Ultima revision
4 de julio de 2026
Fuente
finReg360
La noticia, leída deprisa, parece una más del ecosistema cripto: Bit2Me ha recibido autorización del Banco de España para prestar servicios de pago basados en tokens de dinero electrónico. Leída despacio, la cosa cambia. Mucho.
Porque aquí no estamos hablando de otro exchange que añade una funcionalidad vistosa a su app. Estamos viendo cómo una autoridad nacional empieza a aterrizar, con nombres y apellidos, una de las preguntas más incómodas del mercado europeo en 2026: quién puede convertir un token referenciado a dinero fiat en un instrumento de pago usable de verdad y bajo qué condiciones regulatorias exactas.
Ese es el punto de fondo. El titular menciona a Bit2Me, pero el subtexto habla de MiCA, PSD2, dinero electrónico, gobernanza prudencial, custodia, externalización tecnológica y supervisión española. Y habla también de una realidad menos glamourosa que la retórica habitual del sector: tokenizar dinero no elimina la regulación; normalmente la multiplica.
Si tu entidad financiera, fintech, proveedor de pagos o equipo de compliance sigue tratando los tokens de dinero electrónico como un producto “entre cripto y pagos” que ya se ordenará solo, conviene revisar el mapa. El mapa, a estas alturas de 2026, ya no está en borrador.
La autorización del Banco de España importa por tres razones concretas.
La primera es institucional. En España, el Banco de España supervisa, entre otros, a los proveedores de servicios de pago y entidades de dinero electrónico dentro del marco nacional derivado de PSD2 y de la normativa de dinero electrónico. Cuando una operativa basada en tokens de dinero electrónico recibe luz verde por esta vía, el mensaje es claro: la capa “token” no saca la actividad del perímetro regulado tradicional si lo que hay debajo sigue siendo dinero electrónico o un servicio de pago.
La segunda es europea. Desde la plena aplicación de MiCA, los tokens de dinero electrónico —electronic money tokens o EMT— tienen una definición jurídica propia en la UE. MiCA exige que el emisor de EMT sea una entidad de crédito o una entidad de dinero electrónico autorizada. Ese requisito no es decorativo. Está en el núcleo del régimen. Dicho en castellano llano: no basta con “emitir en blockchain”; hace falta encajar en la legislación financiera de toda la vida, con otra capa encima.
La tercera razón es operativa. Una cosa es emitir o distribuir un activo; otra, muy distinta, es articular pagos con ese activo. Ahí aparecen obligaciones de autenticación, salvaguarda de fondos, gestión de fraude, continuidad operativa, subcontratación tecnológica y prevención de blanqueo. El salto desde “token utilizable” hasta “instrumento de pago supervisado” es exactamente el punto donde muchas narrativas comerciales se desinflan.
Por eso esta autorización merece más atención de la que suele recibir una noticia corporativa. No porque cambie el mercado de la noche a la mañana, sino porque confirma qué carril regulatorio está aceptando el supervisor español para una actividad que el sector ha intentado vender durante años como radicalmente nueva. Nueva, sí. Exenta, ni de broma.
Aquí conviene separar conceptos, porque buena parte de la confusión del mercado nace justo de mezclar etiquetas.
Bajo MiCA, los EMT son criptoactivos que pretenden mantener un valor estable haciendo referencia al valor de una sola moneda oficial. Si el token replica, por ejemplo, un euro, y su estructura jurídica es la de dinero electrónico tokenizado, estamos en esta categoría. No es un detalle terminológico. Tiene consecuencias de autorización, reservas, derechos de reembolso y supervisión.
Eso los distingue de los asset-referenced tokens o ART, que referencian varias monedas, materias primas u otros activos, y desde luego los aleja de los criptoactivos “ordinarios” sin mecanismo de estabilidad. También los diferencia de lo que durante años el mercado llamó “stablecoins” sin demasiado rigor, como si USDC, un token de e-money en la UE y un esquema algorítmico fallido fueran variaciones del mismo fenómeno. No lo son. El colapso de TerraUSD en 2022 dejó esa lección escrita con mayúsculas, aunque al sector le cueste reconocerlo.
