Ultima revision
10 de julio de 2026
Fuente
finReg360
La noticia no es que una empresa cripto quiera parecerse a una entidad regulada. Esa fase ya la hemos visto demasiadas veces. La noticia es otra: Crossmint ha obtenido una licencia de entidad de pago para operar con stablecoins, y eso la desplaza desde la periferia experimental al perímetro en el que de verdad importan el capital, la gobernanza, los controles y, sí, también los supervisores.
Traducido al lenguaje que entienden bancos, fintechs y equipos de compliance: ya no estamos ante una simple capa tecnológica que promete pagos más rápidos con aroma Web3. Estamos ante un operador que podrá ofrecer servicios de pago dentro de una arquitectura regulada, justo cuando Europa ha dejado de tratar a las stablecoins como una excentricidad de mercado y las está encajando, pieza a pieza, en su maquinaria normativa. Y esa maquinaria no es ligera.
La obtención de una licencia de entidad de pago no convierte por arte de magia a una compañía en banco, ni le concede carta blanca para emitir cualquier activo referenciado o dinero electrónico en formato cripto. Pero sí tiene una consecuencia inmediata: eleva el umbral de credibilidad comercial y regulatoria. Para muchos clientes institucionales, ese umbral era la diferencia entre “interesante, pero no puedo tocarlo” y “hablemos”.
Aquí está el quid. En 2026, el mercado europeo de pagos con activos digitales ya no se mueve solo por innovación. Se mueve por acceso regulado. Quien tenga licencia, gobierno interno y capacidad de integrarse en obligaciones de AML, seguridad, resiliencia y protección del cliente tiene ventaja. Quien solo tenga una API bonita y un discurso sobre el futuro del dinero, no tanto.
La lectura superficial sería pensar que, una vez obtenida la licencia de entidad de pago, el resto consiste en escalar producto y cerrar acuerdos. La lectura seria empieza cuando alguien en legal, riesgo y seguridad abre la lista de normas que ahora aterrizan sobre la operativa real. Si Crossmint presta servicios de pago en la UE usando una infraestructura basada en stablecoins, la conversación ya no va solo de criptoactivos: va de continuidad de negocio, terceros TIC, incidentes, autenticación, tratamiento de datos y diseño seguro del software que sostiene la plataforma.
El primer bloque es DORA. No porque sea la norma más glamourosa del lote, sino porque es la que convierte la resiliencia operativa en obligación verificable. Si la entidad entra en el perímetro de “financial entities” aplicable, DORA art. 5 exige un marco interno de gestión del riesgo TIC aprobado y supervisado por el órgano de dirección. Eso no se resuelve con una policy colgada en Confluence. Exige roles, apetito de riesgo, inventario de activos críticos, dependencia de proveedores y capacidad de demostrar que la dirección entiende qué parte del servicio de pagos depende de blockchain, qué parte de custodios, qué parte de cloud y qué parte de integraciones con PSP tradicionales.
Después viene DORA art. 11, que baja del PowerPoint al barro: continuidad del negocio TIC, respuesta y recuperación, copias de seguridad, restauración y revisiones tras incidentes. Para una plataforma que toca stablecoins, eso plantea una dificultad nada menor. Una cosa es restaurar una base de datos interna; otra, gestionar fallos en la capa de orquestación cuando el registro final de ciertas transacciones depende de una red externa o de un emisor de stablecoin con sus propios controles y ventanas operativas. La obligación no es prometer resiliencia. La obligación es probar que, si falla un componente, el servicio crítico puede mantenerse o recuperarse dentro de tolerancias definidas.
La pieza más subestimada de DORA suele ser DORA art. 28 sobre gestión del riesgo de terceros TIC. Ahí está uno de los puntos sensibles para cualquier actor que quiera industrializar pagos con stablecoins. Si el servicio depende de nodos gestionados por terceros, proveedores cloud, analítica blockchain, KYC as a service, wallets embebidas o herramientas antifraude, la entidad tiene que clasificarlos, evaluarlos antes de contratar, monitorizarlos y cubrir contractualmente derechos de acceso, auditoría, localización de datos, subcontratación y terminación. En castellano: el stack “composable” que encanta al producto puede convertirse en una pesadilla regulatoria si nadie ha decidido qué proveedor soporta una función crítica o importante y bajo qué controles.
