Preparación regulatoria
Preparación regulatoria en la Unión Europea
MiCA, DORA, la Travel Rule de la UE, las obligaciones AML y los requisitos de la regulación de servicios de pago se implementan como módulos de la plataforma, registros y flujos de trabajo operativos, en lugar de quedar en documentos de políticas.
Perspectiva de la dirección
Un reglamento común. Muchos Estados de origen.
MiCA, DORA y el marco AML de la UE crean un reglamento común, pero la UE no es un mercado de autorización uniforme. El Estado miembro de origen seleccionado, su autoridad nacional competente, el acceso bancario local y las expectativas supervisoras determinan cómo se desarrolla realmente un programa de autorización.
La transición de MiCA ha finalizado. Los nuevos proyectos de criptoactivos en la UE deben diseñarse desde el principio para el modelo operativo de un proveedor de servicios de criptoactivos (CASP) autorizado, lo que traslada los registros, los controles y la resiliencia de una tarea posterior al lanzamiento a un requisito de diseño.
Grumpio aporta una base técnica de producto común y un programa de implementación regulatoria específico para cada país. La implementación en la UE combina software fintech probado en producción con un programa de preparación en materia de MiCA, pagos, DORA y AML adaptado al Estado de origen, de modo que la dirección coordina un solo plan de entrega en lugar de una cadena de proveedores.
Preparación MiCA y CASP
Preparación en todo el modelo operativo
Grumpio implementa las capas técnicas y operativas de las que dependen una solicitud de CASP y la supervisión continua; los ámbitos de gobernanza, prudencial y jurídico siguen correspondiendo a los asesores del cliente. Dado que los nuevos proyectos de criptoactivos en la UE deben operar como CASP autorizados desde el principio, estas capas se integran en la plataforma antes del lanzamiento en lugar de añadirse después. El alcance se confirma en función del Estado de origen seleccionado y del alcance de autorización solicitado.
Trading, wallet y ledger
La ejecución de órdenes, los flujos de custodia y los registros financieros se construyen como una sola plataforma auditable, estructurada en torno a las expectativas supervisoras.
Administración y permisos
El acceso basado en roles, la segregación de funciones y el registro de auditoría mantienen separadas y trazables las acciones operativas, financieras y administrativas.
Registros de clientes y activos
El sistema produce los datos de clientes, órdenes, transacciones y activos como registros aptos para su comunicación, en lugar de recopilarlos manualmente.
Controles AML, KYC y de transferencias
El control AML, la verificación KYC, las comprobaciones de riesgo de wallets y los controles de transferencias se integran en el onboarding y en las operaciones a través de Legichain o de los proveedores del cliente.
Informes y evidencias de auditoría
Los datos de informes, los logs y los registros operativos se diseñan de modo que las evidencias de auditoría sean un subproducto de la operación diaria y no un ejercicio de recopilación aparte.
Despliegue y traspaso
El despliegue en regiones de la UE, la documentación y un traspaso estructurado permiten que el equipo de ingeniería del cliente opere y amplíe la plataforma.
Para el CTO
DORA como base operativa
DORA se aplica desde enero de 2025 y constituye el marco operativo vigente para los CASP y las entidades de pago y de dinero electrónico. Grumpio construye la plataforma y las evidencias operativas necesarias para integrar DORA en el ciclo de vida tecnológico, en lugar de tratarlo como un ejercicio de políticas independiente.
Revise el enfoque de ingeniería- Mapas de activos y servicios TIC: los servicios, las dependencias y las responsabilidades se registran y se mantienen actualizados.
- Flujos de incidentes: los procesos de detección, clasificación y notificación generan los registros que exigen las obligaciones en materia de incidentes.
- Registro de eventos y observabilidad: los eventos de clientes, administradores, financieros y de sistema se monitorizan de forma centralizada y pueden comunicarse para auditoría.
- Continuidad y recuperación: las copias de seguridad se diseñan junto con las pruebas de restauración, los objetivos de recuperación y los entornos operativos alternativos.
- Terceros y control de cambios: los inventarios de proveedores, los registros de información, la arquitectura de salida y los pipelines de publicación con evidencias se mantienen como datos estructurados.