En el caso de un EMT, el eje regulatorio no es solo la estabilidad del precio. Es el derecho del titular frente al emisor y la obligación del emisor de mantener la estructura legal y prudencial compatible con dinero electrónico. MiCA, además, conecta esta figura con la legislación de e-money ya existente, no la sustituye mágicamente.
Eso explica por qué el Banco de España entra en escena. Si la actividad de pago descansa sobre instrumentos que, por diseño y función, se aproximan al dinero electrónico tokenizado, el supervisor no lo va a tratar como un simple experimento de Web3 con fuegos artificiales semánticos. Va a mirarlo como lo que es: un servicio financiero con infraestructura nueva y riesgos bastante clásicos.
Los riesgos, por cierto, no son teóricos. Un EMT puede fallar por desajuste de reservas, por errores de redención, por incidentes de custodia, por fallos en smart contracts, por dependencia excesiva de un tercero cloud o por brechas AML en la entrada y salida entre fiat y token. Añade a eso la trazabilidad en blockchain, que algunos venden como panacea, y que en realidad no resuelve por sí sola ni la identificación del usuario ni la legalidad del flujo ni la protección del consumidor.
En 2026, seguir hablando de MiCA como “la regulación que viene” es una forma elegante de admitir que el proyecto va tarde. El Reglamento (UE) 2023/1114 sobre mercados de criptoactivos ya está plenamente integrado en la conversación de producto, licencias, distribución y control interno. Y en materia de EMT, la lógica es bastante estricta.
Los elementos clave son conocidos, pero conviene aterrizarlos:
MiCA exige autorización para emitir EMT y reserva esta capacidad a entidades de crédito y entidades de dinero electrónico. Además, establece obligaciones de publicación de white paper, requisitos de conducta, derechos de reembolso y, en determinados casos, restricciones adicionales si el token adquiere carácter significativo. La supervisión no se queda en la teoría del documento informativo; entra en gobernanza, organización, gestión de conflictos y estabilidad operacional.
El punto más relevante para esta noticia es que MiCA no crea un circuito aislado para pagos tokenizados. Los conecta con el régimen existente. Eso arrastra a cualquier actor ambicioso hacia PSD2, normas de dinero electrónico, AML/CTF, protección de consumidores y, si opera en el sector financiero, DORA.
Ese cruce es exactamente donde la mayoría de proyectos empiezan a descubrir costes no previstos. Porque emitir un token “estable” es solo el principio. Lo difícil es demostrar que el modelo aguanta supervisión cruzada.
Y aquí aparece una ironía regulatoria deliciosa: el argumento comercial del sector durante años fue que blockchain permitía desintermediar. El resultado normativo europeo, al menos para EMT usados en pagos, es casi el contrario. La cadena puede ser nueva, pero la intermediación regulada no desaparece; se vuelve más densa, más documentada y más auditable.
Hay una tendencia recurrente en parte del mercado cripto español: actuar como si toda la conversación regulatoria dependiera solo de Bruselas. Error. MiCA fija el marco europeo, sí, pero el aterrizaje concreto de autorizaciones, vigilancia y expectativas supervisoras sigue teniendo un componente nacional decisivo.
En España, el Banco de España mantiene competencias centrales sobre entidades de pago y de dinero electrónico, incluidos registros, autorizaciones y supervisión prudencial y operativa dentro de su ámbito. La CNMV, por su parte, juega un papel distinto en función de la actividad y del tipo de criptoactivo o servicio. Pretender que todo pasa por una sola autoridad es no haber entendido el reparto de funciones.
Que el Banco de España autorice un servicio de pagos basado en EMT significa, en la práctica, que el supervisor acepta que esa operativa puede encajarse dentro de un perímetro financiero ya conocido, siempre que se cumplan las exigencias aplicables. No es una bendición general al “mundo cripto”. Es una autorización específica para una actividad definida, con controles y límites.
