Preparación regulatoria

Preparación regulatoria en la Unión Europea

MiCA, DORA, la Travel Rule de la UE, las obligaciones AML y los requisitos de la regulación de servicios de pago se implementan como módulos de la plataforma, registros y flujos de trabajo operativos, en lugar de quedar en documentos de políticas.

Regulatory Ready Audit Ready Compliance Ready On-Premises Option

Perspectiva de la dirección

Un reglamento común. Muchos Estados de origen.

MiCA, DORA y el marco AML de la UE crean un reglamento común, pero la UE no es un mercado de autorización uniforme. El Estado miembro de origen seleccionado, su autoridad nacional competente, el acceso bancario local y las expectativas supervisoras determinan cómo se desarrolla realmente un programa de autorización.

La transición de MiCA ha finalizado. Los nuevos proyectos de criptoactivos en la UE deben diseñarse desde el principio para el modelo operativo de un proveedor de servicios de criptoactivos (CASP) autorizado, lo que traslada los registros, los controles y la resiliencia de una tarea posterior al lanzamiento a un requisito de diseño.

Grumpio aporta una base técnica de producto común y un programa de implementación regulatoria específico para cada país. La implementación en la UE combina software fintech probado en producción con un programa de preparación en materia de MiCA, pagos, DORA y AML adaptado al Estado de origen, de modo que la dirección coordina un solo plan de entrega en lugar de una cadena de proveedores.

Preparación MiCA y CASP

Preparación en todo el modelo operativo

Grumpio implementa las capas técnicas y operativas de las que dependen una solicitud de CASP y la supervisión continua; los ámbitos de gobernanza, prudencial y jurídico siguen correspondiendo a los asesores del cliente. Dado que los nuevos proyectos de criptoactivos en la UE deben operar como CASP autorizados desde el principio, estas capas se integran en la plataforma antes del lanzamiento en lugar de añadirse después. El alcance se confirma en función del Estado de origen seleccionado y del alcance de autorización solicitado.

Trading, wallet y ledger

La ejecución de órdenes, los flujos de custodia y los registros financieros se construyen como una sola plataforma auditable, estructurada en torno a las expectativas supervisoras.

Administración y permisos

El acceso basado en roles, la segregación de funciones y el registro de auditoría mantienen separadas y trazables las acciones operativas, financieras y administrativas.

Registros de clientes y activos

El sistema produce los datos de clientes, órdenes, transacciones y activos como registros aptos para su comunicación, en lugar de recopilarlos manualmente.

Controles AML, KYC y de transferencias

El control AML, la verificación KYC, las comprobaciones de riesgo de wallets y los controles de transferencias se integran en el onboarding y en las operaciones a través de Legichain o de los proveedores del cliente.

Informes y evidencias de auditoría

Los datos de informes, los logs y los registros operativos se diseñan de modo que las evidencias de auditoría sean un subproducto de la operación diaria y no un ejercicio de recopilación aparte.

Despliegue y traspaso

El despliegue en regiones de la UE, la documentación y un traspaso estructurado permiten que el equipo de ingeniería del cliente opere y amplíe la plataforma.

Para el CTO

DORA como base operativa

DORA se aplica desde enero de 2025 y constituye el marco operativo vigente para los CASP y las entidades de pago y de dinero electrónico. Grumpio construye la plataforma y las evidencias operativas necesarias para integrar DORA en el ciclo de vida tecnológico, en lugar de tratarlo como un ejercicio de políticas independiente.

Revise el enfoque de ingeniería
  • Mapas de activos y servicios TIC: los servicios, las dependencias y las responsabilidades se registran y se mantienen actualizados.
  • Flujos de incidentes: los procesos de detección, clasificación y notificación generan los registros que exigen las obligaciones en materia de incidentes.
  • Registro de eventos y observabilidad: los eventos de clientes, administradores, financieros y de sistema se monitorizan de forma centralizada y pueden comunicarse para auditoría.
  • Continuidad y recuperación: las copias de seguridad se diseñan junto con las pruebas de restauración, los objetivos de recuperación y los entornos operativos alternativos.
  • Terceros y control de cambios: los inventarios de proveedores, los registros de información, la arquitectura de salida y los pipelines de publicación con evidencias se mantienen como datos estructurados.