Arquitectura supervisora
Supervisión distribuida, funciones definidas
La supervisión en la UE está distribuida entre organismos europeos y nacionales, en lugar de concentrarse en un solo regulador central. Las solicitudes de autorización las recibe y evalúa, por lo general, la autoridad nacional competente del Estado miembro de origen seleccionado, que después supervisa a la entidad autorizada, mientras que las autoridades europeas coordinan las normas, los registros y la convergencia supervisora. La tabla resume las funciones públicas de alto nivel; la estructura exacta se confirma para el Estado de origen seleccionado y el modelo de actividad.
| Autoridad | Función de alto nivel |
|---|---|
| Autoridad nacional competente del Estado de origen | Recibe y evalúa las solicitudes de autorización y supervisa a la entidad autorizada |
| ESMA | Coordina la supervisión de MiCA y mantiene el registro de la UE; no autoriza de forma directa a todos los CASP |
| EBA | Desarrolla normas técnicas y guías sobre servicios de pago, dinero electrónico y materias relacionadas |
| AMLA | Coordina el trabajo de prevención del blanqueo de capitales y de la financiación del terrorismo (PBC/FT) a escala de la UE desde principios de 2026; la supervisión directa de entidades seleccionadas se espera a partir de 2028 |
| Autoridades de protección de datos | Aplican el RGPD a nivel de Estado miembro, con el apoyo del CEPD para una interpretación coherente |
La mayoría de las entidades siguen supervisadas por sus autoridades nacionales. Estado del marco normativo revisado: 16 de julio de 2026.
Para el responsable de compliance
Transferencias, screening y evidencias
Los requisitos regulatorios se traducen en flujos de trabajo operativos, permisos, registros, alertas y controles, en lugar de quedar en documentos de políticas. Para un negocio de la UE, eso abarca la Travel Rule cripto, las obligaciones de control y los registros supervisores.
La tecnología de screening apoya —y nunca sustituye— al MLRO del cliente, a la política AML nacional y a las decisiones reguladas finales. El futuro marco AML de la UE, aplicable por fases desde mediados de 2027, se monitoriza para poder ajustar los flujos de trabajo.
- Flujos de la Travel Rule: la información del ordenante y del beneficiario, los datos del CASP contraparte y las declaraciones sobre wallets autocustodiadas se capturan, se someten a control y se registran conforme al modelo operativo.
- Screening: el control de personas y empresas, de personas expuestas políticamente (PEP) y sanciones, la cobertura mediática adversa (adverse media) y el riesgo multicadena de wallets se ejecutan a través del control AML de Legichain o de los proveedores elegidos por el cliente.
- Verificación de identidad: la verificación KYC basada en documento, NFC y prueba de vida ofrece decisiones de onboarding automatizadas sobre las que actúa después la política de riesgo del propio cliente.
- Monitorización y evidencias: el control periódico mantiene actualizado el riesgo de clientes y wallets, y los resultados son exportables como registros estructurados para revisiones internas y solicitudes supervisoras.
Pagos y dinero electrónico
Hoy PSD2. Más adelante PSD3.
PSD2 y EMD2, junto con la implementación nacional, la autenticación reforzada de cliente y DORA, siguen siendo el marco vigente para las entidades de pago y de dinero electrónico de la UE, junto al Reglamento de Pagos Inmediatos allí donde resulta aplicable. PSD3 y el Reglamento de Servicios de Pago constituyen un marco futuro que todavía no ha sustituido al vigente, por lo que los proyectos actuales se construyen sobre las normas en vigor y la transición se sigue a través del modelo de soporte acordado.
-
Adaptación al Estado de origen
La plataforma de dinero electrónico se adapta a la autorización del Estado de origen del cliente, al modelo de salvaguarda de fondos (safeguarding), a los canales de pago y a la estructura del programa de tarjetas —el alcance se describe en la página de software de plataforma de dinero electrónico.
-
Salvaguarda y conciliación
El mapeo del ledger, los registros de las cuentas de salvaguarda, la conciliación y los flujos de excepciones producen los registros que exige el modelo de salvaguarda de la entidad. Grumpio no mantiene, salvaguarda ni transmite fondos de clientes.
-
Tarjetas cripto y wallets
Una propuesta de tarjeta cripto o de wallet puede afectar a la vez al alcance de autorización de MiCA, a la autorización de pago o de dinero electrónico y a las normas de los esquemas de tarjetas; la arquitectura se mapea sobre todas esas capas en lugar de reducirse a una sola autorización.
Arquitectura de datos
RGPD y residencia de datos
Los entornos de cliente de la UE pueden desplegarse on-premises o en infraestructura dedicada en regiones de la UE, con flujos de datos y conservación adaptados al modelo operativo del Estado de origen. El almacenamiento de datos y la arquitectura de despliegue pueden configurarse en torno a la jurisdicción operativa y los requisitos institucionales del cliente.
La ubicación del despliegue es un elemento de una arquitectura de datos más amplia: la base jurídica, la conservación, la minimización, el control de acceso y los registros de violaciones de seguridad de los datos se abordan en el diseño de la plataforma, y las transferencias fuera del EEE se evalúan con las garantías adecuadas. Alojar en un solo país no resuelve por sí mismo todas las obligaciones de protección de datos.
