DORA
MiCA 2026: El fin de la adolescencia cripto y el choque de trenes con DORA
9 min lectura
La cuenta atrás que nadie puede ignorar
El 1 de julio de 2026 no es una fecha elegida al azar por la Autoridad Europea de Valores y Mercados (ESMA). Es el día en que el sector de los criptoactivos en la Unión Europea deja de jugar en el patio de recreo para entrar en la sala de juntas de los adultos. El fin del periodo transitorio de MiCA (Markets in Crypto-Assets) supone que cualquier entidad que no haya pasado por el aro de la licencia oficial deberá, sencillamente, desaparecer del mapa europeo. Y ESMA, con una frialdad administrativa casi poética, ya ha pedido que preparen sus planes de liquidación (wind-down plans). Si no tienes licencia, ten al menos la decencia de salir de forma ordenada.
Pero seamos realistas: el verdadero reto no es solo obtener el sello de MiCA. El elefante en la habitación se llama DORA (Digital Operational Resilience Act). Para los Proveedores de Servicios de Criptoactivos (CASP), la convergencia de estos dos reglamentos representa un salto mortal sin red. Ya no basta con demostrar que el dinero de los clientes está segregado; ahora hay que demostrar que tu infraestructura tecnológica no se vendrá abajo ante un ataque de denegación de servicio o un fallo en un proveedor de nube de tercer nivel.
Tesis editorial: El riesgo de la complacencia administrativa
Durante años, el sector cripto ha vivido en una suerte de limbo consentido. Muchos pensaron que MiCA sería una versión 'light' de la regulación bancaria tradicional. Se equivocaron. MiCA es el billete de entrada, pero DORA es el examen de permanencia. Mi tesis es clara: la mayoría de los CASP que hoy operan en suelo europeo están subestimando la carga operativa que supone la resiliencia digital. No se trata de tener un CISO (Chief Information Security Officer) que firme papeles; se trata de una transformación cultural donde la tecnología es auditada con el mismo rigor que el balance de situación.
¿Está tu entidad preparada para realizar pruebas de penetración avanzadas (TLPT) bajo el estándar de DORA? ¿Tienes mapeada tu cadena de suministro digital hasta el último eslabón? Si la respuesta es un silencio incómodo, el 1 de julio de 2026 será un muro infranqueable. ESMA ha dejado de sugerir; ahora ordena. La exigencia de planes de salida ordenados es la prueba de que el regulador no confía en que todos logren cruzar la meta.
Impacto regulatorio cruzado: El rompecabezas europeo
Navegar por la regulación europea actual requiere un máster en acrónimos y una paciencia infinita. Sin embargo, la interconexión es total:
- DORA vs. MiCA: Mientras MiCA se ocupa de la solvencia y la conducta de mercado, DORA se asegura de que el motor tecnológico no explote. Un CASP es, por definición, una entidad financiera bajo el alcance de DORA. Esto implica que la gestión de incidentes de TIC debe ser casi en tiempo real.
- GDPR y la inmutabilidad: Aquí reside la gran paradoja técnica. ¿Cómo concilias el derecho al olvido del GDPR con la naturaleza inmutable de la blockchain? Los reguladores están empezando a mirar de cerca cómo las entidades cripto gestionan los datos personales en redes públicas y privadas.
- NIS2: Si tu plataforma cripto es considerada infraestructura crítica (algo cada vez más probable por volumen de transacciones), las obligaciones de reporte de incidentes se duplican. La coordinación entre el CISO y el departamento legal ya no es opcional, es vital para la supervivencia.
- AI Act: Si usas algoritmos de inteligencia artificial para el 'scoring' de crédito cripto o para la detección de fraude, entras en categorías de alto riesgo. La transparencia de esos modelos será escrutada bajo la nueva Ley de IA de la UE.
La IA en el sector financiero: El nuevo caballo de Troya
El uso de la IA en la banca y los seguros ya no es ciencia ficción, pero su adopción en el sector cripto es frenética. Desde bots de trading hasta sistemas de cumplimiento automatizado (RegTech). El riesgo aquí es la "caja negra". Si un algoritmo decide bloquear la cuenta de un cliente basándose en patrones de IA sesgados, la entidad es responsable legalmente bajo MiCA y el AI Act.
Recomiendo encarecidamente tres controles críticos: primero, el 'Human-in-the-loop' (supervisión humana real, no un simple clic de aprobación); segundo, auditorías de sesgo algorítmico trimestrales; y tercero, una documentación técnica exhaustiva que explique el 'porqué' de cada decisión automatizada. La IA no puede ser una excusa para la falta de transparencia.
Implicaciones para entidades españolas
En España, la CNMV y el Banco de España han sido históricamente rigurosos. No esperen clemencia. Las entidades españolas que aspiran a ser CASP bajo MiCA deben entender que el supervisor local valorará especialmente la integración de los controles de DORA dentro del marco de gobernanza nacional. La ventaja competitiva para las fintech españolas no será la tecnología per se, sino la robustez de su cumplimiento regulatorio. Ser el alumno aventajado en resiliencia operativa atraerá el capital institucional que aún recela de la volatilidad del sector.
