Skip to content
Caso de clienteTarifasSeguridadComparativaBlog

Europe

Americas

Oceania

Cumplimiento15 min de lectura

MiCA 2026: KYC y verificación de identidad en cripto

Reglamento MiCA y la Travel Rule: obligaciones KYC para proveedores de servicios de criptoactivos, umbrales de verificación de identidad y el plazo de julio de 2026.

Carlos Ruiz, Consultor de cumplimiento normativo
Carlos Ruiz, Consultor de cumplimiento normativo·
Illustration for MiCA 2026: KYC y verificación de identidad en cripto — Cumplimiento

Resumir este artículo con

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

El 1 de julio de 2026, el período transitorio para los proveedores de servicios de criptoactivos existentes bajo el Reglamento de Mercados de Criptoactivos termina. Los CASPs que han estado operando bajo registros nacionales --incluyendo el régimen español de proveedores registrados ante el Banco de España-- deben contar con una autorización MiCA completa en esa fecha o cesar sus operaciones. Combinado con el Reglamento de Transferencia de Fondos (la "Travel Rule"), esto crea el marco de verificación de identidad más exigente al que se ha enfrentado nunca el sector de los criptoactivos. Si su plataforma incorpora usuarios, procesa transferencias o custodia activos en la UE, el reloj regulatorio está en marcha --junto con otros plazos importantes en 2026, como la reforma de la facturación electrónica obligatoria en España.

MiCA: el marco armonizado de la UE para criptoactivos

Qué cubre MiCA

El Reglamento (UE) 2023/1114, el Reglamento de Mercados de Criptoactivos, establece un marco regulatorio único para criptoactivos en los 27 Estados miembros de la UE. Antes de MiCA, cada país aplicaba sus propias reglas --España tenía el registro ante el Banco de España, Alemania su régimen de licencias con BaFin, y muchos Estados miembros no tenían regulación específica para criptoactivos. Ese mosaico ha terminado.

MiCA cubre tres categorías de criptoactivos:

Categoría Definición Autoridad supervisora
Tokens referenciados a activos (ARTs) Tokens estabilizados por referencia a múltiples activos, materias primas o divisas Autoridad competente nacional; EBA para ARTs significativos
Tokens de dinero electrónico (EMTs) Tokens estabilizados por referencia a una sola moneda oficial Banco de España o equivalente; EBA para EMTs significativos
Otros criptoactivos Todos los criptoactivos no clasificados como ARTs o EMTs, incluidos los utility tokens CNMV o autoridad competente nacional equivalente

El reglamento también define y licencia a los proveedores de servicios de criptoactivos (CASPs) --cualquier entidad que preste servicios de custodia, intercambio, transferencia, intermediación, asesoramiento o gestión de carteras de criptoactivos. Los CASPs deben obtener autorización bajo MiCA para operar en cualquier lugar de la UE, y esa autorización actúa como pasaporte en todos los Estados miembros.

El calendario crítico

La aplicación de MiCA ha sido escalonada. Las disposiciones sobre stablecoins (ARTs y EMTs) se aplican desde el 30 de junio de 2024. El régimen de licencias completo para CASPs se aplica desde el 30 de diciembre de 2024. Pero la disposición transitoria del Artículo 143 concede a los CASPs existentes --los que operaban bajo legislación nacional antes del 30 de diciembre de 2024-- un período de gracia de hasta 18 meses, dependiendo del Estado miembro.

Fecha Hito Impacto
30 junio 2024 Se aplican las disposiciones sobre ARTs y EMTs Los emisores de stablecoins deben cumplir o cesar la emisión
30 diciembre 2024 Aplicación completa de MiCA para CASPs Los nuevos CASPs deben obtener autorización MiCA antes de operar
1 julio 2026 Fin del período transitorio (máximo) Los CASPs existentes bajo regímenes nacionales deben tener autorización MiCA
30 diciembre 2025 Cierre de la ventana de autorización simplificada Los CASPs con licencias nacionales existentes podían solicitar bajo procedimiento simplificado hasta esta fecha

España ha adoptado el período transitorio máximo de 18 meses. Los CASPs registrados ante el Banco de España como proveedores de servicios de criptoactivos pueden continuar operando hasta el 1 de julio de 2026, siempre que hayan presentado su solicitud de autorización MiCA antes del cierre de la ventana del procedimiento simplificado. Después del 1 de julio de 2026, un registro nacional por sí solo ya no es válido.