Arquitectura supervisora

Supervisión distribuida, funciones definidas

La supervisión en la UE está distribuida entre organismos europeos y nacionales, en lugar de concentrarse en un solo regulador central. Las solicitudes de autorización las recibe y evalúa, por lo general, la autoridad nacional competente del Estado miembro de origen seleccionado, que después supervisa a la entidad autorizada, mientras que las autoridades europeas coordinan las normas, los registros y la convergencia supervisora. La tabla resume las funciones públicas de alto nivel; la estructura exacta se confirma para el Estado de origen seleccionado y el modelo de actividad.

Funciones públicas de alto nivel; la estructura aplicable depende del Estado miembro de origen y del modelo de actividad.
Autoridad Función de alto nivel
Autoridad nacional competente del Estado de origen Recibe y evalúa las solicitudes de autorización y supervisa a la entidad autorizada
ESMA Coordina la supervisión de MiCA y mantiene el registro de la UE; no autoriza de forma directa a todos los CASP
EBA Desarrolla normas técnicas y guías sobre servicios de pago, dinero electrónico y materias relacionadas
AMLA Coordina el trabajo de prevención del blanqueo de capitales y de la financiación del terrorismo (PBC/FT) a escala de la UE desde principios de 2026; la supervisión directa de entidades seleccionadas se espera a partir de 2028
Autoridades de protección de datos Aplican el RGPD a nivel de Estado miembro, con el apoyo del CEPD para una interpretación coherente

La mayoría de las entidades siguen supervisadas por sus autoridades nacionales. Estado del marco normativo revisado: 16 de julio de 2026.

Para el responsable de compliance

Transferencias, screening y evidencias

Los requisitos regulatorios se traducen en flujos de trabajo operativos, permisos, registros, alertas y controles, en lugar de quedar en documentos de políticas. Para un negocio de la UE, eso abarca la Travel Rule cripto, las obligaciones de control y los registros supervisores.

La tecnología de screening apoya —y nunca sustituye— al MLRO del cliente, a la política AML nacional y a las decisiones reguladas finales. El futuro marco AML de la UE, aplicable por fases desde mediados de 2027, se monitoriza para poder ajustar los flujos de trabajo.

  • Flujos de la Travel Rule: la información del ordenante y del beneficiario, los datos del CASP contraparte y las declaraciones sobre wallets autocustodiadas se capturan, se someten a control y se registran conforme al modelo operativo.
  • Screening: el control de personas y empresas, de personas expuestas políticamente (PEP) y sanciones, la cobertura mediática adversa (adverse media) y el riesgo multicadena de wallets se ejecutan a través del control AML de Legichain o de los proveedores elegidos por el cliente.
  • Verificación de identidad: la verificación KYC basada en documento, NFC y prueba de vida ofrece decisiones de onboarding automatizadas sobre las que actúa después la política de riesgo del propio cliente.
  • Monitorización y evidencias: el control periódico mantiene actualizado el riesgo de clientes y wallets, y los resultados son exportables como registros estructurados para revisiones internas y solicitudes supervisoras.

Pagos y dinero electrónico

Hoy PSD2. Más adelante PSD3.

PSD2 y EMD2, junto con la implementación nacional, la autenticación reforzada de cliente y DORA, siguen siendo el marco vigente para las entidades de pago y de dinero electrónico de la UE, junto al Reglamento de Pagos Inmediatos allí donde resulta aplicable. PSD3 y el Reglamento de Servicios de Pago constituyen un marco futuro que todavía no ha sustituido al vigente, por lo que los proyectos actuales se construyen sobre las normas en vigor y la transición se sigue a través del modelo de soporte acordado.