NIS2 añade otra capa, especialmente si la entidad cae en sectores esenciales o importantes por su actividad, tamaño o papel en pagos e infraestructura digital. NIS2 art. 21 obliga a implantar medidas técnicas, operativas y organizativas “apropiadas y proporcionadas” para gestionar riesgos de ciberseguridad. El detalle importa: ahí entran análisis de riesgos, gestión de incidentes, continuidad del negocio, seguridad de la cadena de suministro, seguridad en adquisición y mantenimiento de sistemas, evaluación de eficacia de medidas y uso de criptografía cuando proceda. La ironía regulatoria es deliciosa: la industria cripto lleva años hablando de “trustless systems”, y llega NIS2 a recordar que el problema no es la retórica de la cadena, sino la seguridad bastante clásica de todo lo que la rodea.
Si una brecha afecta a datos personales, GDPR vuelve a ponerse en el centro sin pedir permiso. GDPR art. 32 exige medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo; GDPR art. 33 obliga a notificar violaciones de seguridad de datos personales a la autoridad de control sin dilación indebida y, cuando sea posible, en 72 horas; GDPR art. 34 exige comunicar la brecha a los interesados si el riesgo es alto. Para una entidad de pagos con componentes blockchain, la cuestión práctica es muy concreta: ¿qué datos personales están realmente en cadena, cuáles están en sistemas auxiliares y qué capacidad de contención existe si el incidente afecta a claves, metadatos de transacción o información de onboarding? Si la arquitectura no separa bien lo personal de lo estrictamente transaccional, el margen de maniobra se estrecha mucho.
También conviene mirar eIDAS 2.0, sobre todo si el modelo comercial busca integraciones de identidad, firma o verificación fuerte en onboarding y autorización. El Reglamento revisado refuerza la cartera europea de identidad digital y el ecosistema de servicios de confianza. Si la entidad usa mecanismos de identificación o firma para alta de clientes, mandato de pagos o aceptación de términos con efectos probatorios, la alineación con servicios de confianza cualificados puede dejar de ser una mejora “nice to have” y convertirse en una palanca de auditabilidad y defensa jurídica. Aquí no se trata de citar eIDAS por quedar bien, sino de entender que una experiencia de usuario limpia puede apoyarse en identidad regulada en lugar de amontonarse sobre capturas de documento, OTP y esperanzas.
Hay un último bloque que muchas fintech dejan para más tarde y luego descubren tarde que “más tarde” era ayer: seguridad del desarrollo y aseguramiento del producto. Si Crossmint distribuye componentes software o integra elementos conectados que puedan entrar en el ámbito del Cyber Resilience Act, Cyber Resilience Act art. 13 impone requisitos esenciales de ciberseguridad para productos con elementos digitales, incluyendo diseño, desarrollo y producción con un nivel adecuado de seguridad, gestión de vulnerabilidades y documentación. No todo servicio de pago cae de forma automática ahí, pero cualquier pieza de software comercializada, especialmente si habilita funciones críticas de acceso, custodia u orquestación, merece ese análisis desde ya. Sumado a ISO 27001 anexo A y a NIST CSF 2.0 GV.RM e ID.AM, el mensaje es nítido: la licencia abre mercado, sí, pero también te obliga a demostrar que sabes gobernar tecnología bajo escrutinio regulatorio y no solo desplegarla rápido.
La tentación mediática es hablar de “la industria” como si bancos, aseguradoras, fintechs e infraestructuras de mercado recibieran el mismo impacto cuando un nuevo actor regulado entra en pagos con stablecoins. No. Cada sector absorbe una presión distinta y, sobre todo, una combinación diferente de costes de integración, riesgo de modelo y exigencia supervisora.