La auditoría de DORA: Más allá del cumplimiento superficial
La verdadera prueba de fuego para los CASP no será solo obtener la licencia MiCA, sino demostrar una resiliencia operativa digital que cumpla con DORA. Esto implica una auditoría profunda y continua de todos los componentes tecnológicos y de seguridad. No se trata de una casilla que marcar, sino de una integración sistémica. Las entidades deben preguntarse: ¿Nuestros procesos de gestión de riesgos de TIC son lo suficientemente maduros para DORA? ¿Tenemos un plan de continuidad de negocio que contemple escenarios de fallo de terceros proveedores? La respuesta, para la mayoría, es un rotundo no.
La clave reside en entender que DORA no es un reglamento aislado. Se entrelaza con la gestión de riesgos corporativos, la gobernanza y la estrategia empresarial. Ignorar la profundidad de DORA es asumir un riesgo existencial. Las pruebas de penetración avanzadas (TLPT), obligatorias para ciertas entidades, son solo la punta del iceberg. La exigencia de un mapeo completo de la cadena de suministro de servicios TIC, incluyendo los subcontratistas de tercer y cuarto nivel, es donde muchos se darán de bruces con la realidad.
El verdadero coste de la resiliencia: Más allá de los presupuestos iniciales
Muchos CASP han abordado la preparación para DORA como un mero ejercicio de cumplimiento, asignando presupuestos limitados y centrando los esfuerzos en la documentación superficial. La realidad es que la resiliencia operativa digital es una inversión continua y estratégica. Implica no solo la implementación de controles técnicos, sino también la formación constante del personal, la actualización de políticas y procedimientos, y la integración de la ciberseguridad en el ADN de la organización. Las pruebas de penetración avanzadas (TLPT), que serán obligatorias para las entidades de mayor tamaño y riesgo, no son un evento puntual, sino un proceso iterativo que requiere recursos significativos y experiencia especializada.
Además, la gestión de la cadena de suministro de terceros es un campo minado. DORA exige un escrutinio riguroso de todos los proveedores de servicios TIC, incluyendo aquellos que a su vez subcontratan. Esto significa que un CASP no solo debe asegurar su propia resiliencia, sino también la de sus proveedores, y los proveedores de sus proveedores. La falta de visibilidad y control sobre esta red de dependencias es uno de los mayores desafíos. Las auditorías de terceros, los contratos claros con cláusulas de resiliencia y los planes de contingencia conjuntos se vuelven esenciales. Ignorar esta complejidad es invitar al desastre.
La sombra de las sanciones: Un espejo de la seriedad regulatoria
Es fácil caer en la complacencia cuando las sanciones parecen lejanas. Sin embargo, la UE ha dejado claro con DORA y otras regulaciones como NIS2 que las multas pueden ser sustanciales. Para DORA, las autoridades competentes pueden imponer sanciones que van desde el 1% del volumen de negocio anual mundial hasta 15 millones de euros, dependiendo de la gravedad y duración de la infracción. Para los CASP, esto se suma a las posibles sanciones de MiCA, que pueden ser aún más elevadas. El coste de no cumplir no es solo el riesgo operativo, sino también el financiero y reputacional.
La supervisión de DORA será continua. No se trata de una inspección anual, sino de un seguimiento constante. Las autoridades supervisoras tendrán amplias facultades de investigación, incluyendo la solicitud de información, la realización de auditorías in situ y la exigencia de pruebas de resiliencia. La transparencia y la proactividad serán las mejores aliadas de los CASP. Aquellos que demuestren un compromiso genuino con la resiliencia operativa no solo evitarán sanciones, sino que también construirán una ventaja competitiva significativa.
La convergencia DORA-MiCA: Un matrimonio de conveniencia forzado
La unión de MiCA y DORA no es una opción, es una realidad ineludible. MiCA establece el marco para la emisión y provisión de servicios de criptoactivos, definiendo requisitos de autorización, gobernanza y protección al inversor. DORA, por su parte, impone obligaciones detalladas sobre la resiliencia operativa digital, la gestión de riesgos de TIC, la notificación de incidentes y las pruebas de resiliencia. Para un CASP, cumplir con MiCA sin abordar las exigencias de DORA es como tener un coche con un permiso de circulación impecable pero sin frenos.
La Autoridad Bancaria Europea (EBA), la Autoridad Europea de Valores y Mercados (ESMA) y la Autoridad Europea de Seguros y Pensiones (EIOPA) están colaborando estrechamente para garantizar una aplicación coherente de DORA en todos los sectores financieros. Esto significa que las interpretaciones y directrices emitidas por una autoridad serán, en gran medida, consistentes con las de las otras. Los CASP deben prepararse para un escrutinio detallado que abarque desde la seguridad de sus plataformas de negociación hasta la robustez de sus sistemas de custodia y la gestión de sus proveedores de servicios en la nube.
Advertencia final
El regulador ha hablado y el mensaje es nítido: el tiempo de los experimentos ha terminado. La convergencia entre MiCA y DORA es la prueba de fuego para un sector que presume de innovador, pero que a menudo olvida que la confianza financiera se construye sobre la seguridad, no solo sobre el código. El 1 de julio de 2026, sabremos quiénes eran arquitectos y quiénes simples ilusionistas.
Recursos oficiales
Plantillas de DORA listas para usar
Descarga políticas, checklists y frameworks de cumplimiento elaborados por expertos en regulación DORA.
Ver plantillas de DORA