Soluciones relacionadas
La preparación avanza con el producto
La preparación en la UE no se entrega como un informe. Se construye sobre la plataforma que el negocio va a operar, dentro del mismo plan de proyecto que el despliegue y las integraciones. El programa completo se describe en la página de preparación regulatoria.
-
Software para exchange de criptomonedas
Trading, wallets, ledger, soporte de la Travel Rule y back office desarrollados para el modelo operativo de un CASP autorizado.
-
Software de plataforma de dinero electrónico
Cuentas, registro contable de doble partida (ledger), registros de salvaguarda, pagos y back office adaptados a la autorización del Estado de origen.
-
Software de control AML
Control de personas y empresas, PEP y sanciones, cobertura mediática adversa y riesgo de wallets con evidencias exportables.
-
Software de verificación KYC
Verificación automatizada de documento, NFC y prueba de vida integrada en los recorridos de onboarding de la UE.
Proceso de implementación
Del Estado de origen a la evidencia
La preparación se entrega como un proceso de ingeniería con resultados verificables, ejecutado en paralelo al despliegue de la plataforma y no como un ejercicio documental aparte. Se adapta una plataforma probada en producción al Estado de origen seleccionado, al alcance de autorización, a los proveedores, al modelo de datos y a las expectativas supervisoras, de modo que la secuencia siguiente se planifica en torno a la jurisdicción y al modelo de actividad.
-
Alcance y Estado de origen
El modelo de actividad, los servicios solicitados, el Estado miembro de origen objetivo y los sistemas existentes se evalúan de forma conjunta.
-
Mapeo de requisitos
Los requisitos de MiCA, DORA, la Travel Rule, AML, pagos y datos se mapean a módulos de la plataforma, registros, flujos de trabajo y proveedores para la jurisdicción seleccionada.
-
Implementación
Los módulos, los permisos, las integraciones y los registros se configuran en la plataforma; el trabajo de preparación avanza en paralelo al despliegue y a la personalización.
-
Evidencias y validación
Los registros, los logs, los informes y los resultados de continuidad se someten a prueba para confirmar que el sistema produce lo que esperan la supervisión y la auditoría.
-
Operación y actualizaciones
Los textos futuros, como PSD3, el PSR y el paquete AML de la UE, se monitorizan tras la puesta en producción, y los cambios se aplican a través del modelo de soporte acordado.
FAQ
Preguntas frecuentes
La autorización la tramita, por lo general, la autoridad nacional competente del Estado miembro de origen seleccionado, que recibe la solicitud y supervisa a la entidad autorizada. La ESMA respalda la convergencia supervisora y mantiene el registro de la UE, pero no es automáticamente la autoridad que autoriza de forma directa a todos los CASP.
La transición de MiCA ha finalizado. Los nuevos proyectos de criptoactivos en la UE deben diseñarse desde el principio para el modelo operativo de un CASP autorizado. En la práctica, el trading, la custodia, los registros, los controles AML/KYC y los de resiliencia se integran en la plataforma antes del lanzamiento en lugar de añadirse después, y la implementación se adapta al Estado de origen seleccionado.
DORA se aplica desde enero de 2025 y se trata como el marco operativo vigente, no como legislación futura. Los mapas de activos y servicios TIC, los flujos de incidentes, el registro centralizado de eventos, las pruebas de copia y restauración, los inventarios de terceros y los controles de cambios se configuran como parte de la plataforma, de modo que las evidencias operativas que DORA espera las produce el propio sistema.
Los entornos de cliente de la UE pueden desplegarse on-premises o en infraestructura dedicada en regiones de la UE, con flujos de datos y conservación adaptados al modelo operativo del Estado de origen. La ubicación del alojamiento por sí sola no resuelve todas las cuestiones de protección de datos, por lo que las transferencias, la conservación y los accesos se evalúan como parte del diseño del despliegue.
PSD2 y EMD2, junto con la implementación nacional, siguen siendo el marco vigente de pagos y de dinero electrónico en la UE. PSD3 y el PSR son un marco futuro que no había sido adoptado formalmente en la última fecha de revisión. Las plataformas se estructuran de modo que la transición pueda seguirse y aplicarse a través del modelo de soporte acordado.
No. Grumpio entrega el software, los registros, los flujos de trabajo y los controles operativos de los que depende un programa de autorización, y se coordina con los asesores jurídicos y de compliance del cliente. Los dictámenes jurídicos y la decisión de autorización siguen correspondiendo a los asesores del cliente y a la autoridad nacional competente.
El programa equivalente para negocios del Reino Unido se describe en la página de preparación regulatoria en el Reino Unido.
Siguiente paso
Planifique el programa de preparación en la UE
La primera reunión revisa el modelo de actividad, los Estados de origen candidatos y los sistemas actuales, y después esboza cómo se ejecutarían la entrega de la plataforma y el trabajo de preparación en un solo plan.