Eso también debería enfriar ciertos titulares grandilocuentes sobre “adopción masiva”. Una autorización no equivale a validación sistémica del modelo económico completo ni del conjunto del negocio de una firma. Equivale a algo más sobrio y más importante: esta pieza concreta de la actividad ha pasado el filtro supervisor.
Y eso, en 2026, vale bastante más que una ronda de financiación con adjetivos épicos.
El núcleo del análisis está aquí. Los servicios de pago basados en EMT no viven en un limbo entre cripto y fintech; viven en la intersección entre ambas, y eso significa obligaciones superpuestas.
PSD2 impone requisitos sobre autenticación reforzada del cliente, gestión del riesgo operativo y de seguridad, notificación de incidentes, derechos de usuarios y ejecución de operaciones. La Directiva está transpuesta en los ordenamientos nacionales y sigue siendo la base funcional del mercado de pagos, aunque Bruselas lleve tiempo afinando la siguiente iteración del paquete de pagos. Si tu servicio tokenizado inicia, ejecuta o facilita pagos, el hecho de que el backend use blockchain no elimina estas obligaciones.
La autenticación reforzada del cliente —SCA— es un buen ejemplo. No basta con que el usuario firme con una wallet. La cuestión jurídica es si el esquema cumple los requisitos regulatorios de autenticación con dos o más elementos independientes y si la experiencia encaja en los supuestos de exención previstos. Muchas arquitecturas de cripto nativas se diseñaron con prioridades muy distintas: autocustodia, velocidad, UX, pseudonimato relativo. El supervisor de pagos mira otra película.
La salvaguarda de fondos es otro punto sensible. En el régimen de dinero electrónico, la protección del cliente frente a insolvencia del proveedor no es negociable. Cuando esa representación de valor se tokeniza, la pregunta crítica es cómo se articula, prueba y audita la correspondencia entre el token emitido, los fondos subyacentes y el derecho de reembolso. La blockchain no certifica por sí sola la suficiencia jurídica de esa salvaguarda.
También está la ejecución. Los pagos tokenizados prometen inmediatez, programabilidad y menores fricciones transfronterizas. Bien. Pero si el servicio opera sobre redes con terceros validadores, smart contracts, custodios, oráculos o proveedores cloud, el mapa de dependencias crece. Y cada dependencia se traduce en riesgo operativo, riesgo de terceros y, en el sector financiero europeo, obligaciones concretas bajo DORA.
No hace falta que la noticia mencione DORA para que DORA importe. Si la entidad autorizada presta servicios financieros y depende de sistemas TIC para operar pagos tokenizados, el Reglamento (UE) 2022/2554 sobre resiliencia operativa digital ya forma parte de la ecuación en 2026.
Los artículos 5 a 16 de DORA obligan a contar con un marco interno de gestión del riesgo TIC. Los artículos 17 a 23 regulan la clasificación y notificación de incidentes graves relacionados con las TIC. Los artículos 28 a 30 fijan requisitos sobre la gestión del riesgo de terceros proveedores de servicios TIC. Y los artículos 24 a 27 introducen el régimen de pruebas de resiliencia operativa digital, incluido, para las entidades que corresponda, el testing avanzado basado en amenazas.
Ahora aterricemos eso a un caso como el de Bit2Me o cualquier actor similar.
Si el servicio de pago tokenizado depende de un proveedor cloud para custodia, procesamiento o monitorización, DORA art. 28 exige una estrategia sobre riesgo de terceros y un registro de acuerdos contractuales. Si la disponibilidad del servicio se apoya en APIs externas, motores de compliance transaccional o pasarelas de conversión fiat-token, la entidad necesita evaluar concentración, criticidad, salida ordenada y derechos de auditoría. Si se produce una caída relevante o una intrusión que afecte a pagos, clasificación y notificación del incidente dejan de ser materia de “ya lo veremos con legal”. Hay plazos y criterios.
