sistemas internos de AML/CFT, así como información sobre la frecuencia de las revisiones de su eficacia y las funciones responsables de llevar a cabo dichas evaluaciones.

Este conjunto de datos demuestra al regulador que la empresa cumple con sus obligaciones de lucha contra el blanqueo de capitales y la financiación del terrorismo, minimiza los riesgos de abuso y está preparada para cumplir la legislación europea al prestar servicios relacionados con criptoactivos.

7) Identificación, comprobación de reputación y evaluación de las cualificaciones de los miembros del órgano de administración de la empresa

La empresa solicitante debe proporcionar información detallada sobre cada miembro de su órgano de administración, confirmando su identidad, reputación empresarial, cualificaciones y disposición para dedicar el tiempo suficiente a sus funciones.

La solicitud debe incluir los datos personales completos de cada miembro, incluyendo su nombre, lugar y fecha de nacimiento, direcciones actuales y anteriores de los últimos 10 años, nacionalidad, número de identificación nacional y una copia de su documento de identidad. Además, se describirá el cargo ocupado o previsto, indicando su naturaleza (ejecutivo o no ejecutivo), la fecha de inicio del mandato y las responsabilidades clave.

La empresa debe proporcionar un currículum para cada miembro del órgano de administración, detallando su formación, capacitación profesional, experiencia laboral de los últimos 10 años, indicando todas las organizaciones, cargos, la naturaleza de sus funciones, así como experiencia en los ámbitos de servicios financieros, criptoactivos, tecnologías digitales, ciberseguridad e innovación. Deben adjuntarse cartas de recomendación y datos de contacto de las personas de referencia, así como documentos oficiales que confirmen una reputación intachable.

Una parte importante del paquete es la información sobre la ausencia de antecedentes penales, cualquier investigación penal o administrativa en curso, medidas disciplinarias, procedimientos concursales, revocaciones o denegaciones de licencias, expulsiones de organizaciones profesionales, así como información sobre evaluaciones de reputación realizadas por autoridades gubernamentales o de supervisión.

El solicitante debe revelar cualquier interés financiero o no financiero de los miembros de la dirección y sus familiares directos que pudiera dar lugar a un conflicto de intereses, incluida la participación en el capital del grupo, la existencia de préstamos, garantías otorgadas o litigios. Si se identifica un conflicto de interés significativo, deberá describir las medidas adoptadas para eliminarlo o mitigarlo, haciendo referencia a la política interna sobre conflictos de interés.

Se proporciona al regulador información sobre el tiempo estimado que cada miembro del órgano de administración dedicará al trabajo de la empresa: el número mínimo de horas por mes y por año, una lista de todos los demás cargos (ejecutivos y no ejecutivos) que ocupen, con una descripción del tamaño de las empresas en las que trabajan, el volumen de activos y el número de empleados, así como una lista de responsabilidades adicionales, como la participación en comités o la presidencia.

La solicitud debe ir acompañada de los resultados de una evaluación individual de la idoneidad de cada miembro del órgano de administración, así como de una evaluación de la idoneidad colectiva del consejo de administración, incluyendo un informe o documentos que confirmen que la composición del órgano de administración cumple con los requisitos de MiCA. Todos los documentos oficiales y certificados que confirmen información sobre la reputación y la ausencia de impedimentos para ocupar el cargo deben emitirse como máximo tres meses antes de la presentación de la solicitud.

El suministro de esta información permite al regulador verificar que la dirección de la empresa cuenta con los conocimientos, la experiencia y la reputación necesarios y es capaz de gestionar eficazmente un proveedor de servicios de criptoactivos conforme a los requisitos del Reglamento (UE) 2023/1114.

8) Información sobre accionistas y participantes con participaciones significativas

La solicitud de licencia MiCA debe revelar información completa sobre los accionistas o participantes con participaciones significativas para que el regulador pueda evaluar su integridad, solidez financiera e influencia en la gestión del negocio.

