Ultima revision
8 de julio de 2026
Fuente
finReg360
La noticia, leída deprisa, parece menor: Bit2Me ha recibido autorización del Banco de España para prestar servicios de pago basados en tokens de dinero electrónico. Pero aquí no estamos ante una nota burocrática más. Lo que acaba de ocurrir es una señal bastante nítida de hacia dónde se mueve el mercado español de criptoactivos regulados en 2026: menos discurso sobre “adopción” y más infraestructura con permisos, supervisión y responsabilidades de verdad.
Dicho sin rodeos: cuando una plataforma cripto obtiene luz verde para operar pagos con un instrumento que se parece funcionalmente al dinero electrónico tokenizado, el debate deja de ser si los criptoactivos pueden convivir con el sistema financiero regulado. La pregunta pasa a ser otra: quién va a capturar el negocio, bajo qué licencia y con qué carga operativa, prudencial y tecnológica.
Y eso sí interesa a bancos, entidades de pago, fintech, equipos de compliance y CISOs. Porque no va solo de Bit2Me. Va de la convergencia entre MiCA, PSD2, EMD2 —hasta que llegue PSD3 con todo su acompañamiento normativo—, prevención de blanqueo, gobierno de terceros y resiliencia operativa bajo DORA. Un combo regulatorio que suena menos glamuroso que la palabra “token”, pero que decide quién puede escalar y quién acaba atrapado en una demo elegante sin negocio regulado detrás.
La autorización del Banco de España importa por tres razones concretas.
La primera: legitima un caso de uso. En Europa se ha hablado mucho del potencial de los stablecoins y del dinero tokenizado para pagos, tesorería y liquidación. Hablar sale barato. Conseguir autorización supervisora para ofrecer servicios de pago con tokens de dinero electrónico ya es otra historia. Ahí entran controles sobre fondos, salvaguarda, gobernanza, externalización, seguridad y trazabilidad.
La segunda: reduce la distancia entre cripto regulado y pagos regulados. MiCA distingue, entre otras categorías, los electronic money tokens o EMT, definidos en el artículo 3, apartado 1, punto 7, del Reglamento (UE) 2023/1114. Son criptoactivos que pretenden mantener un valor estable referenciado a una única moneda oficial. No es casualidad que esa categoría se parezca tanto, en su lógica económica, al dinero electrónico. De hecho, MiCA exige que los EMT solo puedan ser emitidos por una entidad de crédito o por una entidad de dinero electrónico autorizada, como recogen sus artículos 48 y siguientes.
La tercera: abre competencia regulada en un espacio que hasta hace nada estaba dominado por dos extremos igual de poco útiles. Por un lado, experimentos cripto con entusiasmo comercial y poca densidad regulatoria. Por otro, incumbentes esperando a que todo estuviera clarísimo, como si el mercado fuese a mandarles una invitación por correo certificado. La autorización a Bit2Me sugiere que el terreno intermedio ya no es teórico.
La ironía del momento es evidente: durante años parte del sector insistió en que la gran virtud de los criptoactivos era escapar del perímetro financiero tradicional. Ahora el valor diferencial empieza precisamente cuando consigues entrar en ese perímetro y sobrevivir a la documentación, la supervisión y las exigencias de control. Resulta que la licencia sí importaba. Vaya sorpresa.
Conviene ordenar conceptos, porque el mercado mezcla términos con una alegría que luego suele acabar en reuniones tensas con legal y compliance.
En la UE, los EMT quedan regulados por MiCA. El núcleo está en el Título IV del Reglamento (UE) 2023/1114. Su diseño pretende evitar uno de los viejos problemas del ecosistema: llamar “estable” a cosas que solo eran estables mientras nadie miraba demasiado. Para los EMT, MiCA exige requisitos de emisión, white paper, derechos de reembolso y reservas, además de reglas de conducta y supervisión. El artículo 54, por ejemplo, reconoce el derecho de los titulares a reclamar el reembolso en cualquier momento y al valor nominal del EMT frente al emisor.
