Ultima revision
10 de julio de 2026
Fuente
finReg360
El dato relevante no es que una fintech quiera cobrar con ‘stablecoins’. Eso lleva años intentándose. Lo relevante es que el Banco de España haya autorizado a Crossmint para operar pagos con ese instrumento dentro de un perímetro regulado. Ahí cambia la conversación: ya no estamos ante la típica demo cripto con aroma a PowerPoint, sino ante una señal de que el supervisor español empieza a aceptar que ciertos flujos basados en activos digitales pueden convivir con las reglas de pago de siempre, siempre que entren por la puerta correcta.
La noticia, adelantada por finReg360, merece algo más que el titular fácil. Porque la autorización no significa barra libre para pagar en cripto, no convierte cualquier token en dinero electrónico y tampoco elimina la tensión entre la normativa de pagos, la disciplina prudencial, las exigencias de prevención de blanqueo y el nuevo marco europeo de criptoactivos. Lo que hace, en realidad, es algo más interesante: obliga a separar la espuma del caso de uso real.
Y esa separación importa. Mucho. Para fintechs, para bancos, para adquirentes, para comercios y para equipos de compliance que llevan dos años escuchando promesas sobre pagos programables y liquidación instantánea sin tener claro dónde empieza el producto y dónde acaba el problema regulatorio.
Con la información pública disponible, la autorización a Crossmint debe leerse como una habilitación para prestar servicios de pago vinculados a operativa con ‘stablecoin’, no como un reconocimiento de la ‘stablecoin’ como sustituto pleno del euro bancario. Esa diferencia jurídica no es un matiz para juristas aburridos. Es el núcleo del asunto.
En España, la prestación de servicios de pago está sujeta a la Ley 16/2009, de servicios de pago, y a su desarrollo reglamentario, además del marco europeo de la PSD2, formalmente la Directiva (UE) 2015/2366. El supervisor nacional para entidades de pago y determinadas entidades de dinero electrónico es el Banco de España. Si una firma obtiene autorización, entra en el circuito de requisitos de gobierno, salvaguarda de fondos, control interno, externalización, seguridad y supervisión continuada.
Ahora bien, una cosa es prestar un servicio de pago y otra emitir un activo de referencia, custodiar criptoactivos, ejecutar órdenes sobre criptoactivos o prestar un servicio de intercambio cripto-fiat. Esos bloques, desde la entrada en aplicación progresiva de MiCA, tienen reglas propias. El Reglamento (UE) 2023/1114, conocido como MiCA, estableció el régimen para emisores de tokens referenciados a activos, tokens de dinero electrónico y proveedores de servicios sobre criptoactivos. Y precisamente ahí está una de las claves del caso Crossmint: el mercado empieza a buscar estructuras híbridas donde una capa cae bajo pagos y otra bajo criptoactivos.
Si tu despacho jurídico te dice que eso es “un ecosistema convergente”, desconfía un poco. Traducido al castellano llano: puede haber dos licencias, dos supervisores interesados y tres equipos de cumplimiento discutiendo sobre el mismo flujo de fondos.
El gran error de análisis en esta clase de noticias consiste en hablar de “stablecoin” como si fuera una categoría uniforme. No lo es. MiCA distingue entre, al menos, dos tipos con implicaciones muy distintas: los asset-referenced tokens y los e-money tokens. La diferencia no es semántica. Cambia quién puede emitirlos, cómo deben respaldarse y qué uso de pago resulta regulatoriamente más natural.
Los tokens de dinero electrónico, bajo MiCA, están pensados para mantener un valor estable referenciado a una única moneda oficial. Ahí es donde un token vinculado al euro encaja mejor para casos de uso de pago, precisamente porque se parece más a una representación digital de dinero que a un criptoactivo especulativo con maquillaje de estabilidad. MiCA dedica a estos tokens un tratamiento específico y remite además a la disciplina de dinero electrónico. Si una empresa quiere construir pagos recurrentes o checkout con un token estable, el tipo de token importa tanto como la interfaz del producto. Quizá más.
Eso significa que cuando el Banco de España autoriza una operativa con ‘stablecoin’, la pregunta no debería ser “¿ha validado el regulador las cripto?”. La pregunta correcta es otra: “¿qué clase de instrumento se usa, cómo se redime, quién soporta el riesgo de desajuste y qué parte del flujo sigue denominándose en moneda fiduciaria?”