El solicitante debe presentar un organigrama detallado de su estructura corporativa y de control, indicando la distribución del capital y los derechos de voto. El organigrama debe identificar a todos los accionistas y participantes con participaciones cualificadas y proporcionar sus datos de identificación.

Para cada titular de una participación significativa directa o indirecta, deben proporcionarse los documentos e información especificados en los Artículos 1–4 del Reglamento Delegado (UE) 2025/414 de la Comisión. También es necesario indicar los miembros del órgano de administración que serán designados por estos accionistas o por su recomendación y que participarán en la gestión del negocio de la empresa.

La solicitud especificará el número y tipo de acciones suscritas por cada accionista, su valor nominal, las primas pagadas o pagaderas, y cualquier gravamen, prenda u otros derechos reales de garantía, indicando las partes a cuyo favor se constituyen.

Además, debe proporcionarse la información prevista en el Artículo 6 (apartados b, d, e) y el Artículo 8 del Reglamento Delegado (UE) 2025/414 de la Comisión, incluidos documentos que confirmen la reputación, el origen de los fondos y la transparencia financiera de los accionistas.

Este paquete de información permite a la autoridad competente verificar que los propietarios de la empresa cumplen con los requisitos de MiCA, no representan riesgos para una gestión sana y son capaces de apoyar la estabilidad financiera del solicitante.

9) Sistemas TIC y medidas de ciberseguridad

Una empresa que solicite una licencia MiCA debe confirmar que dispone de una infraestructura informática y un sistema de ciberseguridad fiables que cumplan con los requisitos del Reglamento (UE) 2022/2554 (DORA) y el Reglamento (UE) 2016/679 (GDPR). La solicitud debe incluir documentación técnica sobre los sistemas TIC y, si se utiliza, la infraestructura DLT, así como una descripción de las medidas de seguridad que garanticen la resiliencia, integridad y confidencialidad de los datos.

Debe proporcionarse al regulador una descripción de la arquitectura de gestión de riesgos TIC como parte del sistema general de gestión de riesgos de la empresa, indicando los sistemas, protocolos y herramientas utilizados. La solicitud debe explicar cómo las políticas y procedimientos de la empresa garantizan la protección, disponibilidad y autenticidad de los datos, así como el cumplimiento de DORA y GDPR.

Deben enumerarse todos los servicios TIC críticos soportados dentro de la empresa, así como los servicios prestados por proveedores externos. Deben proporcionarse la identificación y ubicación de los proveedores, una descripción de las relaciones de externalización y copias de los contratos que confirmen el cumplimiento del Artículo 73 de MiCA y del Capítulo V de DORA.

Una parte importante es la descripción de los procedimientos de gestión de incidentes, medidas de ciberseguridad, planes de respuesta a ataques y planes de recuperación ante desastres. Si se han realizado auditorías externas o pruebas de penetración, el solicitante debe adjuntar sus resultados o informes de ciberseguridad. Es útil para el regulador ver que la auditoría cubrió la seguridad organizativa y física, el ciclo de vida del desarrollo de software, el escaneo de vulnerabilidades, la evaluación de la configuración de los activos TIC críticos y las pruebas de caja negra, gris y blanca para verificar distintos niveles de acceso.

Si la empresa utiliza o desarrolla contratos inteligentes, debe adjuntarse una visión general de su código fuente desde la perspectiva de ciberseguridad. Además, se debe proporcionar información sobre auditorías previas de los sistemas TIC, incluida la infraestructura DLT y las medidas de seguridad implementadas.

Finalmente, el solicitante debe proporcionar una breve descripción de todas estas medidas en un lenguaje no técnico para que el regulador pueda obtener una visión completa del sistema de ciberseguridad y la fiabilidad de la infraestructura TIC sin tener que analizar los documentos técnicos originales.

