Revisión de ESMA sobre custodia de criptoactivos en España

Meta title: ESMA revisa la custodia de criptoactivos bajo MiCA
Meta description: ESMA inicia una revisión de la seguridad y resiliencia de los custodios de criptoactivos. Claves para usuarios y empresas en España.
URL slug: /esma-revision-custodia-criptoactivos-mica-espana/

ESMA revisa la seguridad de la custodia de criptoactivos: qué cambia en España

ESMA anunció el 8 de julio de 2026 una acción común de supervisión sobre la resiliencia operativa digital de los custodios de criptoactivos autorizados bajo MiCA. La revisión ESMA custodia cripto no equivale a una investigación de todos los exchanges europeos ni incluye, por ahora, una lista pública de empresas seleccionadas: las autoridades nacionales analizarán una muestra basada en riesgo. Para España, el asunto es relevante porque cada vez más usuarios mantienen Bitcoin, Ether y otros cryptoassets en plataformas de custodia. Fuente: ESMA.

ESMA inicia una revisión europea de la custodia de criptoactivos

La iniciativa sitúa la ESMA custodia de criptoactivos en una fase nueva: no solo importa que los proveedores obtengan autorización bajo MiCA, sino que puedan demostrar controles sólidos sobre claves privadas, tecnología, continuidad del negocio y protección de activos de clientes. La medida se enmarca en la supervisión coordinada de los Crypto-Asset Service Providers, o CASP, dentro de la European Union.

Para seguir la evolución regulatoria del sector, puede consultarse la cobertura de noticias sobre criptomonedas, especialmente cuando ESMA o las autoridades nacionales publiquen nuevas comunicaciones.

En qué consiste la acción común de supervisión

Una acción común de supervisión ESMA es un ejercicio coordinado para promover criterios homogéneos entre los supervisores de los EU member states. En la práctica, no será ESMA quien revise directamente cada plataforma, sino las national competent authorities. Estas autoridades examinarán una muestra basada en riesgo de CASP autorizados, incluidos proveedores de servicios de criptoactivos que ofrecen custodia.

Calendario de la revisión y próximos pasos

El calendario publicado por ESMA prevé el anuncio el 8 de julio de 2026, una revisión operativa durante el segundo semestre de 2026 y el primer semestre de 2027, la consolidación posterior de conclusiones y un informe final esperado en el segundo semestre de 2027. El comunicado no promete sanciones inmediatas, retirada de licencias ni publicación de resultados empresa por empresa. Fuente: ESMA.

Infographic showing the timeline of the ESMA review process from July 2026 to the second half of 2027.

Qué controles de seguridad examinarán los supervisores

La ESMA custodia de criptoactivos se centra en la resiliencia operativa: la capacidad de un custodio autorizado para prevenir incidentes, resistir fallos tecnológicos y recuperar servicios críticos. Esto afecta tanto a exchanges de criptomonedas como a wallet providers o financial institutions acting as CASPs, siempre que presten servicios de custodia dentro del marco MiCA.

Gestión de claves, almacenamiento y transacciones

Los supervisores revisarán áreas como la generación y gestión de claves privadas, el almacenamiento de criptoactivos en hot wallet y cold wallet, los controles de acceso, la autorización de transferencias y el transaction monitoring. En términos prácticos, evaluarán si existen procedimientos para impedir movimientos no autorizados y si los registros internos permiten reconstruir la posición de cada cliente. Fuente: ESMA.

Incidentes, contratos inteligentes y proveedores externos

ESMA también ha señalado la detección de incidentes, la respuesta y recuperación, las vulnerabilidades de smart contracts, la dependencia de cloud infrastructure, software y otros ICT third-party providers, así como la gobernanza y asignación de responsabilidades. Una plataforma puede ser vulnerable aunque su wallet sea robusta si falla un proveedor tecnológico externo o un servicio conectado a su infraestructura DLT. Fuente: ESMA.