Obligaciones KYC bajo MiCA

MiCA impone requisitos explícitos de diligencia debida que van mucho más allá de lo que la mayoría de los regímenes nacionales para criptoactivos exigían anteriormente. Estas obligaciones se aplican en la apertura de cuenta, durante la relación comercial y a nivel de transacción.

Apertura de cuenta y onboarding de clientes

Cada CASP debe verificar la identidad de sus clientes antes de establecer una relación comercial. El Artículo 68 de MiCA exige a los CASPs cumplir las obligaciones PBC/FT establecidas en el Reglamento contra el Blanqueo de Capitales (UE) 2024/1624. En la práctica, esto significa:

  • Verificación del nombre completo contra un documento de identidad emitido por el gobierno (pasaporte, DNI, NIE). A medida que la Cartera de Identidad Digital eIDAS 2.0 se despliegue por los Estados miembros, la verificación de credenciales criptográficas complementará progresivamente --y para algunos casos de uso sustituirá-- las comprobaciones tradicionales basadas en documentos.
  • Fecha de nacimiento y nacionalidad: recopilación y cruce.
  • Verificación de dirección residencial mediante justificante de domicilio: recibo de suministro, extracto bancario o correspondencia oficial.
  • Extracción del número de identificación único del documento de identidad (número de DNI, NIE o pasaporte).
  • Screening de sanciones y PEP contra las listas consolidadas de sanciones de la UE, listas de vigilancia nacionales y bases de datos de personas políticamente expuestas.
  • Evaluación del origen de fondos para relaciones que presenten indicadores de riesgo elevado.

Para clientes corporativos (personas jurídicas que utilizan la plataforma), las obligaciones se extienden a la verificación KYB completa: Nota Simple del Registro Mercantil, escritura de constitución, justificante de domicilio social, identificación de administradores y titulares reales, y verificación de la estructura societaria.

Monitorización continua

El KYC no es una comprobación puntual en el onboarding. MiCA y el AMLR exigen monitorización continua durante toda la relación comercial:

  • Análisis de patrones de transacciones para detectar comportamientos inconsistentes con el perfil declarado del cliente.
  • Revisión periódica de la información del cliente, con frecuencia determinada por la clasificación de riesgo del cliente.
  • Revisiones por eventos desencadenantes cuando se detecta actividad inusual (picos repentinos de volumen, transferencias a jurisdicciones de alto riesgo, patrones de fraccionamiento).
  • Rescreening de listas de sanciones cada vez que se actualizan las listas --como mínimo diariamente para las listas de la UE y OFAC.

Los CASPs que no mantengan una monitorización continua eficaz se enfrentan a las mismas sanciones que los que fallan en el onboarding: multas de hasta 5 millones de euros para personas físicas o hasta el 12,5% de la facturación anual para personas jurídicas bajo el propio marco sancionador de MiCA, además de las sanciones de la AMLD6 que se aplican a todos los sujetos obligados.

La Travel Rule: datos de identidad en cada transferencia

Qué exige la Travel Rule

El Reglamento de Transferencia de Fondos -- Reglamento (UE) 2023/1113, adoptado junto con MiCA -- extiende las reglas existentes de transferencia bancaria a las transferencias de criptoactivos. Conocido como la "Travel Rule" (tomando prestado el término del marco del GAFI), requiere que la información de identidad "viaje" con cada transacción de criptoactivos, igual que con las transferencias bancarias tradicionales.