10) Segregación y almacenamiento seguro de criptoactivos y fondos de clientes

Una empresa que tenga la intención de proporcionar servicios de almacenamiento de criptoactivos o fondos de clientes (excepto tokens de dinero electrónico) debe presentar una descripción detallada de sus procedimientos para segregar y proteger los activos de los clientes en su solicitud de licencia MiCA.

El documento debe explicar cómo la organización asegura que los fondos y criptoactivos de los clientes no se utilicen para los intereses propios de la empresa. Debe confirmarse que las carteras en las que se almacenan los activos de los clientes están separadas de las carteras corporativas del solicitante y que los fondos de cada cliente pueden identificarse incluso al utilizar cuentas ómnibus que contienen los activos de varios clientes.

Se presta especial atención al sistema de gestión y protección de las claves criptográficas, incluida la descripción de los procedimientos para crear y almacenar claves, el uso de firmas múltiples y las medidas para garantizar su confidencialidad y resistencia a compromisos.

El solicitante debe describir el procedimiento para procesar los fondos de los clientes: los fondos deben acreditarse en una cuenta de un banco central o institución de crédito a más tardar al final del día hábil siguiente a su recepción y deben mantenerse separados de los fondos propios de la empresa. Si no se planea depositar fondos en un banco central, se deben divulgar los criterios de selección de las instituciones de crédito, la política de diversificación y la frecuencia de revisión de dichas decisiones.

Una parte importante de la solicitud es la descripción de cómo se informa a los clientes sobre los mecanismos de protección de sus activos, incluyendo una explicación de los principios de segregación, la política de almacenamiento de fondos y los procedimientos de seguridad de forma sencilla y comprensible, excluyendo términos técnicos innecesarios.

Esta información confirma que el solicitante cumple con el Artículo 70 de MiCA, protege los derechos de propiedad de los clientes y minimiza el riesgo de pérdidas incluso en caso de dificultades financieras o quiebra de la empresa.

11) Procedimientos de gestión de reclamaciones

La empresa debe confirmar que dispone de un sistema transparente y eficaz para la gestión de reclamaciones de clientes. La solicitud debe describir los recursos, tanto humanos como técnicos, asignados a la gestión de reclamaciones e identificar a la persona responsable de este proceso. El regulador espera que se proporcione un resumen de la educación, formación profesional y experiencia de este empleado, demostrando su capacidad para desempeñar las funciones asignadas.

El solicitante debe demostrar que sus procedimientos cumplen con las normas técnicas establecidas por la Comisión Europea en base al Artículo 71(5) de MiCA y que los clientes tienen la oportunidad de presentar una reclamación de forma gratuita. Es importante describir cómo la organización informa a los clientes sobre esta posibilidad, incluida la colocación de información en el sitio web u otros canales digitales a través de los cuales se prestan los servicios.

Es necesario explicar el procedimiento para registrar las reclamaciones, los plazos para su consideración, investigación y respuesta al cliente, así como los mecanismos para informar a los clientes sobre los recursos legales disponibles. La solicitud describe los principales pasos procesales en la consideración de una reclamación, incluyendo el método y la forma de comunicar la decisión al cliente o potencial cliente que presentó la reclamación.

Dicha descripción demuestra al regulador que el solicitante proporciona una protección adecuada de los derechos del cliente, opera de manera transparente y cuenta con mecanismos para la resolución rápida de conflictos, lo cual es un elemento clave de confianza en un proveedor de servicios de criptoactivos.

12) Política de custodia y administración

La política de custodia y administración de criptoactivos es un elemento obligatorio del paquete de documentos proporcionado por el solicitante conforme al Artículo 62(2)(m) del Reglamento (UE) 2023/1114. Las empresas que planeen proporcionar servicios de custodia y administración de criptoactivos en nombre de los clientes deben presentar a la autoridad supervisora una descripción completa de las soluciones de custodia ofrecidas a los clientes, incluyendo los tipos de custodia, una copia del contrato de servicio estándar y un resumen de la política de custodia comunicada a los clientes conforme a los Artículos 75(1) y 75(3) del Reglamento.