Aquí está el quid. Si el usuario paga con un token estable pero el comercio recibe euros, el riesgo operativo, de liquidez y de tipo de activo no se reparte igual que en un pago cerrado íntegramente en cripto. Si además hay conversión instantánea, la promesa comercial de “pagos con stablecoin” puede esconder una realidad menos épica: una infraestructura de aceptación que usa el token solo como rail intermedio. Lo cual, dicho sea de paso, no es malo. A veces la innovación útil consiste precisamente en quitarle romanticismo al producto.
El calendario regulatorio explica bastante. MiCA ya no es un proyecto futurista de Bruselas. En 2026, es una pieza operativa del tablero regulatorio europeo. Los emisores y proveedores de servicios sobre criptoactivos se están reordenando, las autoridades nacionales han tenido que aterrizar competencias y el mercado empieza a entender algo elemental: sin encaje institucional, no hay escala.
España, además, no se mueve en el vacío. La Autoridad Bancaria Europea ha reforzado en los últimos meses su mensaje sobre gobernanza, reservas y gestión de riesgos para instrumentos vinculados a pagos digitales. La ESMA, por su parte, mantiene su presión sobre la comercialización de criptoactivos a minoristas y sobre la necesidad de evitar confusión entre activos regulados y no regulados. El resultado es un entorno menos tolerante con las zonas grises.
Eso vuelve más valiosa cualquier autorización formal. No porque haga desaparecer la complejidad, sino porque reduce una parte de la incertidumbre jurídica. Para un proveedor que quiera trabajar con comercios, PSP, procesadores o plataformas, poder enseñar una autorización del Banco de España cambia la conversación con clientes institucionales, con bancos corresponsales y con socios de infraestructura. Sin ella, muchos proyectos mueren antes del piloto. Con ella, al menos llegan a la due diligence.
Y la due diligence, por si alguien aún tenía dudas, sigue siendo el deporte favorito del sector financiero.
La noticia interesa también porque condensa cuatro capas regulatorias que en la práctica suelen gestionarse por separado y luego chocan en producción.
La primera capa es la de pagos. PSD2 y la normativa nacional exigen requisitos de autorización, control interno, seguridad, salvaguarda de fondos y, en muchos casos, autenticación reforzada. Aunque la futura PSD3 y el paquete PSR siguen redefiniendo el marco europeo, la lógica de fondo no cambia: quien mueve dinero de terceros necesita controles sólidos y trazabilidad.
La segunda es MiCA. Si en la operativa intervienen criptoactivos regulados, servicios de custodia, intercambio o ejecución, la arquitectura de cumplimiento tiene que cuadrar con las obligaciones del Reglamento (UE) 2023/1114. Y cuadrar no significa pegar dos políticas PDF y esperar que nadie haga preguntas. Significa tener funciones, responsables y flujos de control coherentes.
La tercera es prevención de blanqueo de capitales. Aquí la tensión es obvia. El relato comercial de parte del mundo cripto ha girado durante años alrededor de la fricción mínima; el relato supervisor gira alrededor de identificar al cliente, monitorizar patrones, detectar operaciones sospechosas y poder reconstruir el rastro. En España eso aterriza, entre otras normas, en la Ley 10/2010 y su reglamento. Si el producto promete onboarding casi invisible y liquidación instantánea transfronteriza, compliance va a pedir explicaciones. Y con razón.
La cuarta capa es DORA. Desde el 17 de enero de 2025, el Reglamento (UE) 2022/2554 es aplicable a entidades financieras incluidas en su ámbito. Si una entidad regulada integra soluciones de pago con ‘stablecoin’ a través de terceros tecnológicos, entran en juego de lleno las exigencias sobre gestión del riesgo TIC, clasificación y reporte de incidentes, pruebas de resiliencia y, sobre todo, terceros proveedores de servicios TIC. DORA art. 28 y siguientes no están para decorar presentaciones. Si el rail innovador depende de APIs, custodia, nodos, oráculos o proveedores cloud críticos, la pregunta no es si hay externalización; la pregunta es si la entidad la ha cartografiado de verdad.
Y aquí aparece una ironía bastante seria: algunos proyectos venden descentralización, pero operan con una cadena de dependencias tecnológicas que haría sonrojar al más clásico de los outsourcings bancarios.
Conviene mirar el caso desde la utilidad económica. Las ‘stablecoins’ en pagos no compiten de verdad por sustituir la tarjeta en el café de la esquina. Compiten por tres cosas mucho más concretas: liquidación más rápida, pagos transfronterizos con menos fricción y programabilidad del flujo de cobro.