Para cada transferencia de criptoactivos, el CASP del ordenante debe recopilar y transmitir:

Elemento de datos Ordenante Beneficiario
Nombre completo Requerido Requerido
Número de cuenta / dirección de monedero Requerido Requerido
Dirección, n.o de identificación nacional o fecha de nacimiento Requerido Requerido
LEI o BIC (si persona jurídica) Requerido si disponible Requerido si disponible

Estos datos deben transmitirse al CASP del beneficiario antes o simultáneamente con la transferencia. El CASP del beneficiario debe verificar la información recibida y rechazar transferencias con datos del ordenante incompletos o inconsistentes.

El umbral de 1.000 euros y la verificación de monederos

La Travel Rule se aplica a todas las transferencias de criptoactivos independientemente del importe --no hay exención de mínimo. Sin embargo, las transferencias que excedan 1.000 euros desencadenan un requisito adicional: verificación de titularidad del monedero.

Cuando un cliente envía o recibe criptoactivos desde un monedero no alojado (autocustodiado) y la transferencia excede 1.000 euros, el CASP debe verificar que el monedero pertenece a la parte declarada. En la práctica, esto se realiza mediante:

  • Firma criptográfica de mensaje: el cliente firma un mensaje con la clave privada del monedero, demostrando la titularidad.
  • Verificación por microtransferencia: el cliente envía un importe pequeño, preacordado, desde el monedero para demostrar el control.
  • Atestación técnica: el CASP puede utilizar una solución a nivel de protocolo para confirmar la vinculación dirección-monedero.

Para transferencias inferiores a 1.000 euros hacia o desde monederos no alojados, el CASP debe igualmente recopilar los datos de ordenante y beneficiario pero no está obligado a verificar la titularidad del monedero. Sin embargo, si el CASP sospecha blanqueo de capitales o financiación del terrorismo, la verificación completa es obligatoria independientemente del importe de la transferencia.

CASPs en España: la transición al régimen MiCA

CNMV, Banco de España y SEPBLAC: supervisión múltiple

En España, la supervisión de criptoactivos se reparte entre varios reguladores:

Regulador Ámbito bajo MiCA Responsabilidades clave
CNMV (Comisión Nacional del Mercado de Valores) Criptoactivos excluyendo EMTs; autorización y supervisión de CASPs Licencias, reglas de conducta, vigilancia de abuso de mercado, aprobación de libros blancos
Banco de España Tokens de dinero electrónico; registro de CASPs (régimen transitorio) Supervisión prudencial de emisores de EMTs, registro de proveedores
SEPBLAC Supervisión PBC/FT de todos los CASPs Controles contra el blanqueo, inspecciones de cumplimiento continuas

Este modelo de supervisión múltiple significa que un CASP español debe satisfacer tanto a la CNMV (para su licencia y obligaciones de conducta) como al SEPBLAC (para su cumplimiento PBC/FT, incluyendo todos los requisitos KYC). El SEPBLAC ha sido históricamente riguroso en sus inspecciones PBC de proveedores de servicios de criptoactivos, y este rigor solo se intensificará bajo MiCA.

Qué cambia para los proveedores registrados existentes

Los proveedores actualmente registrados ante el Banco de España deben transicionar a una autorización MiCA completa --una solicitud integral que cubre gobernanza, requisitos prudenciales, continuidad de negocio y procedimientos PBC/FT. Un procedimiento simplificado estuvo disponible hasta el 30 de diciembre de 2025 para CASPs con licencias nacionales existentes, permitiendo a la CNMV considerar la documentación previa mientras verifica el cumplimiento de MiCA.

Los CASPs que no obtengan la autorización MiCA antes del 1 de julio de 2026 deben cesar sus actividades. No hay un segundo período de gracia.

Requisitos documentales: qué deben recopilar y conservar los CASPs

El efecto combinado de MiCA, la Travel Rule y el AMLR crea una carga documental sustancial tanto en el onboarding de clientes como en la monitorización de transacciones.