El solicitante debe presentar una política interna de almacenamiento y administración, que identifique los riesgos operativos y TIC asociados al almacenamiento y gestión de criptoactivos o medios de acceso a ellos. La política debe contener una descripción de los procedimientos y medidas para cumplir con los requisitos del Artículo 75(8) del Reglamento, una descripción de los sistemas de control interno y gestión de riesgos, incluidas las disposiciones sobre externalización de funciones de almacenamiento, normas y procedimientos que aseguren el ejercicio de los derechos de los clientes y procedimientos que garanticen la devolución de criptoactivos o medios de acceso.

Además, es necesario describir los mecanismos para identificar criptoactivos y medios de acceso a ellos, así como medidas para minimizar el riesgo de su pérdida. En los casos en que los servicios de almacenamiento y administración se externalicen a un tercero, el solicitante debe proporcionar información sobre la identidad del externalizador, su estatus conforme a los Artículos 59 y 60 del Reglamento, una descripción de las funciones delegadas, una lista de delegados y subdelegados, así como los posibles conflictos de interés que puedan surgir en relación con dicha delegación. También se requiere una descripción del sistema para controlar y supervisar el desempeño de las funciones delegadas.

Este enfoque permite al regulador evaluar la capacidad del solicitante para garantizar un alto nivel de protección de los derechos e intereses de los clientes, una correcta organización de los procesos de almacenamiento, gestión de riesgos operativos y tecnológicos y cumplimiento de los requisitos normativos europeos.

13) Reglas de funcionamiento de la plataforma de negociación y detección de abuso de mercado

Los solicitantes que planeen operar una plataforma de negociación de criptoactivos deben, conforme al Artículo 62(2)(n) del Reglamento (UE) 2023/1114, proporcionar a la autoridad supervisora una descripción completa de las normas de funcionamiento de la plataforma y los mecanismos para prevenir el abuso de mercado. Los materiales presentados deben incluir una descripción de las normas para la admisión de criptoactivos a negociación y el procedimiento de aprobación, incluida la verificación del cliente conforme a la Directiva (UE) 2015/849, así como una lista de categorías de criptoactivos excluidos de la negociación, indicando las razones de dicha exclusión. Se deben divulgar las políticas, procedimientos y tarifas asociadas a la admisión a negociación, así como una descripción de las condiciones de membresía, descuentos y disposiciones relacionadas.

El solicitante debe establecer las normas para la ejecución de órdenes, el procedimiento para su cancelación y el mecanismo para notificar a los participantes del mercado sobre las transacciones canceladas. Deben describirse los procedimientos y métodos utilizados para evaluar la idoneidad de los criptoactivos para la negociación, así como los sistemas y disposiciones implementados para garantizar el cumplimiento del Artículo 76 del Reglamento. Los documentos deben divulgar el procedimiento para publicar precios de compra y venta, datos de profundidad de mercado, así como precios, volúmenes y horarios de las transacciones realizadas para garantizar la transparencia del proceso de negociación.

También se requiere una justificación de la estructura de tarifas y confirmación de su cumplimiento con el Artículo 76(13) del Reglamento, así como una descripción de los sistemas y procedimientos para almacenar los datos de todas las órdenes realizadas y los mecanismos para proporcionar a la autoridad supervisora acceso al libro de órdenes y otra información de negociación. Con respecto a la liquidación de transacciones, el solicitante debe indicar si la liquidación final se realiza en un libro mayor distribuido o fuera de él, el plazo de inicio y finalización de la liquidación, los métodos para verificar la disponibilidad de fondos y criptoactivos, el procedimiento para confirmar los datos de las transacciones y el momento en que la liquidación se considera final.

Se debe prestar especial atención a la descripción de las políticas, procedimientos y sistemas técnicos utilizados para detectar, prevenir y reportar el abuso de mercado. Además de la parte descriptiva, el solicitante debe proporcionar a la autoridad supervisora una copia de las normas de funcionamiento de la plataforma de negociación y los procedimientos internos destinados a prevenir la manipulación y otras violaciones de la integridad del mercado.