El primer caso de uso es la liquidación. Las redes tradicionales de pago siguen implicando ventanas de compensación, intermediarios y costes acumulados, sobre todo cuando hay jurisdicciones distintas, divisas distintas o plataformas globales de por medio. Una estructura que use ‘stablecoins’ puede reducir tiempos de conciliación o facilitar disponibilidad de fondos. No siempre lo hace, pero esa es la promesa real.
El segundo es el pago internacional. Ahí sí existe un dolor operativo claro: comercios digitales, ‘marketplaces’, creadores, plataformas SaaS o negocios con usuarios globales soportan comisiones, retrasos y rechazos por motivos de país, banco o rail. Si una solución regulada permite que un cliente pague con un activo estable y el receptor cobre de forma más previsible, hay una propuesta comercial tangible.
El tercero es la programabilidad. Pagos condicionados, desembolsos automáticos, micropagos, reparto entre múltiples beneficiarios o activación de derechos digitales. Este terreno ha sido inflado por el marketing, sí, pero no es ficción. Lo que ocurre es que casi siempre necesita una capa contractual, fiscal y de custodia mucho más mundana de lo que sugieren los evangelistas del token.
Por eso la autorización importa para algo más que para titulares. Permite empezar a probar modelos donde el valor no está en “pagar con cripto” como gesto identitario, sino en rediseñar procesos de cobro y liquidación. Menos épico. Más útil.
Sería un error leer el movimiento del Banco de España como una certificación general de seguridad, estabilidad financiera o neutralidad regulatoria de las ‘stablecoins’. No es eso.
No resuelve, por ejemplo, el riesgo de contraparte asociado al emisor del token o a su estructura de reservas. Si el modelo depende de un token emitido por un tercero, la calidad de la reserva, los derechos de reembolso, la jurisdicción aplicable y la exposición a eventos de mercado siguen importando. MiCA ha intentado ordenar este terreno, pero la gestión prudente no desaparece porque exista un reglamento.
Tampoco resuelve el riesgo operacional de la cadena técnica. Carteras, smart contracts, proveedores de custodia, integraciones API, motores de conversión, herramientas de análisis blockchain y servicios cloud forman una superficie de dependencia nada trivial. Si una parte cae, el comercio no quiere un seminario sobre innovación; quiere saber por qué no puede cobrar.
Ni resuelve, por supuesto, la cuestión fiscal. El tratamiento contable y tributario de ciertas operaciones con criptoactivos, conversiones, comisiones en especie o eventos de red sigue siendo un área donde la letra pequeña importa bastante más que el discurso comercial.
Y hay un cuarto punto: la experiencia de usuario. En pagos, la mejor tecnología suele ser la que el cliente ni nota. Si para comprar un producto hay que entender wallets, redes, gas, direcciones y riesgo de error irreversible, el mercado masivo se esfuma. Las soluciones que pueden escalar son las que esconden esa complejidad sin romper el cumplimiento. Ahí está el trabajo duro.
Para bancos, entidades de pago, entidades de dinero electrónico y fintechs españolas, la autorización a Crossmint es una señal competitiva antes que una revolución normativa. No cambia por sí sola las reglas del juego, pero sí cambia la presión para tomar una postura.
La primera implicación es estratégica. Si tu entidad había aparcado el tema de los pagos con activos digitales como una excentricidad de laboratorio, ya no basta con mirar desde la barrera. Una autorización formal del supervisor nacional convierte el asunto en una opción regulada que otros pueden explotar comercialmente. No obliga a entrar, pero obliga a decidir por qué no entras.
La segunda es de arquitectura de producto. Las entidades tendrán que distinguir entre tres modelos muy distintos: aceptar ‘stablecoins’ como método de pago del cliente, usar ‘stablecoins’ solo como rail de liquidación en segundo plano o emitir/participar en estructuras vinculadas a tokens de dinero electrónico. Cada uno activa obligaciones y riesgos diferentes. Mezclarlos en una sola presentación para el comité de producto es una receta excelente para perder seis meses.
La tercera es de terceros. Si una entidad regulada quiere ofrecer estos servicios apoyándose en un proveedor como Crossmint, deberá revisar con lupa contratación, SLA, derecho de auditoría, subcontratación en cadena, localización de datos, continuidad de negocio y salida ordenada. DORA aprieta aquí más de lo que algunos esperaban. La entidad financiera no puede externalizar el servicio y, de paso, externalizar la responsabilidad. Bonito intento, pero no funciona así.