Ahora bien, una cosa es emitir o usar un EMT y otra prestar un servicio de pago. Ahí aparece la normativa de servicios de pago, hoy anclada en la Directiva (UE) 2015/2366, PSD2, transpuesta en España, y el régimen de dinero electrónico de la Directiva 2009/110/CE, EMD2. Aunque el paquete PSD3/PSR lleva tiempo sobre la mesa europea, el ecosistema sigue operando en 2026 con una arquitectura en transición. Eso obliga a las entidades a mapear con bastante cuidado qué actividad exacta realizan: emisión, custodia, ejecución de órdenes de pago, adquisición, transferencias, salvaguarda de fondos o una combinación de varias.
El punto fino está aquí: un token de dinero electrónico puede ser el instrumento tecnológico o jurídico-económico que representa valor monetario; pero la prestación de servicios de pago sobre ese token activa obligaciones adicionales que no se agotan en MiCA. Si una entidad mueve fondos de clientes, ejecuta pagos o facilita aceptación comercial, el análisis no termina en el white paper del token. Empieza otro capítulo: licencias, segregación, autenticación reforzada cuando proceda, gestión del fraude, reporting y mecanismos de reclamación.
Por eso la autorización a Bit2Me no debe leerse como un guiño abstracto a la innovación. Es la constatación de que el supervisor está dispuesto a permitir modelos donde la tokenización no reemplaza al marco regulatorio de pagos, sino que se incrusta dentro de él.
Y ese matiz cambia el tablero. Porque deja menos espacio a narrativas de “somos tecnología, no finanzas” cuando el producto se parece cada vez más a un servicio financiero de manual.
En España, el Banco de España no es un actor decorativo en esta materia. Supervisa, entre otras, a entidades de pago y entidades de dinero electrónico inscritas o autorizadas conforme al marco nacional derivado de PSD2 y EMD2. Cuando una innovación toca pagos, fondos de clientes o dinero electrónico, la conversación regulatoria aterriza tarde o temprano ahí.
Su autorización tiene valor por una razón que a veces se olvida en el ruido comercial: es un filtro ex ante. Antes de que el producto escale, la entidad debe demostrar que puede operar con una arquitectura de control suficiente. Eso suele implicar, como mínimo, políticas de gobierno interno, procedimientos AML, acuerdos de externalización, gestión de incidentes, continuidad, seguridad de la información, evaluación de proveedores y mecanismos de protección al cliente.
No estamos ante una certificación de que el modelo sea invulnerable o perfecto. Ningún supervisor firma eso. Pero sí ante una constatación de que, a la fecha de autorización, la entidad ha superado un umbral de viabilidad regulatoria. En un sector donde abundan los anuncios inflados y escasean las autorizaciones que permiten negocio recurrente, esa diferencia es material.
También pesa el momento. En 2026, la supervisión europea sobre criptoactivos ya no está en fase de tanteo. MiCA ha cambiado la conversación. Los reguladores nacionales y europeos no están preguntando si deben mirar este mercado; están decidiendo cómo aplicarle expectativas equivalentes a las de otras actividades financieras cuando los riesgos son comparables. Protección del consumidor, estabilidad, operativa, gobernanza. Los cuatro clásicos. Solo que ahora viajan en token.
Si tu entidad está mirando esta noticia y pensando únicamente en producto, se está dejando lo más caro fuera de la foto. El reto no es construir un token ni integrar una wallet. El reto es sostener un modelo de pagos tokenizados bajo estándares regulatorios y operativos que aguanten inspección, auditoría y un incidente serio.
Ahí entra DORA de lleno. El Reglamento (UE) 2022/2554 aplica desde el 17 de enero de 2025 a entidades financieras cubiertas, incluidas distintas categorías del sector de pagos. Sus exigencias no son teóricas: gestión del riesgo de las TIC (artículos 5 a 16), notificación de incidentes graves relacionados con TIC (artículos 17 a 23), pruebas de resiliencia operativa digital (artículos 24 a 27) y gestión del riesgo de terceros proveedores de servicios TIC (artículos 28 a 44).