14) Intercambio de criptoactivos por efectivo u otros criptoactivos

Los solicitantes que planeen intercambiar criptoactivos por efectivo u otros criptoactivos deben, conforme al Artículo 62(2)(o) del Reglamento (UE) 2023/1114, proporcionar a la autoridad supervisora una descripción completa de su política comercial desarrollada de acuerdo con el Artículo 77(1) del Reglamento. Además, debe divulgarse la metodología para determinar el precio de los criptoactivos a intercambiar, explicando cómo se tiene en cuenta el volumen del mercado y la volatilidad de los activos relevantes en los cálculos. Esta divulgación permite al regulador evaluar la transparencia de la fijación de precios, la protección de los intereses del cliente y el cumplimiento por parte del solicitante de los requisitos de buena práctica comercial en el ámbito del intercambio de criptoactivos.

15) Política de ejecución

Las empresas que tengan la intención de ejecutar órdenes de criptoactivos en nombre de los clientes deben, conforme al Artículo 62(2)(p) del Reglamento (UE) 2023/1114, presentar a la autoridad supervisora su propia política de ejecución que refleje los principios y procedimientos clave para organizar este proceso. La política debe contener disposiciones que confirmen que el cliente ha aceptado los términos de ejecución antes de que se realice o ejecute la orden. Se debe proporcionar una lista de las plataformas de negociación de criptoactivos que el solicitante utilizará al ejecutar órdenes, así como los criterios para seleccionar los lugares de ejecución, formados de acuerdo con el Artículo 78(6) del Reglamento.

La documentación especifica las plataformas de negociación utilizadas para cada tipo de criptoactivo y confirma que el solicitante no obtiene beneficio financiero o no financiero por enviar órdenes a una plataforma en particular. El solicitante debe describir cómo se tienen en cuenta el precio, los costes, la rapidez y la probabilidad de ejecución y liquidación, el tamaño y la naturaleza de la orden, las condiciones de almacenamiento de criptoactivos y otros factores para lograr el mejor resultado posible para el cliente.

Se debe divulgar el procedimiento para informar a los clientes sobre la intención de ejecutar sus órdenes fuera de la plataforma de negociación y el mecanismo para obtener su consentimiento previo, así como una explicación de cómo se notifica al cliente que sus instrucciones específicas pueden limitar la capacidad del solicitante para lograr el mejor resultado posible. La política de ejecución describe los procedimientos para seleccionar los lugares de negociación, las estrategias de ejecución utilizadas, los métodos para analizar la calidad de la ejecución y los mecanismos de control interno que garantizan el cumplimiento de resultados que pueden considerarse óptimos para los clientes.

El solicitante debe presentar medidas para prevenir el uso indebido de la información de las órdenes de los clientes por parte de los empleados, el procedimiento para divulgar información sobre la política de ejecución a los clientes y notificarlos de cualquier cambio significativo en la misma, y describir cómo la organización está preparada para confirmar el cumplimiento de los requisitos del Artículo 78 del Reglamento a solicitud de la autoridad supervisora.

16) Prestación de asesoramiento sobre criptoactivos o gestión de carteras de criptoactivos

Los solicitantes que planeen prestar asesoramiento sobre criptoactivos o gestionar una cartera de criptoactivos deben, conforme al Artículo 62(2)(q) del Reglamento (UE) 2023/1114, proporcionar a la autoridad supervisora una descripción detallada de las medidas adoptadas para garantizar el cumplimiento del Artículo 81(7) del Reglamento. Los materiales presentados deben revelar los mecanismos para supervisar, evaluar y mantener de manera efectiva los conocimientos y la experiencia del personal implicado en la prestación de asesoramiento o la gestión de carteras, así como las medidas para garantizar que dicho personal conozca, comprenda y aplique las políticas y procedimientos internos del solicitante diseñados para cumplir con los requisitos del Reglamento (UE) 2023/1114 y la Directiva (UE) 2015/849.