Por qué la revisión de ESMA es importante para España

La seguridad custodia cripto España ya no depende solo de buenas prácticas voluntarias. Tras la entrada plena del régimen MiCA, los custodios de criptoactivos MiCA deben operar bajo reglas europeas de autorización, conducta, protección de clientes y resiliencia. Para una visión más amplia del contexto, esta guía de regulación de criptomonedas en Europa ayuda a ubicar el papel de MiCA, ESMA y los supervisores nacionales.

El papel de la CNMV bajo MiCA

La CNMV es la autoridad competente en España para supervisar el cumplimiento de MiCA por parte de los proveedores de servicios de criptoactivos sujetos a su competencia. Dicho de forma prudente: la CNMV será la autoridad relevante para la supervisión de los CASP sujetos a su competencia en España. No hay base pública para afirmar que una empresa española concreta haya sido seleccionada. Fuente: CNMV.

El Banco de España mantiene funciones específicas en relación con emisores de asset-referenced tokens, ART, y e-money tokens, EMT, pero no debe confundirse ese papel con la supervisión general de custodios bajo esta revisión europea.

Qué cambió tras el 1 de julio de 2026

El periodo transitorio español de MiCA terminó el 1 de julio de 2026. Desde esa fecha, los proveedores que operaban bajo arreglos anteriores no pueden seguir como antes sin la autorización exigida. Los usuarios deben comprobar si el proveedor está autorizado por la CNMV o por otra autoridad de la UE y si aparece en el registro oficial correspondiente. Fuente: CNMV y registro MiCA de ESMA.

Visual representation of verifying if a crypto custodian is authorized in Spain using official registers.

Qué significa custodiar criptoactivos para un usuario

La ESMA custodia de criptoactivos puede sonar técnica, pero afecta a una decisión cotidiana: quién controla el acceso a los activos. Un usuario que mantiene Bitcoin, Ether o stablecoins en una plataforma de negociación confía en que ese proveedor gestione claves, registros, retiradas y seguridad operativa. Quien quiera profundizar en prácticas de protección puede consultar estas guías para proteger criptoactivos.

Custodia propia frente a custodia mediante una plataforma

En la custodia propia de criptomonedas, el usuario controla sus claves privadas mediante una wallet de criptomonedas. En la custodia en exchange, una plataforma, wallet provider o entidad financiera controla el acceso operativo a los cryptoassets. Ningún modelo es universalmente superior: la self-custody exige disciplina técnica; la custodia delegada introduce dependencia del proveedor.

Qué obligaciones establece MiCA para los custodios

El Artículo 75 de MiCA exige, entre otros elementos, un acuerdo de custodia con el cliente, descripción de sistemas de seguridad y comisiones, registros de posiciones individuales, una política formal de custodia, segregación de criptoactivos del cliente frente a activos propios, procedimientos de devolución y responsabilidad por pérdidas atribuibles al proveedor. No implica responsabilidad automática por cualquier pérdida, especialmente si el evento no es atribuible al CASP. Fuente: Reglamento MiCA, Artículo 75.

Cómo puede afectar a exchanges, custodios y usuarios

La ESMA custodia de criptoactivos puede traducirse en una supervisión más concreta de procesos que antes quedaban menos visibles para el cliente: documentación de claves, controles de transacciones, proveedores TIC, continuidad del negocio y respuesta ante incidentes. Para quienes comparan servicios, una comparación de plataformas de criptomonedas puede servir como punto de partida informativo, sin que ello implique aprobación regulatoria.

Consecuencias para las empresas de criptoactivos

Para los CASP autorizados, la revisión puede llevar a revisar políticas internas de seguridad, documentar mejor la gestión de claves, probar planes de recuperación, reforzar la supervisión de proveedores tecnológicos externos e invertir en ciberseguridad y compliance CASP. Si se detectan debilidades, podrían solicitarse medidas de remediación, aunque el resultado dependerá de cada revisión nacional.