Si un servicio de pagos basados en EMT depende de custodios, proveedores cloud, herramientas de análisis blockchain, servicios de KYC, motores antifraude, APIs bancarias y proveedores de mensajería o autenticación, la cadena de terceros puede ser más larga que el discurso comercial que promete “simplicidad”. DORA no prohíbe esa complejidad. Pero obliga a gobernarla. El artículo 28 exige una estrategia sobre riesgo de terceros TIC y el mantenimiento de un registro de información contractual. El artículo 30 establece elementos clave que deben incorporarse en los contratos con proveedores TIC, desde descripciones claras del servicio hasta derechos de acceso, inspección y terminación.
Aquí está el detalle que muchos subestiman: en pagos tokenizados, una interrupción no solo genera un problema técnico. Puede convertirse al mismo tiempo en incidente de continuidad, evento de protección al consumidor, exposición AML, incumplimiento contractual con comercios y, en ciertos casos, incidente notificable. Una sola caída puede activar media docena de obligaciones cruzadas.
La promesa de “24/7, instantáneo y programable” queda preciosa en la presentación comercial. Luego llega el comité de riesgos y pregunta algo bastante menos poético: “¿Quién responde si el proveedor de custody falla en sábado, si hay divergencias de balance entre ledger interno y blockchain, o si un comerciante reclama fondos no abonados?” Y ahí se acaba la magia de PowerPoint.
La autorización de pagos con tokens de dinero electrónico también debe leerse desde prevención de blanqueo. Porque cuando un activo pretende circular como medio de pago, la preocupación regulatoria se desplaza desde la mera negociación de criptoactivos hacia el origen de fondos, la trazabilidad de las transacciones, la identificación de intervinientes y el control de patrones sospechosos.
En la UE, el paquete AML sigue endureciendo el perímetro, y el Reglamento (UE) 2023/1113 —la llamada “travel rule” aplicada a transferencias de fondos y determinados criptoactivos— obliga a que los proveedores de servicios de criptoactivos recopilen y transmitan información sobre originador y beneficiario. Para operativas que mezclan pagos y criptoactivos, la fricción entre experiencia de usuario y cumplimiento es muy real. No basta con “tener KYC”. Hay que demostrar calidad de datos, monitorización, screening, gestión de alertas y capacidad de bloqueo o escalado.
Si, además, el producto busca adopción comercial, la entidad debe resolver algo que suele ocultarse bajo la alfombra: cómo distinguir entre una transferencia técnicamente válida y una operación comercialmente liquidada, AML-compliant y contablemente reconciliada. Son tres cosas distintas. Y cuando no se separan bien, aparecen disputas, errores de reporting y agujeros de control.
Por eso el valor de una autorización no está solo en el sello del supervisor. Está en que obliga a industrializar procesos que muchos operadores cripto habían tratado como una capa externa o incluso como un peaje molesto. En pagos regulados, AML no es un accesorio. Es parte del producto.
La autorización de Bit2Me lanza una pregunta incómoda al resto del mercado español. No tanto a los actores puramente cripto, que llevan años intentando ganar respetabilidad regulatoria, sino a bancos, emisores de dinero electrónico y entidades de pago tradicionales: ¿van a construir, asociarse o dejar pasar otra capa de la cadena de valor?
Hay tres estrategias visibles.
La primera es la integración vertical: controlar emisión, distribución, onboarding, custodia, aceptación y conciliación. Suena atractivo, pero requiere capital, licencias, talento regulatorio y un músculo operacional poco glamuroso. Funciona si la entidad tiene escala y tolerancia a una supervisión intensa.
La segunda es la alianza: un actor aporta licencia o capacidad de pagos; otro, tecnología, distribución o marca. Es el modelo más probable en muchos casos, precisamente porque reparte complejidad. El problema es que DORA y las reglas de externalización eliminan la fantasía de que subcontratar equivale a descargar responsabilidad. No equivale. Externalizar sigue siendo tu riesgo.
La tercera es esperar a que el mercado madure. Suele presentarse como prudencia. A veces lo es. Otras veces es una forma elegante de llegar tarde. En un mercado regulado emergente, la primera ola no siempre gana, pero aprende antes. Y ese aprendizaje cuenta mucho cuando el supervisor te pide evidencias, no ambición.