Documentos de onboarding de clientes

Tipo de documento Personas físicas Personas jurídicas
Documento de identidad Pasaporte, DNI o NIE N/A
Justificante de domicilio Recibo de suministro, extracto bancario (< 3 meses) Justificante de domicilio social
Inscripción mercantil N/A Nota Simple del Registro Mercantil (< 3 meses)
Escritura de constitución N/A Última versión
Declaración de titulares reales N/A Identificación de todos los UBOs por encima del 25%
Identificación de administradores N/A DNI/NIE de todos los administradores
Origen de fondos Evidencia documental para perfiles de alto riesgo Estados financieros, documentación de financiación

Registros de transacciones y conservación

Para cada transferencia de criptoactivos, los CASPs deben conservar: datos de identidad del ordenante y beneficiario, importe de la transacción y tipo de criptoactivo, hash de la transacción en blockchain, direcciones de monedero, resultados de verificación de titularidad de monedero (transferencias > 1.000 €), resultados de screening de sanciones y registros de resolución de alertas. Todos los registros deben conservarse durante un mínimo de cinco años después del fin de la relación comercial o la fecha de la transacción, lo que sea posterior. En España, la Ley 10/2010 exige un plazo de conservación de 10 años para la documentación KYC/PBC.

Cómo la automatización aborda el cumplimiento MiCA

Las obligaciones documentales bajo MiCA hacen que la verificación manual sea insostenible para cualquier CASP que opere a escala. Cada nuevo usuario requiere verificación de documento de identidad, validación de justificante de domicilio, screening de sanciones y clasificación de riesgo antes de ejecutar una sola transacción. Cada transferencia superior a 1.000 euros a un monedero no alojado requiere verificación de titularidad del monedero.

Verificación documental en el onboarding

La validación documental automatizada procesa documentos de identidad en segundos: extrayendo campos de datos (nombre, fecha de nacimiento, número de documento, fecha de caducidad), verificando la autenticidad del documento (validación MRZ, detección de elementos de seguridad, análisis de manipulación), y cruzando los datos extraídos contra la información declarada. Para CASPs que procesan miles de solicitudes de onboarding al mes, esta es la diferencia entre una cola de revisión manual de 48 horas y un flujo de onboarding en tiempo real.

KYB para clientes corporativos

El onboarding corporativo bajo MiCA requiere la verificación de la inscripción mercantil, la escritura de constitución, la identificación de titulares reales y la verificación de administradores. Los flujos KYB automatizados extraen y cruzan datos entre estos documentos, señalando inconsistencias (nombres de administradores no coincidentes, inscripciones caducadas, umbrales de UBO excedidos) antes de que un oficial de cumplimiento revise el expediente.

Generación de pistas de auditoría

Cada paso de verificación --documento recibido, comprobaciones aplicadas, resultados obtenidos, decisión tomada-- genera una pista de auditoría con sello temporal. Cuando el SEPBLAC solicita evidencia de sus controles PBC/FT durante una inspección, los sistemas automatizados producen registros de auditoría completos y legibles por máquina. Los procesos manuales producen hojas de cálculo, hilos de correo y cronologías reconstruidas que rara vez satisfacen a los inspectores.

Integración de screening de sanciones

Los sistemas automatizados filtran cada cliente y contraparte contra listas de sanciones en tiempo real. Cuando las listas se actualizan, el rescreening se dispara automáticamente --cumpliendo tanto el requisito de monitorización continua de MiCA como el requisito DORA de controles sistemáticos y auditables.

FAQ

¿Qué es MiCA y cuándo se aplica completamente?

MiCA (Reglamento de Mercados de Criptoactivos, UE 2023/1114) es el marco regulatorio armonizado de la UE para criptoactivos y proveedores de servicios de criptoactivos. Las disposiciones sobre stablecoins se aplican desde el 30 de junio de 2024. El régimen de licencias completo para CASPs se aplica desde el 30 de diciembre de 2024. El período transitorio para CASPs existentes que operan bajo regímenes nacionales (como el registro español ante el Banco de España) termina el 1 de julio de 2026. Después de esa fecha, solo los CASPs con autorización MiCA pueden operar legalmente en la UE.

¿Qué es la Travel Rule y cómo afecta a las transferencias de criptoactivos?