Para la banca, la consecuencia inmediata no es existencial, pero sí competitiva. Un banco ya opera con licencias, capital, controles y acceso a redes de pago tradicionales. Lo que cambia con un proveedor regulado que empaqueta pagos con stablecoins es el coste de explorar casos de uso que antes se quedaban atrapados entre compliance y arquitectura. Si Crossmint puede ofrecer una capa de pagos con encaje regulatorio y una integración razonable, el banco reduce una barrera de entrada comercial: ya no discute si está contratando a un actor “demasiado cripto”, sino si la propuesta encaja en su marco de outsourcing, riesgo TIC y producto. Ahí DORA art. 28 vuelve a ser decisivo, porque el banco tendrá que determinar si el proveedor soporta una función crítica o importante. Si la respuesta es sí, prepárate para due diligence reforzada, derechos de auditoría, testing de resiliencia y exigencias contractuales bastante menos divertidas que una demo comercial.
En términos medibles, para banca el impacto suele verse en tres frentes: tiempo de onboarding de proveedor, número de controles compensatorios exigidos y coste de integración de segunda línea. No hace falta inventar cifras para entender el patrón. Un proveedor con licencia y controles verificables reduce fricción frente a uno que solo aporta tecnología; pero si la operación toca liquidación, salvaguarda de fondos, fraude o acceso de clientes, el banco seguirá sometiéndolo a un proceso de terceros que puede durar meses. La diferencia real no está en eliminar controles, sino en hacerlos superables.
Para aseguradoras, el ángulo es distinto. No compiten tanto por pagos transfronterizos instantáneos como por cobros, reembolsos, pagos de siniestros y eficiencia operativa. Una infraestructura de pagos basada en stablecoins puede acelerar determinados flujos, sí, pero la pregunta regulatoria cambia: ¿mejora de verdad la gestión del siniestro o introduce una capa tecnológica adicional con exposición reputacional? NIS2 art. 21 y GDPR art. 32 pesan mucho aquí porque el dato tratado en seguros suele ser más amplio y sensible en la práctica, aunque no siempre entre en categorías especiales del GDPR. Si además un flujo de pago de siniestros se combina con scoring o automatización para prevención de fraude, aparece el AI Act: no por la stablecoin en sí, sino por el sistema que decide alertas, bloqueos o revisiones. Si el proveedor o la aseguradora usan IA en componentes de riesgo o fraude, la clasificación y los deberes de gobernanza del AI Act dejan de ser una nota al pie.
Las fintech son las que notan el golpe de forma más aguda. Porque compiten en velocidad, márgenes y narrativa, y la narrativa de “movemos dinero por rails alternativos” pierde fuerza cuando un actor con licencia convierte esa promesa en oferta institucionalmente consumible. Para una fintech de pagos o embedded finance, el impacto es doble. Comercial, porque clientes B2B que antes veían el uso de stablecoins como demasiado arriesgado pueden reabrir la conversación. Operativo, porque el listón sube para todos. Si uno de los actores del segmento ya llega con gobernanza y perímetro regulado, el resto tendrá que responder a la pregunta incómoda: ¿qué parte de vuestra propuesta aguanta una revisión seria de DORA, GDPR y seguridad de terceros? Aquí no basta con enseñar el dashboard.
La consecuencia medible en fintech suele aparecer en el coste de cumplimiento por cliente enterprise y en la tasa de éxito en procurement. Un proveedor regulado puede acortar objeciones iniciales, pero también obliga al mercado a documentar mejor sus controles. Es el típico momento en que muchos descubren que “somos ISO-friendly” no equivale a tener un SGSI maduro. ISO 27001 anexo A exige controles concretos sobre gestión de accesos, logging, seguridad de proveedores, criptografía, gestión de incidentes y desarrollo seguro. Si no están operativos y evidenciados, el problema no es la auditoría: es que el contrato grande no llega.