Para la banca, el dilema es especialmente fino. El token de dinero electrónico no solo amenaza parte del negocio de pagos; también puede abrir oportunidades en tesorería corporativa, pagos transfronterizos, programabilidad y liquidación entre plataformas. Si se combina con identidad robusta, controles AML y buena integración ERP, el caso de uso corporativo puede acabar siendo más interesante que el retail. Menos ruido, más volumen y mejores márgenes. No es casualidad que tantas pruebas de concepto serias se estén yendo por ahí.
Desde fuera, el usuario puede pensar que esto va de “pagar con cripto”. Error parcial. Si el instrumento es un token de dinero electrónico, el valor diferencial no está necesariamente en la volatilidad ni en la especulación, sino en intentar ofrecer una representación digital transferible de dinero con estabilidad y potencial de automatización.
Para el usuario final, eso puede traducirse en pagos más rápidos, potencial integración con entornos blockchain, liquidación continua y, según el diseño del servicio, nuevas formas de usar saldo digital dentro de ecosistemas concretos. Pero también implica nuevas preguntas: quién custodia, qué derechos de reembolso existen, cómo se tramitan errores o devoluciones, qué ocurre si se bloquea una operación por AML, y si la experiencia de autenticación es comparable a la de un servicio de pago convencional.
Para el comercio, la cuestión es aún más prosaica. Lo que importa no es que el token sea elegante, sino si cobra antes, paga menos, concilia mejor y reduce contracargos o fricciones. Si un comercio debe reeducar a clientes, asumir nuevas integraciones y convivir con un régimen de incidencias mal definido, el incentivo baja de golpe. La tecnología no compite contra el efectivo del folleto de marketing; compite contra sistemas que ya funcionan, con SLA, soporte y marcos de responsabilidad conocidos.
De ahí que esta autorización sea relevante: porque acerca el caso de uso a un entorno donde la propuesta de valor tendrá que demostrarse en operación real, no en narrativa. Los pagos son despiadados con el humo. Si algo falla, el cliente se entera al momento y el comercio también.
Para el ecosistema español, el movimiento tiene implicaciones muy concretas.
La señal no es “todo vale si lleva blockchain”. La señal es otra: si el modelo se encaja dentro del perímetro correcto y la entidad puede sostenerlo con gobernanza, seguridad, salvaguarda y cumplimiento, hay espacio. Eso debería empujar a muchas fintech a revisar si su arquitectura societaria y de licencias sigue teniendo sentido en 2026 o si responde a una etapa anterior del mercado.
Para servicios de pago tokenizados, DORA toca nervios sensibles: inventario de activos TIC, clasificación de funciones críticas, escenarios de pruebas, dependencia de proveedores cloud, acuerdos con custodios y planes de continuidad. Si tu organización aún trata DORA como una carpeta del área legal, esta noticia debería servir de despertador. Mal momento para descubrir que el proveedor que soporta tu wallet no acepta derechos de auditoría suficientes o no define tiempos de recuperación alineados con tu impacto al negocio.
MiCA ha terminado con parte del limbo. Si un competidor regulado empieza a ofrecer pagos apoyados en EMT, el resto del mercado tiene que decidir si desarrolla capacidad propia, si se conecta a terceros o si asume que perderá determinados flujos de negocio. Quedarse quieto también es una estrategia; solo que normalmente beneficia al que sí se mueve.
No basta con mirar una norma. En un despliegue así se cruzan, como mínimo, MiCA, PSD2/EMD2, AML, DORA, protección de datos y, si hay servicios digitales esenciales o ciertas interdependencias, hasta cuestiones que rozan NIS2 a nivel de ecosistema. El resultado práctico es claro: compliance ya no puede trabajar por compartimentos. Hace falta coordinación real entre legal, riesgos, seguridad, operaciones y producto.
Pagos tokenizados significa más datos, más correlación y más superficies de tratamiento. Aunque la conversación pública se centra en el token, la realidad operativa vive en los metadatos: direcciones, identificadores de wallet, IP, geolocalización según el caso, trazas de autenticación, evidencias AML, justificantes de reembolso, logs de fraude, datos de comercios y patrones transaccionales.