Además, el solicitante debe especificar la cantidad de recursos humanos y financieros que se prevé asignar anualmente para el desarrollo profesional y la formación del personal implicado en la prestación de asesoramiento o la gestión de carteras de criptoactivos. La documentación debe describir los mecanismos para supervisar y evaluar la competencia de los empleados para garantizar que las personas que prestan asesoramiento en nombre del solicitante tengan los conocimientos y cualificaciones necesarios según los criterios nacionales y sean capaces de evaluar la idoneidad de los clientes conforme al Artículo 81(1) del Reglamento.

Dicha información permite al regulador verificar que la organización cuenta con procedimientos suficientes para mantener un alto nivel de profesionalidad y cumplimiento de los requisitos de protección del cliente al prestar servicios de asesoramiento y gestionar criptoactivos.

17) Servicios de transferencia

Los solicitantes que planeen prestar servicios de transferencia de criptoactivos en nombre de clientes deben, conforme al Artículo 62(2)(r) del Reglamento (UE) 2023/1114, proporcionar a la autoridad supervisora información sobre los tipos de criptoactivos para los que se prestarán dichos servicios, así como una descripción detallada de las medidas que garantizan el cumplimiento del Artículo 82 del Reglamento. La información proporcionada debe revelar los procedimientos y recursos, tanto técnicos como humanos, destinados a la eliminación rápida y eficaz de riesgos en la ejecución de transferencias, incluidos los mecanismos para responder a posibles fallos operativos y amenazas cibernéticas.

Si existe una póliza de seguro, el solicitante debe describir su contenido, especificando el alcance de la cobertura por daños a los criptoactivos de los clientes que puedan derivarse de incidentes de ciberseguridad. Además, es necesario explicar cómo se informa a los clientes sobre las políticas internas, procedimientos y acuerdos aplicados al prestar servicios de transferencia de criptoactivos para garantizar transparencia y comprensión de los riesgos por parte de los usuarios.

Revisión de la solicitud MiCA

La solicitud de licencia conforme al Reglamento (UE) 2023/1114 (MiCA) es un procedimiento formalizado destinado a garantizar estándares uniformes para que las empresas presten servicios de criptoactivos en la Unión Europea. El Reglamento (UE) 2025/306 establece formularios y procedimientos uniformes para la presentación de documentos, así como los procedimientos de interacción entre el solicitante y la autoridad competente. Tras la presentación de la solicitud, la autoridad competente debe confirmar su recepción y comenzar a verificar la integridad de la información proporcionada. Conforme al Artículo 63(2) del Reglamento MiCA, el plazo para dicha verificación no puede superar los 25 días hábiles desde la fecha de recepción de la solicitud y el pago de la tasa administrativa. Si se detectan deficiencias o falta de información obligatoria, el regulador notificará al solicitante la necesidad de subsanarlas. Los datos corregidos o complementados deben presentarse dentro de los plazos establecidos, y el período de revisión comenzará nuevamente desde la fecha de recepción.

Se presta especial atención al idioma de los documentos presentados. Según la Parte 1 del Artículo 16 del Código de Procedimiento Civil del estado en el que se presenta la solicitud, todos los materiales deben redactarse en el idioma oficial de la jurisdicción correspondiente. Esta regla se aplica tanto al texto de la solicitud en sí como a los documentos acompañantes, incluidos programas de actividad, políticas internas, informes financieros y otra información. Por lo tanto, la presentación exitosa de una solicitud de licencia MiCA requiere cumplir con los procedimientos formales, el pago oportuno de las tasas, la correcta preparación de los documentos y su conformidad con los requisitos de idioma. Preparar una solicitud con estas condiciones en mente asegura un proceso más previsible de interacción con el regulador y minimiza el riesgo de retrasos en la etapa de verificación de la integridad de la información.