La cuarta es de fraude y sanciones. Los flujos transfronterizos, la posibilidad de usar wallets externas y la interacción con infraestructuras globales exigen controles reforzados en screening de sanciones, análisis transaccional y detección de patrones anómalos. El fraude no desaparece con blockchain; cambia de forma. A veces, además, se vuelve más rápido que el comité de riesgos.
La quinta es reputacional. Si una entidad lanza pagos con ‘stablecoin’ sin explicar bien qué hace exactamente, se expone a dos críticas opuestas y simultáneas: para unos, ha abrazado demasiado el riesgo cripto; para otros, está vendiendo “cripto” cuando en realidad ofrece una experiencia cerrada y muy mediada. Ambas críticas pueden convivir. El truco está en no prometer lo que el producto no es.
Hay una tentación recurrente en el sector: tratar la innovación en pagos como un tema de negocio primero, legal después y resiliencia al final. En 2026, eso ya no cuela. Si el cliente final es una entidad financiera o si el servicio se integra en una cadena financiera regulada, DORA condiciona el diseño desde el principio.
El Reglamento (UE) 2022/2554 exige, entre otras cosas, un marco interno de gestión del riesgo TIC, inventario de activos, mecanismos de protección y prevención, detección, respuesta y recuperación. El art. 11 obliga a contar con marcos sólidos de continuidad y recuperación TIC. El art. 17 y siguientes abordan gestión, clasificación y notificación de incidentes. El art. 24 y siguientes cubren pruebas de resiliencia digital operativa. Y el capítulo V, desde el art. 28, entra de lleno en la gestión del riesgo de terceros proveedores de servicios TIC.
¿Qué implica eso en una solución de pagos con ‘stablecoin’? Cosas muy concretas:
Esto enlaza con una verdad incómoda: buena parte del discurso cripto sobre desintermediación choca con la realidad de DORA, que exige saber quién hace qué, dónde están los puntos de fallo y cómo se gobiernan. La innovación regulada no elimina la cadena de dependencia; la documenta con mucho más detalle.
MiCA se vendió a menudo como la gran respuesta europea al caos cripto. Y en parte lo es. Establece categorías, requisitos de autorización, obligaciones de conducta, reglas de white paper y disciplina para emisores y proveedores. Eso ya es bastante más que el mosaico anterior. Pero pensar que simplifica el negocio sería ingenuo.
Lo que MiCA hace es convertir muchas ambigüedades en tareas concretas. Si operas con tokens de dinero electrónico, tienes que mirar exigencias de emisión, reembolso y reservas. Si prestas servicios sobre criptoactivos, necesitas encaje autorizatorio, gobierno y salvaguarda. Si te relacionas con clientes minoristas, la información precontractual y la claridad sobre riesgos pasan a ser terreno supervisable.
En el caso de un proveedor de pagos con ‘stablecoin’, el efecto real de MiCA es que ya no basta con ser tecnológicamente hábil. Hay que ser institucionalmente legible. Los bancos no integran cajas negras regulatorias. Los comercios grandes tampoco, salvo que les apetezca descubrir el problema por la vía sancionadora.
Y no conviene olvidar la dimensión transfronteriza. Una de las promesas de estas soluciones es operar a escala europea o global. Ahí la autorización nacional ayuda, pero no sustituye la necesidad de analizar pasaporte, servicios concretos, relación con otras autoridades competentes y exigencias del país de destino. Europa armoniza, sí. También multiplica el número de artículos que hay que leer con café fuerte.
Si trabajas en una entidad que valora integrar pagos con ‘stablecoin’, la discusión útil no empieza preguntando si “esto tiene futuro”. Empieza con un examen de viabilidad regulatoria y operativa bastante más terrenal.
El director de pagos debería pedir una descripción exacta del flujo: quién inicia, quién custodia, en qué momento se convierte a fiat, quién asume el riesgo de volatilidad residual, cuál es el SLA de liquidación y qué ocurre si la red subyacente se congestiona o se detiene. Sin ese mapa, no hay producto; hay fe.
Compliance tiene que revisar la clasificación del servicio, el encaje entre licencia de pagos y posibles actividades MiCA, la política de admisión de clientes, las reglas de screening, la monitorización de transacciones, la trazabilidad de fondos y la redacción comercial al cliente. Aquí hay una línea roja clara: no presentar como “saldo seguro” o equivalente a depósito algo que no lo es.
El CISO, por su parte, debe exigir visibilidad sobre claves, custodia, segregación de entornos, respuesta a incidentes, telemetría, gestión de vulnerabilidades, dependencia cloud y continuidad. Si hay smart contracts propios o de terceros, toca auditoría técnica. Si hay wallets MPC o HSM, toca entender el modelo de amenaza. Y si el proveedor responde con frases vaporosas sobre descentralización, toca insistir hasta que aparezcan los controles reales.