La Travel Rule (Reglamento de Transferencia de Fondos, UE 2023/1113) exige que la información de identidad --nombre completo, dirección de monedero y un identificador único como el número de DNI-- acompañe cada transferencia de criptoactivos entre CASPs. Para transferencias superiores a 1.000 euros que involucren monederos no alojados, el CASP debe además verificar la titularidad del monedero mediante firma criptográfica de mensaje o métodos equivalentes. No hay umbral mínimo: la obligación de recopilación de datos se aplica a todas las transferencias independientemente del importe.

¿Qué documentos KYC debe recopilar un CASP en el onboarding?

Como mínimo, un CASP debe recopilar un documento de identidad emitido por el gobierno (pasaporte o DNI/NIE), justificante de domicilio con menos de tres meses de antigüedad y un número de identificación único. Para clientes corporativos, los documentos adicionales incluyen Nota Simple del Registro Mercantil, escritura de constitución, declaración de titulares reales e identificación de todos los administradores. Todos los documentos deben verificarse en cuanto a autenticidad y cruzarse con la información declarada por el cliente.

¿Cómo interactúa MiCA con la AMLD6?

MiCA establece el marco de licencias y conducta para CASPs, mientras que la AMLD6 y el Reglamento contra el Blanqueo de Capitales (AMLR) definen las obligaciones PBC/FT que los CASPs deben seguir como sujetos obligados. Los CASPs están explícitamente listados como sujetos obligados bajo el AMLR, sujetos a las mismas obligaciones de diligencia debida, comunicación de operaciones sospechosas y mantenimiento de registros que los bancos y otras instituciones financieras. El umbral de 1.000 euros para la verificación reforzada de transacciones cripto está establecido por el AMLR y se operativiza a través de la Travel Rule. Ambos marcos deben cumplirse simultáneamente.

Prepare su plataforma antes de julio de 2026

El plazo del 1 de julio de 2026 no es un objetivo flexible. Los CASPs que no obtengan la autorización MiCA perderán el derecho a operar en el mercado de 450 millones de personas de la UE. Las obligaciones de verificación de identidad --en el onboarding, a nivel de transacción y mediante monitorización continua-- requieren sistemas que puedan procesar documentos de forma fiable, filtrar contra listas de sanciones en tiempo real y generar las pistas de auditoría que los reguladores exigen durante las inspecciones.

CheckFile proporciona validación documental automatizada diseñada específicamente para el onboarding de plataformas cripto: verificación de documentos de identidad, comprobaciones KYB corporativas, extracción y cruce de datos, y generación completa de pistas de auditoría. Nuestra plataforma procesa expedientes de verificación en segundos con cada paso registrado y trazable, cumpliendo los estándares documentales que la CNMV y el SEPBLAC esperan de los CASPs autorizados bajo MiCA. Explore nuestros precios para encontrar el plan que se ajuste a su volumen de transacciones.

Lectura relacionada: Para el marco KYC más amplio que impulsa estas obligaciones, consulte nuestra guía de requisitos KYC 2026. Para el onboarding de clientes corporativos bajo MiCA, lea nuestra guía de verificación documental KYB empresarial. Para los requisitos de resiliencia operativa que se aplican a sus sistemas de verificación, consulte nuestra guía DORA 2026.

Profundizar en el tema

Descubra nuestras guías prácticas y recursos para dominar el cumplimiento documental.

Artículos relacionados

Cumplimiento10 min

Gestión de riesgos de terceros (TPRM): guía completa 2026

Guía completa de gestión de riesgos de terceros (TPRM): marco DORA, CNMV, evaluación de proveedores, monitoreo continuo y cumplimiento normativo en España 2026.

Leer
Cumplimiento15 min

Evaluación de riesgos de cumplimiento normativo: guía práctica 2026

Cómo identificar, evaluar y mitigar riesgos regulatorios con el marco CNMV y SEPBLAC. Guía completa de compliance risk management para empresas españolas.

Leer
Cumplimiento10 min

GRC: gobernanza, gestión de riesgos y cumplimiento — guía 2026

Qué es el GRC (governance risk management compliance), sus tres pilares, requisitos regulatorios en España bajo CNMV y Sepblac, y cómo implementar un marco eficaz.

Leer