La fantasía de que las finanzas tokenizadas son solo software escalable choca aquí con la prosa seca de DORA: inventario de activos, dependencias, BCP, RTO/RPO, pruebas, lecciones aprendidas, reporting a management body. Nada sexy. Muy obligatorio.
Y sí, también hay una contradicción interesante. El discurso del sector suele vender descentralización, pero la prestación regulada de pagos sobre tokens acaba descansando, en la práctica, sobre una combinación bastante centralizada de custodios, proveedores KYC, nubes públicas, herramientas de analítica blockchain y bancos corresponsales. DORA obliga a mirar de frente esa realidad, no la presentación comercial.
Si los pagos con EMT son el producto visible, la prevención de blanqueo y el cumplimiento de sanciones son la sala de máquinas. Y en Europa, en 2026, esa sala ya no admite improvisación.
Los proveedores que emiten, distribuyen o facilitan el uso de valor tokenizado en pagos deben resolver varios frentes a la vez: identificación y verificación de clientes, monitorización transaccional, cribado de sanciones, trazabilidad entre wallets y titulares, detección de tipologías de fraude y conservación de evidencias. No se trata solo de “tener un proveedor de blockchain analytics”. Se trata de poder defender ante el supervisor por qué un flujo concreto era legítimo, qué controles lo cubrieron y qué se hizo cuando saltó una alerta.
Aquí es donde la fricción entre UX y compliance se vuelve dolorosamente real. Un pago tokenizado puede ser técnicamente instantáneo, pero la obligación de monitorización puede introducir demoras, rechazos o revisiones manuales. Desde producto, esto molesta. Desde compliance, es el precio de no acabar dando explicaciones muy caras.
Además, el factor transfronterizo complica todo. Un EMT referenciado al euro puede circular por infraestructuras globales, interactuar con wallets de distinta naturaleza y tocar jurisdicciones con estándares heterogéneos. Cuanto más abierta sea la arquitectura, mayor presión para justificar segmentación de riesgos, límites operativos y controles reforzados para determinados patrones de uso.
No hace falta exagerar: no todo pago tokenizado será de alto riesgo. Pero quien venda lo contrario está subestimando el trabajo real de segunda línea y la tolerancia cada vez menor de los supervisores a explicaciones vagas.
La autorización a Bit2Me probablemente se leerá de dos maneras. Los entusiastas dirán que confirma la madurez del sector y abre la puerta a una nueva infraestructura de pagos. Los escépticos responderán que sigue siendo un caso controlado, con fuerte dependencia del regulador y alcance aún por probar. Los dos tienen parte de razón.
Abre camino, sí, porque reduce una incertidumbre relevante: demuestra que el Banco de España está dispuesto a autorizar modelos de pago basados en EMT cuando el encaje jurídico y operativo está suficientemente trabajado. Eso tiene valor de señal para otras fintech, entidades de dinero electrónico y bancos que estudian casos de uso similares.
Pero no conviene convertir esa señal en una profecía de adopción automática. El salto desde autorización hasta escala depende de factores mucho más prosaicos: coste unitario, aceptación comercial, integración con comercios, experiencia de usuario, liquidación, tratamiento contable, fiscalidad, interoperabilidad y confianza del cliente. La regulación puede abrir la puerta; no obliga al mercado a entrar corriendo.
Además, hay una cuestión estratégica que aún no está cerrada en Europa: qué parte del futuro de los pagos minoristas corresponderá a infraestructuras bancarias convencionales modernizadas, qué parte a e-money tokenizado privado y qué parte, si llega, a un euro digital mayorista o minorista promovido desde el Eurosistema. Esa competencia de modelos no está resuelta.
Por eso esta noticia importa más como indicador institucional que como prueba definitiva de tracción comercial. Es una ficha relevante en un tablero aún en movimiento.
Si trabajas en una entidad financiera española o europea, la pregunta útil no es si te gusta o no el mundo cripto. La pregunta útil es si tu marco de control está preparado para productos que mezclan pagos regulados y representación tokenizada del valor.
Hay cinco ángulos que merecen revisión inmediata.