Todo eso cae bajo GDPR cuando se refiere a personas identificadas o identificables. Y en pagos, casi siempre acaba siendo identificable por combinación. Los artículos 5 y 25 del Reglamento (UE) 2016/679 importan especialmente: minimización de datos y protección de datos desde el diseño y por defecto. También el artículo 32 sobre seguridad del tratamiento. Si el modelo utiliza analítica blockchain de terceros, motores de scoring o herramientas antifraude entrenadas con grandes volúmenes de datos, la entidad debe revisar base jurídica, reparto de roles, transferencias internacionales si las hay, retención y transparencia informativa.
Hay además una tensión interesante. Cuanta más trazabilidad quieres para AML y fraude, más datos generas y más compleja se vuelve la gobernanza de privacidad. Resolver esa tensión exige diseño fino, no slogans sobre transparencia o descentralización. El ledger no sustituye a un registro de actividades de tratamiento ni a un análisis de riesgos de privacidad. Sería bonito. No funciona así.
Más allá del titular, la autorización da a Bit2Me tres ventajas competitivas potenciales.
Primero, credibilidad institucional. En un mercado donde muchas propuestas siguen atrapadas entre marketing y prueba piloto, disponer de permiso supervisor para un servicio de pagos añade una barrera de entrada nada trivial. No es imposible de replicar, pero tampoco se improvisa.
Segundo, opcionalidad estratégica. Una vez que una entidad consolida capacidades reguladas en pagos tokenizados, puede explorar más casos de uso: aceptación comercial, remesas, pagos B2B, integración con programas de fidelización, soluciones para marketplaces o conexiones con tesorería corporativa. Cada vertical tendrá su propia dificultad, claro. Pero la base regulatoria y operativa abre puertas.
Tercero, ventaja de aprendizaje. En mercados supervisados, aprender antes suele valer casi tanto como lanzar antes. Cada incidencia, fricción de onboarding, ajuste AML, problema de conciliación o negociación contractual con un proveedor TIC genera conocimiento difícil de copiar desde fuera. Quien opera primero bajo vigilancia regulatoria no solo arriesga más; también acumula inteligencia operacional.
Eso sí, la autorización también eleva el listón interno. Lo que antes podía presentarse como innovación flexible ahora tiene que comportarse como servicio financiero serio. Los reguladores, los clientes y los socios comerciales no juzgan igual a una plataforma experimental que a una entidad autorizada. El margen para el “ya lo afinaremos después” se reduce bastante.
Si diriges compliance, riesgos operacionales o seguridad en una entidad que compite, colabora o se interconecta con este tipo de modelos, hay cinco preguntas que no conviene aplazar.
La primera: ¿tenemos claro qué actividad regulada prestamos exactamente? Parece básico, pero en muchos proyectos híbridos las fronteras entre emisión, custodia, pagos y servicios auxiliares siguen mal definidas. Esa ambigüedad es combustible para problemas supervisores.
La segunda: ¿hemos clasificado bien nuestras dependencias TIC críticas bajo DORA? El artículo 11 exige marcos de continuidad y recuperación, y los artículos 28 a 30 obligan a poner orden serio en terceros. Si el servicio depende de una wallet infrastructure provider, de un custodio, de un motor KYC o de una pasarela de conversión fiat-cripto, la respuesta contractual y operativa debe estar documentada.
La tercera: ¿nuestra función AML entiende de verdad el flujo del producto? No me refiero a recibir un diagrama bonito. Me refiero a saber dónde nace el saldo, cómo circula, qué puntos de control existen, cómo se reconcilian identidades y transacciones, y qué escenarios de abuso son plausibles. Sin eso, los controles serán cosméticos.
La cuarta: ¿hemos resuelto reembolsos, disputas e incidencias desde la óptica de pagos, no solo de blockchain? El usuario no quiere una clase magistral sobre irreversibilidad técnica. Quiere saber si recupera su dinero, en cuánto tiempo y quién responde.
La quinta: ¿el CISO tiene visibilidad suficiente sobre integridad transaccional, gestión de claves, segregación de entornos, monitorización de anomalías y respuesta a incidentes? En servicios tokenizados, la seguridad no se limita al perímetro tradicional. Incluye smart contracts si los hay, pipelines de firma, control de privilegios, reconciliación y dependencias API. Un fallo en cualquiera de esos puntos puede materializarse como pérdida financiera inmediata.