Donde el asunto se vuelve más delicado es en infraestructura crítica y operadores sistémicos de pagos, mercado o telecomunicaciones. Ahí la discusión ya no es “qué innovador”, sino “qué dependencia nueva estoy introduciendo”. Si un operador crítico usa un proveedor de pagos con stablecoins en casos de tesorería, liquidación, remesas internas o pagos internacionales, la evaluación pasa por resiliencia, concentración de terceros y capacidad de sustitución. DORA, aunque esté diseñado para entidades financieras, ha colocado una idea que ya se contagia a otros sectores regulados: el riesgo de terceros no se mide por contrato firmado, sino por dependencia operativa real. Si tu proceso crítico necesita la disponibilidad de un emisor de stablecoin, un proveedor wallet, una API de compliance y una red blockchain concreta, el riesgo no desaparece porque cada pieza tenga SLA propios. Se acumula.
Ese es el punto que más cambia por sector. La banca puede absorberlo con capas de control. La aseguradora lo evaluará por eficiencia frente a exposición. La fintech verá oportunidad y presión competitiva a la vez. La infraestructura crítica hará una pregunta brutalmente simple: si un componente falla, ¿puedo seguir operando? Si la respuesta necesita demasiadas aclaraciones, la operación todavía no está madura.
Supongamos un escenario realista: una entidad financiera europea quiere integrar la capacidad de pagos con stablecoins de un proveedor recién licenciado como Crossmint para casos de payout transfronterizo y tesorería operativa. El error clásico sería mandar el contrato a legal, pedir el cuestionario de seguridad y confiar en que “ya lo irá viendo compliance”. La primera semana, si el equipo es bueno, no gira en torno a papeles. Gira en torno a delimitar el riesgo.
Primer paso: definir el caso de uso con precisión quirúrgica. No “pagos con stablecoins”, sino qué flujo exacto se quiere habilitar, qué clientes lo usarán, en qué jurisdicciones, con qué monedas, qué wallets o cuentas intervienen, quién inicia, quién autoriza, cómo se reconcilia y dónde se considera final la transacción. Esto no es burocracia. Es la única manera de saber si estás ante un servicio accesorio o ante una función material para negocio, fraude, tesorería o atención al cliente. Si el flujo soporta operaciones relevantes o repetitivas, el análisis de criticidad para terceros bajo DORA art. 28 no puede quedarse en un “proveedor no crítico” por defecto.
Segundo paso: mapear datos, claves y responsabilidades. El equipo de seguridad debe levantar un diagrama que identifique dónde residen credenciales, claves API, secretos, llaves criptográficas, datos de identidad, IBAN si los hay, direcciones wallet, hashes, logs y evidencias de auditoría. Después toca clasificar qué es dato personal a efectos de GDPR y qué no, porque ese mapa determinará obligaciones de base jurídica, minimización, retención y notificación de incidentes. Si hay tratamiento de datos personales, GDPR art. 30 obliga a mantener registros de actividades de tratamiento; si el riesgo es alto por la naturaleza del flujo o la combinación de datos y tecnología, una EIPD bajo GDPR art. 35 puede ser prudente o necesaria. Muchos equipos descubren demasiado tarde que una dirección blockchain, combinada con metadatos internos, deja de ser tan seudónima como parecía.
Tercer paso: ejecutar due diligence de terceros como si el proveedor fuese a caerse el viernes por la tarde, que es cuando estas cosas suelen ponerse creativas. Aquí el cuestionario estándar sirve de aperitivo, no de comida. Hay que revisar arquitectura de segregación de entornos, gestión de secretos, cifrado en tránsito y en reposo, logging, retención, monitorización, pruebas de recuperación, gestión de vulnerabilidades, seguridad del ciclo de desarrollo y dependencia de subprocesadores y subcontratistas. NIST CSF 2.0 GV.SC ayuda bastante para gobernanza de cadena de suministro, e ISO 27001 anexo A permite traducir esa revisión en controles comprobables. Si el proveedor usa múltiples terceros para KYC, chain analytics, cloud y wallet infrastructure, la entidad debe pedir visibilidad suficiente para entender el mapa. “No podemos revelar por confidencialidad” suena muy moderno hasta que el comité de riesgos lo oye una sola vez.