El primero es la arquitectura de autorización. ¿Tu entidad pretende emitir, distribuir, custodiar, facilitar pagos o solo proporcionar infraestructura? Cada verbo cambia el mapa regulatorio. En EMT, la diferencia entre emisor, distribuidor y proveedor de servicios asociados no es semántica; determina licencias, responsabilidades y exposición supervisora.
El segundo es la gobernanza del producto. Consejo, comité de riesgos, compliance, seguridad y operaciones deben hablar del mismo servicio con el mismo mapa de dependencias. Si producto está lanzando algo que legal describe de una manera y tecnología opera de otra, ya tienes el problema clásico del sector: documentación impecable sobre un sistema que nadie reconoce en producción.
El tercero es DORA. Revisa inventario TIC, terceros críticos, cláusulas contractuales, escenarios de fallo y clasificación de incidentes. Un servicio basado en tokens suele tener más dependencias ocultas de las que parece al principio: custodios, RPC providers, herramientas de análisis on-chain, proveedores de identidad, servicios antifraude, cloud, mensajería, observabilidad. La cadena de suministro tecnológica crece rápido; la capacidad de supervisarla no siempre.
El cuarto es AML/CTF. No basta con un onboarding fuerte si el monitoreo posterior es débil. En productos tokenizados, el riesgo se desplaza mucho al comportamiento transaccional y a las interacciones entre wallets, exchanges, puentes y cuentas bancarias. Los equipos de compliance necesitan tipologías específicas, no una adaptación superficial del manual generalista.
El quinto es el diseño del derecho de reembolso y de la comunicación al cliente. Cuando un usuario cree que tiene “euros en blockchain”, la entidad debe ser capaz de explicar con precisión qué tiene exactamente, frente a quién, cómo lo redime, qué limitaciones operativas existen y qué ocurre si falla un proveedor o una red. Si esa explicación no cabe en un lenguaje comprensible, probablemente el producto aún no está listo.
Para el mercado español, la autorización a Bit2Me tiene una lectura específica. España llevaba tiempo observando el desarrollo europeo de MiCA con una mezcla de interés, cautela y cierta fragmentación entre actores tradicionales y nativos digitales. Este movimiento del Banco de España reduce una ambigüedad práctica: los servicios de pago sobre EMT no son una excentricidad conceptual, sino un terreno donde el supervisor está dispuesto a pronunciarse.
Eso presiona a tres tipos de entidades.
Presiona a las fintech de pagos, porque ya no basta con esperar a ver qué hace Bruselas. Si quieren explorar tokenización del dinero electrónico, necesitan estrategia de licencia, modelo operativo y capacidad de control desde el minuto uno.
Presiona a los bancos, porque la pregunta deja de ser si el fenómeno existe y pasa a ser si van a competir, colaborar o limitarse a ofrecer infraestructura de cuenta, liquidez y salvaguarda para terceros. La inacción puede ser racional en algunos casos, pero solo si es una decisión deliberada. No entender el movimiento no cuenta como estrategia.
Y presiona a los proveedores tecnológicos, porque el estándar que pedirá el sector financiero no será el de un proyecto piloto simpático. Será el de disponibilidad, auditabilidad, segregación, trazabilidad contractual y resiliencia exigible en servicios críticos. Si tu tecnología no soporta eso, no estás vendiendo infraestructura financiera: estás vendiendo una demo cara.
También hay un efecto competitivo menos visible. Las autorizaciones concretas tienden a crear ventaja de aprendizaje. La entidad que ya ha pasado por el proceso supervisor entiende mejor qué preguntas hace la autoridad, qué evidencias pide, dónde aprieta en externalización, dónde cuestiona el modelo AML y qué lenguaje regulatorio convence menos. Ese conocimiento práctico vale mucho más que veinte webinars.
Conviene poner límites al entusiasmo para no confundir una señal robusta con una conclusión precipitada.
No significa que todos los modelos de stablecoins hayan quedado legitimados en España. Los EMT son una categoría concreta con exigencias concretas. No todo token estable entra ahí, y desde luego no todos sobrevivirían al escrutinio prudencial.