Consecuencias para los clientes en España

Los clientes pueden beneficiarse de controles más consistentes, pero la revisión no elimina el riesgo cripto. Conviene verificar la autorización MiCA, leer la custody policy, revisar los procedimientos de retirada, activar autenticación multifactor, entender quién controla las claves privadas y evitar mantener cantidades innecesarias de forma permanente en una plataforma de trading.

Relación entre MiCA y DORA

MiCA y DORA son marcos distintos pero conectados. MiCA establece reglas sectoriales para los proveedores de servicios de criptoactivos: autorización, conducta, custodia, segregación de activos de clientes y obligaciones específicas para CASP. DORA, por su parte, fija un marco europeo más amplio de resiliencia operativa digital para entidades financieras, con foco en gestión del riesgo TIC, respuesta ante incidentes, pruebas de resiliencia y riesgo de terceros tecnológicos.

La revisión ESMA custodia cripto conecta ambos planos: aplica a custodios autorizados bajo MiCA, pero examina cuestiones muy cercanas a DORA criptoactivos, como incident-detection systems, business continuity, dependencia de cloud-service providers y governance del riesgo operativo. No todas las obligaciones proceden de MiCA, ni MiCA y DORA son la misma regulación. Fuente: Reglamento DORA.

Riesgos y limitaciones que siguen existiendo

La autorización y la supervisión no eliminan la volatilidad de criptomonedas, la posible pérdida total del capital, el phishing, los ataques de ingeniería social, los errores del usuario, la pérdida de claves, las vulnerabilidades de blockchain o smart contracts, la insolvencia del proveedor ni las interrupciones operativas. La seguridad de custodia tampoco equivale a rendimiento de mercado: un custodio técnicamente sólido no puede impedir que Bitcoin, Ether u otro activo pierdan valor.

La CNMV también advierte de que MiCA no suprime los riesgos de fraude, ciberataques, fallos operativos ni la ausencia de un sistema general de compensación comparable al de ciertos productos financieros regulados en caso de fallo del proveedor. Fuente: CNMV.

Conclusión

La ESMA custodia de criptoactivos marca un cambio de énfasis: después de la autorización, los supervisores quieren comprobar si los custodios autorizados mantienen sistemas maduros de seguridad, gobernanza y resiliencia. En España, la clave para los usuarios pasa por la CNMV, la autorización MiCA, el registro oficial y una lectura prudente de los riesgos. La revisión puede elevar el estándar del sector, pero no permite anticipar qué plataformas serán examinadas ni cuáles superarán el proceso.

Preguntas frecuentes sobre la revisión de ESMA

¿Qué está revisando ESMA en los custodios de criptoactivos?

ESMA se centra en la resiliencia operativa: gobernanza, gestión de claves privadas, almacenamiento, controles de transacciones, respuesta ante incidentes, riesgos de smart contracts y dependencia de proveedores tecnológicos externos.

¿ESMA investigará a todos los exchanges de Europa?

No. Las autoridades nacionales examinarán una muestra basada en riesgo de CASP autorizados. ESMA no ha publicado una lista completa de firmas seleccionadas ni ha dicho que vaya a revisar todos los exchanges de Europa.

¿Cómo puedo saber si un custodio está autorizado en España?

Los usuarios pueden consultar los registros de la CNMV y de ESMA. Un operador también puede prestar servicios en España si cuenta con autorización MiCA concedida por otra autoridad competente de la UE y usa el pasaporte europeo.

¿Una licencia MiCA garantiza que mis criptomonedas están seguras?

No. La licencia MiCA introduce requisitos de organización, custodia y protección del cliente, pero no elimina ciberataques, errores del usuario, riesgo de insolvencia, fallos operativos ni volatilidad del mercado cripto.

Disclaimer: Este artículo tiene fines exclusivamente informativos y no constituye asesoramiento financiero. Los criptoactivos son volátiles y pueden provocar la pérdida total del capital. La autorización regulatoria y las medidas de custodia no eliminan todos los riesgos tecnológicos, operativos o de mercado.