Cuarto paso: definir el régimen de incidentes antes del primer incidente. Eso implica umbrales, contactos, ventanas de notificación, formato de evidencias y reglas de escalado interno. DORA art. 17 y siguientes sobre gestión y clasificación de incidentes TIC graves, junto con GDPR art. 33 para brechas de datos, obligan a evitar el caos de la improvisación. El equipo debe decidir qué se considera incidente operativo, qué se considera incidente de seguridad, qué activa notificación regulatoria, quién redacta el primer informe y cómo se sincronizan las áreas de SOC, legal, DPO, negocio y comunicación. Si además la entidad cae bajo NIS2, las obligaciones de notificación añaden otra capa temporal y de coordinación con la autoridad competente.
Quinto paso: probar el flujo en condiciones adversas, no solo en sandbox feliz. El escenario mínimo debería incluir caída del proveedor principal, error de reconciliación, retraso en confirmación de red, fallo del emisor de la stablecoin, exposición de credenciales API, error humano en listas de permitidos, falsa alerta de fraude y necesidad de reversión operativa donde sea posible. DORA art. 26 sobre pruebas de resiliencia operativa digital no exige exactamente el mismo nivel para todas las entidades, pero la lógica es clara: si el proceso es relevante, hay que testarlo con realismo. El objetivo no es comprobar que el proveedor funciona cuando todo va bien. Para eso ya está la demo.
Sexto paso: cerrar la arquitectura contractual con controles que luego puedan ejecutarse. Eso incluye anexos de seguridad, SLA, RTO/RPO si aplican, derechos de auditoría, subcontratación, localización y acceso a datos, cooperación en incidentes, evidencias periódicas, plan de salida y asistencia en transición. Un plan de salida sin datos sobre exportabilidad, plazos de borrado, revocación de credenciales y sustitución de dependencias es una carta de amor a la teoría. DORA art. 30, sobre elementos contractuales clave en acuerdos con terceros TIC que soportan funciones críticas o importantes, va exactamente por ahí.
Séptimo paso: formar a operaciones y segunda línea con casos reales. El equipo de compliance necesita saber qué señales exigen revisión reforzada. El de fraude debe entender cómo cambian los patrones si el pago usa rails basados en stablecoins. Atención al cliente debe disponer de guiones precisos para incidencias de confirmación, límites, retrasos y errores de onboarding. Y auditoría interna tiene que dejar constancia de qué controles se han diseñado, quién los opera y qué evidencias existen. Si este aterrizaje se hace bien, la integración deja de ser una apuesta reputacional y se convierte en un servicio gobernable. Si se hace deprisa, lo que llega primero no es el crecimiento. Es el incidente.
Hay un sesgo bastante extendido en el mercado: creer que el expediente regulatorio de pagos con stablecoins se agota en licencia financiera, AML y algo de ciberseguridad. No. Cuando el servicio empieza a venderse a empresas grandes, aparecen normas que no hablan de stablecoins en el titular, pero sí condicionan la viabilidad operativa del modelo.
La primera es eIDAS 2.0, sobre todo por una razón muy práctica: la confianza digital escalable. Si Crossmint o sus clientes quieren simplificar onboarding, mandatación o aceptación de instrucciones con trazabilidad fuerte, el uso de mecanismos integrados con servicios de confianza y con la futura cartera europea de identidad digital puede ofrecer una vía mucho más sólida que el collage de OTP, selfie, email y consentimiento web. No todos los casos lo exigirán, claro. Pero en pagos B2B, tesorería o usuarios corporativos con poderes de firma, la capacidad de vincular identidad, autorización y evidencia con estándares europeos reduce litigiosidad y discusión probatoria. Es uno de esos temas que parecen secundarios hasta que llega una disputa y todo el mundo pregunta quién autorizó exactamente qué.
La segunda es el Cyber Resilience Act. En 2026 ya no tiene sentido tratar la seguridad del software como un anexo técnico que se resolverá “cuando el producto madure”. Si el proveedor comercializa software o componentes digitales que entran en el ámbito del reglamento, Cyber Resilience Act art. 13 exige que los productos con elementos digitales se diseñen, desarrollen y produzcan conforme a requisitos esenciales de ciberseguridad. Traducido: gestión de vulnerabilidades durante el ciclo de vida, configuración segura por defecto, documentación, corrección de fallos y procesos para manejar avisos de seguridad. Para una plataforma de pagos con APIs, SDKs, widgets de wallet o módulos de integración, la pregunta ya no es si el código “funciona”, sino si puede defenderse ante una revisión de seguridad por diseño. A más clientes enterprise, menos margen para improvisar.