  • Adaptación al Estado de origen

    La plataforma de dinero electrónico se adapta a la autorización del Estado de origen del cliente, al modelo de salvaguarda de fondos (safeguarding), a los canales de pago y a la estructura del programa de tarjetas —el alcance se describe en la página de software de plataforma de dinero electrónico.

  • Salvaguarda y conciliación

    El mapeo del ledger, los registros de las cuentas de salvaguarda, la conciliación y los flujos de excepciones producen los registros que exige el modelo de salvaguarda de la entidad. Grumpio no mantiene, salvaguarda ni transmite fondos de clientes.

  • Tarjetas cripto y wallets

    Una propuesta de tarjeta cripto o de wallet puede afectar a la vez al alcance de autorización de MiCA, a la autorización de pago o de dinero electrónico y a las normas de los esquemas de tarjetas; la arquitectura se mapea sobre todas esas capas en lugar de reducirse a una sola autorización.

Arquitectura de datos

RGPD y residencia de datos

Los entornos de cliente de la UE pueden desplegarse on-premises o en infraestructura dedicada en regiones de la UE, con flujos de datos y conservación adaptados al modelo operativo del Estado de origen. El almacenamiento de datos y la arquitectura de despliegue pueden configurarse en torno a la jurisdicción operativa y los requisitos institucionales del cliente.

La ubicación del despliegue es un elemento de una arquitectura de datos más amplia: la base jurídica, la conservación, la minimización, el control de acceso y los registros de violaciones de seguridad de los datos se abordan en el diseño de la plataforma, y las transferencias fuera del EEE se evalúan con las garantías adecuadas. Alojar en un solo país no resuelve por sí mismo todas las obligaciones de protección de datos.

Soluciones relacionadas

La preparación avanza con el producto

La preparación en la UE no se entrega como un informe. Se construye sobre la plataforma que el negocio va a operar, dentro del mismo plan de proyecto que el despliegue y las integraciones. El programa completo se describe en la página de preparación regulatoria.

Proceso de implementación

Del Estado de origen a la evidencia

La preparación se entrega como un proceso de ingeniería con resultados verificables, ejecutado en paralelo al despliegue de la plataforma y no como un ejercicio documental aparte. Se adapta una plataforma probada en producción al Estado de origen seleccionado, al alcance de autorización, a los proveedores, al modelo de datos y a las expectativas supervisoras, de modo que la secuencia siguiente se planifica en torno a la jurisdicción y al modelo de actividad.

  1. Alcance y Estado de origen

    El modelo de actividad, los servicios solicitados, el Estado miembro de origen objetivo y los sistemas existentes se evalúan de forma conjunta.

  2. Mapeo de requisitos

    Los requisitos de MiCA, DORA, la Travel Rule, AML, pagos y datos se mapean a módulos de la plataforma, registros, flujos de trabajo y proveedores para la jurisdicción seleccionada.

  3. Implementación

    Los módulos, los permisos, las integraciones y los registros se configuran en la plataforma; el trabajo de preparación avanza en paralelo al despliegue y a la personalización.

  4. Evidencias y validación

    Los registros, los logs, los informes y los resultados de continuidad se someten a prueba para confirmar que el sistema produce lo que esperan la supervisión y la auditoría.

  5. Operación y actualizaciones

    Los textos futuros, como PSD3, el PSR y el paquete AML de la UE, se monitorizan tras la puesta en producción, y los cambios se aplican a través del modelo de soporte acordado.

FAQ

Preguntas frecuentes

El programa equivalente para negocios del Reino Unido se describe en la página de preparación regulatoria en el Reino Unido.

Siguiente paso

Planifique el programa de preparación en la UE

La primera reunión revisa el modelo de actividad, los Estados de origen candidatos y los sistemas actuales, y después esboza cómo se ejecutarían la entrega de la plataforma y el trabajo de preparación en un solo plan.