Si alguna de estas preguntas sigue sin respuesta clara, no estás tarde para pensar. Estás tarde para ejecutar.
La autorización a Bit2Me no significa que los pagos con tokens de dinero electrónico vayan a dominar el mercado español este año. Conviene evitar el péndulo habitual: de la exageración utópica al cinismo fácil. Lo que sí sugiere es que la fase de experimentación regulatoria dispersa está dando paso a una fase de despliegue más estructurado.
Eso puede traducirse en al menos cuatro tendencias entre 2026 y 2027.
Una: más solicitudes y estructuras de licencia vinculadas a EMT y servicios de pago relacionados. El mercado tiende a seguir las rutas que el supervisor ya ha mostrado que son transitables.
Dos: mayor presión competitiva sobre entidades de dinero electrónico y de pago que todavía no han definido posición frente a activos tokenizados estables.
Tres: escrutinio supervisor más fino sobre salvaguarda, gobernanza de reservas, externalización, operativa transfronteriza y tratamiento de incidencias. Cuando aparecen primeros autorizados, llega inevitablemente la segunda fase: comprobar quién hace de verdad lo que prometió en el expediente.
Cuatro: más integración entre infraestructura financiera tradicional y rails tokenizados, especialmente en casos B2B y de tesorería. No porque el mercado se vuelva de repente revolucionario, sino porque ciertas eficiencias empiezan a ser defendibles cuando existe base regulatoria suficiente.
La gran incógnita no es tecnológica. Es económica. ¿La combinación de cumplimiento, resiliencia, onboarding y operación permite ofrecer un servicio mejor o más barato que las alternativas existentes? Si la respuesta es sí en verticales concretas, veremos tracción. Si no, tendremos mucha licencia y poco uso. La regulación abre la puerta; no garantiza el product-market fit.
Si hay una conclusión útil, es esta: el mercado de criptoactivos en España ya no se juega solo en exchanges, custodia o narrativa de innovación. Se está desplazando hacia servicios financieros integrados, supervisados y medibles. La autorización de Bit2Me encaja exactamente ahí.
Para algunos será una victoria empresarial. Para otros, una validación del marco regulatorio. En realidad es ambas cosas. Y también es un aviso: la próxima fase del sector exigirá menos épica y más ejecución. Menos promesas sobre descentralización transformadora y más capacidad de demostrar salvaguarda, continuidad, reporting, trazabilidad y atención al cliente cuando las cosas se tuerzan. Porque se torcerán alguna vez. Siempre ocurre.
El supervisor español no está bendiciendo una moda. Está aceptando, con condiciones, que una parte del negocio de pagos puede empezar a operar sobre instrumentos tokenizados dentro del perímetro regulado. Eso es mucho más serio. Y bastante más interesante.
Quien quiera competir en este terreno en 2026 necesita algo más que tecnología: necesita licencia adecuada, arquitectura de control, contratos bien armados, seguridad operativa y estómago para convivir con la supervisión continua. Lo demás es branding.
Bit2Me ha conseguido dar ese paso. Ahora viene lo divertido: demostrar que un servicio autorizado puede convertirse en negocio escalable sin romperse por el camino. Ahí es donde empiezan las noticias que de verdad importan.
Resumen semanal gratis
Suscríbete al resumen semanal y te avisamos de cada cambio en DORA: registro de proveedores ICT, resiliencia operativa y plazos clave.
¿Necesitas priorizar acciones ya? Empieza un GAP Assessment DORA.
DORA (Reglamento UE 2022/2554) aplica a entidades financieras de la UE (bancos, aseguradoras, gestoras, proveedores de servicios de pago, etc.) y a sus proveedores terceros de servicios TIC considerados críticos.
DORA es plenamente aplicable desde el 17 de enero de 2025. Las entidades deben tener implantado su marco de gestión del riesgo TIC, pruebas de resiliencia y la gestión de riesgo de terceros TIC.
Las entidades deben mantener un registro de información de todos los acuerdos contractuales con proveedores de servicios TIC, identificando los que soportan funciones críticas o importantes (art. 28).