La tercera capa es de aseguramiento y certificación, y aquí el Cybersecurity Act art. 46 entra con una utilidad que el mercado ha tardado en apreciar. El marco europeo de certificación de ciberseguridad no obliga automáticamente a todos los servicios del segmento, pero sí estructura una señal de confianza potencial para productos, servicios o procesos TIC cuando los esquemas existan y el mercado los adopte. Para un comprador institucional, sobre todo en sectores regulados, una certificación reconocible reduce asimetría informativa. No sustituye la due diligence, pero acorta discusiones eternas sobre controles básicos. El mercado europeo lleva años pidiendo interoperabilidad regulatoria; la certificación puede no ser la solución total, pero desde luego ayuda más que otra carpeta con PDFs de marketing técnico.
También hay que mirar CSRD, aunque a primera vista parezca que no pinta nada en un artículo sobre stablecoins. Pinta más de lo que algunos desearían. Si una entidad sujeta a reporte de sostenibilidad depende de infraestructuras digitales intensivas, de proveedores críticos o de riesgos cibernéticos con impacto material en estrategia y modelo de negocio, esos factores pueden emerger en la evaluación de doble materialidad y en las divulgaciones de riesgos, gobernanza y cadena de valor. CSRD art. 1, que modifica el régimen de reporte no financiero, empuja a las compañías grandes a explicar mejor cómo gobiernan riesgos materiales, incluidos los tecnológicos cuando sean relevantes. Para un proveedor que aspire a clientes cotizados o grandes grupos financieros, esto tiene una derivada comercial muy concreta: el cliente puede pedir información no solo para seguridad y compliance, sino para su propio reporting corporativo.
Por último, conviene no perder de vista la interacción entre marcos voluntarios y obligaciones legales. NIST CSF 2.0 GV.RM, PR.AA y DE.CM no sustituyen a DORA, NIS2 o GDPR; sirven para operacionalizarlos. ISO 27001 anexo A tampoco otorga inmunidad regulatoria; ofrece una estructura auditable para controles que luego pueden mapearse a obligaciones de seguridad, gestión de accesos, logging, continuidad y proveedores. La empresa que entienda esto antes gana tiempo. La que lo descubra durante la negociación con un banco o durante un incidente aprenderá la lección de la manera más cara.
Ese es, en el fondo, el significado más interesante del movimiento de Crossmint. No que una firma cripto haya conseguido una licencia y pueda presentarse mejor en reuniones. Eso es la superficie. Lo relevante es que, al entrar en el terreno regulado de la UE, ya no compite solo por velocidad de ejecución o narrativa de innovación. Compite por demostrar que su arquitectura técnica, contractual y de gobernanza soporta la clase de preguntas que hacen los reguladores, los auditores y los comités de riesgo cuando el dinero deja de ser experimental y vuelve a ser, simplemente, dinero.
Guía de referencia
Todo sobre ISO 27001: artículos, obligaciones y plazos
Resumen semanal gratis
Suscríbete al resumen semanal y te avisamos de cada cambio en ISO 27001: controles del Anexo A y evidencias para la certificación.
¿Necesitas priorizar acciones ya? Empieza un GAP Assessment ISO 27001.
El Anexo A de ISO/IEC 27001:2022 contiene el catálogo de controles de seguridad (93 controles agrupados en 4 temas: organizativos, de personas, físicos y tecnológicos) que sirven de referencia para el SGSI.
El certificado tiene una validez de tres años, con auditorías de seguimiento anuales y una auditoría de recertificación al final del ciclo.
La versión 2022 reestructuró el Anexo A en 93 controles y 4 categorías, e introdujo controles nuevos como inteligencia de amenazas, seguridad en la nube y filtrado web.