En paralelo, riesgos y auditoría interna deberían preguntar por escenarios de fallo. No solo ciberincidentes. También suspensión de un token, problemas de liquidez del emisor, eventos de sanciones, errores de reconciliación, divergencias de precio y litigios sobre reembolso. El mejor momento para formular esas preguntas es antes del contrato, no después del primer incidente.
Durante años, España ha observado el mundo cripto con una mezcla de cautela razonable y lentitud administrativa bastante previsible. La autorización a Crossmint no convierte al país en un laboratorio salvaje ni en un campeón europeo del token. Lo que sí sugiere es algo más útil: el supervisor está dispuesto a dejar entrar modelos concretos si llegan con estructura, licencia y una narrativa regulatoria defendible.
Esa señal puede atraer a otras fintechs que hasta ahora operaban desde otras jurisdicciones o mantenían a España en lista de espera. También puede presionar a proveedores nacionales a acelerar sus propuestas de valor en pagos internacionales, checkout digital y liquidación para plataformas. En un mercado donde los márgenes de pago tradicional son cada vez más estrechos, cualquier ventaja en coste, velocidad o experiencia merece atención.
Pero la señal tiene otra lectura menos festiva. El listón de ejecución va a subir. Una vez que existe un caso autorizado, el supervisor y el mercado tendrán un referente. Quien llegue después con un modelo menos robusto, controles más débiles o una tesis más difusa tendrá más difícil esconderse detrás del argumento de “esto es muy nuevo”. En 2026 ya no lo es tanto.
La respuesta honesta es que todavía no está decidida. Hay razones para pensar que las ‘stablecoins’ pueden consolidarse como rail de nicho muy eficiente en segmentos concretos: comercio digital global, pagos B2B transfronterizos, liquidación entre plataformas, economía de creadores o flujos programables. También hay razones para dudar de su salto al consumo masivo generalista, donde las tarjetas, las transferencias inmediatas y las futuras mejoras del marco europeo de pagos siguen siendo formidables competidores.
La autorización a Crossmint no resuelve esa disputa, pero sí cambia la calidad del experimento. Pasa de la periferia a un entorno regulado. Y eso, en finanzas, es la diferencia entre una promesa interesante y un proyecto que puede sobrevivir a la primera reunión seria con riesgo, auditoría y el banco liquidador.
Mi lectura es bastante clara: no estamos ante una coronación de las ‘stablecoins’, pero sí ante una normalización parcial de su uso en pagos cuando el producto se diseña alrededor del cumplimiento y no contra él. Parece una obviedad. En este sector, sorprendentemente, no lo era.
Para las entidades españolas, el mensaje no es “corran todos a lanzar un token”. El mensaje es más sobrio y probablemente más útil: revisen dónde hay fricción real en cobros y liquidación, evalúen si un rail basado en ‘stablecoin’ la reduce de forma medible y exijan al proveedor una arquitectura regulatoria y técnica que aguante una revisión seria. Si no aguanta esa revisión, no hay innovación; hay un incidente esperando fecha.
El Banco de España, con esta autorización, no se ha vuelto criptoevangelista. Ha hecho algo más propio de un supervisor maduro: reconocer que ciertos modelos pueden operar si aceptan las reglas del sistema. Para Crossmint es una oportunidad. Para el resto del mercado, un aviso. La fiesta de las palabras grandilocuentes se acaba cuando llega la licencia. Y, francamente, ya iba siendo hora.
Guía de referencia
Todo sobre Cyber Resilience Act: artículos, obligaciones y plazos
Resumen semanal gratis
Suscríbete al resumen semanal y te avisamos de cada cambio en CRA: productos con elementos digitales y obligaciones del fabricante.
¿Necesitas priorizar acciones ya? Empieza un GAP Assessment CRA.
Es el proceso de vigilar de forma continua los cambios normativos y las vulnerabilidades relevantes, y traducirlos en acciones concretas para los equipos de seguridad, riesgo y compliance.
Una vulnerabilidad explotada puede activar obligaciones de notificación o gestión de riesgo (por ejemplo en DORA, NIS2 o el CRA). Mapear la amenaza al marco aplicable permite priorizar la respuesta.
Un GAP Assessment evalúa tu madurez por control frente al marco elegido (DORA, NIS2, ISO 27001, etc.) y produce un plan de acción con brechas priorizadas.