No significa tampoco que el riesgo tecnológico quede resuelto por el hecho de estar autorizado. Una entidad puede tener licencia y seguir acumulando deuda técnica, dependencias mal contratadas o controles insuficientes. La autorización abre una etapa de supervisión; no la clausura.
Tampoco equivale a adopción masiva por parte de comercios o consumidores. Eso dependerá de usabilidad, incentivos económicos, interoperabilidad y confianza. Y la confianza en pagos, conviene recordarlo, tarda años en construirse y minutos en evaporarse.
Finalmente, no prueba que la tokenización del dinero electrónico vaya a desplazar a los rails existentes. Puede complementar, especializar o quedarse en nichos concretos. Quien presente cualquiera de esos resultados como inevitable está haciendo marketing, no análisis.
La parte interesante de esta noticia no es que una firma cripto haya conseguido un titular favorable. La parte interesante es que el supervisor español, en un terreno particularmente sensible, está aceptando pasar de la observación al encaje operativo.
Eso cambia la conversación. Hasta hace poco, muchos debates sobre tokenización de dinero en Europa se movían entre la abstracción jurídica y la promesa comercial. Ahora empiezan a existir decisiones supervisoras concretas sobre servicios concretos. Y cuando eso ocurre, las preguntas buenas dejan de ser filosóficas.
Empiezan a ser incómodamente prácticas. ¿Quién emite? ¿Quién salvaguarda? ¿Quién responde ante un fallo de redención? ¿Cómo se clasifica un incidente TIC que afecta a pagos tokenizados? ¿Qué terceros soportan la operativa y con qué derechos de auditoría? ¿Cómo se demuestra el cumplimiento AML si el flujo atraviesa múltiples wallets? ¿Qué información recibe el cliente y qué entiende realmente?
Ahí está el verdadero valor de la autorización de Bit2Me. No en la épica cripto, sino en que obliga al mercado a hablar el idioma que el regulador entiende: funciones, riesgos, controles, responsabilidad, resiliencia.
Y ese idioma, para bien o para mal, decide quién escala y quién se queda haciendo demos para conferencias.
Hay una lección que el sector lleva años intentando esquivar. Cuando una innovación quiere tocar dinero, pagos y confianza pública, acaba pareciéndose bastante a una entidad financiera, aunque jure que venía a reinventarlo todo.
La autorización del Banco de España a Bit2Me para servicios de pago basados en tokens de dinero electrónico encaja exactamente en esa lógica. Es una noticia positiva para la maduración del mercado español, sí. También es una advertencia para quien siga creyendo que la tokenización permite saltarse las reglas del negocio financiero. No las salta. Las reordena, las conecta y las hace más visibles.
En 2026, ese es el mensaje que merece atención. El mercado de EMT y pagos tokenizados está entrando en la fase menos ruidosa y más seria: la fase en la que importan las licencias, los contratos, la resiliencia operativa y la capacidad de explicar a un supervisor, línea por línea, cómo funciona realmente el servicio.
No suena revolucionario. Precisamente por eso va en serio.
Guía de referencia
Todo sobre DORA: artículos, obligaciones y plazos
Resumen semanal gratis
Suscríbete al resumen semanal y te avisamos de cada cambio en DORA: registro de proveedores ICT, resiliencia operativa y plazos clave.
¿Necesitas priorizar acciones ya? Empieza un GAP Assessment DORA.
DORA (Reglamento UE 2022/2554) aplica a entidades financieras de la UE (bancos, aseguradoras, gestoras, proveedores de servicios de pago, etc.) y a sus proveedores terceros de servicios TIC considerados críticos.
DORA es plenamente aplicable desde el 17 de enero de 2025. Las entidades deben tener implantado su marco de gestión del riesgo TIC, pruebas de resiliencia y la gestión de riesgo de terceros TIC.
Las entidades deben mantener un registro de información de todos los acuerdos contractuales con proveedores de servicios TIC, identificando los que soportan funciones críticas o importantes (art. 28).