La industria cripto de Europa está a punto de enfrentarse a su prueba de esfuerzo operativa más rigurosa hasta la fecha. El 8 de julio de 2026, la Autoridad Europea de Valores y Mercados puso en marcha una Acción de Supervisión Común dirigida a la custodia de criptoactivos —la función en el corazón mismo de cómo las empresas protegen los activos de los clientes—, marcando un cambio decisivo en la revisión de la custodia cripto por parte de ESMA, que pasa de la teoría regulatoria a la realidad de la aplicación estricta.
Summary
Conclusiones clave
- ESMA lanzó una Acción de Supervisión Común coordinada el 8 de julio de 2026, sometiendo los servicios de custodia de criptoactivos a un escrutinio directo en toda la UE.
- La revisión se desarrolla desde la segunda mitad de 2026 hasta la primera mitad de 2027, con un informe consolidado previsto para la segunda mitad de 2027.
- Las autoridades nacionales competentes llevarán a cabo revisiones basadas en el riesgo de una muestra de los 280 proveedores autorizados actualmente registrados bajo MiCA.
- Ripple recibió la autorización CASP completa por parte de la CSSF de Luxemburgo el 6 de julio de 2026, quedando habilitada para operar en todo el Espacio Económico Europeo de 30 países.
- La CNMV de España confirmó que no habrá prórrogas de los plazos para las plataformas cripto sin licencia, lo que indica un endurecimiento de la postura de supervisión en todo el bloque.
ESMA lanza una Acción de Supervisión Común sobre la custodia de criptoactivos bajo MiCA
El momento es deliberado. El periodo transitorio de MiCA ha concluido, el registro de proveedores autorizados ha aumentado hasta 280 empresas, y ESMA ahora quiere saber si las compañías que obtuvieron esas autorizaciones han construido realmente los controles operativos que sus licencias implican. La revisión de la custodia es ese ejercicio de verificación: estructurado, coordinado y diseñado para producir conclusiones a nivel de la UE en lugar de instantáneas nacionales aisladas.
Lo que hace significativa esta acción no es solo su alcance, sino su intención. ESMA la enmarcó explícitamente como una respuesta a la resiliencia operativa digital y a los proveedores de servicios de criptoactivos, que aparecen como prioridades gemelas en su propia agenda de supervisión basada en el riesgo. El regulador no está investigando un fallo específico. Está llevando a cabo una auditoría proactiva de todo un sector regulado en el momento en que pasa a estar plenamente sujeto a supervisión.
Alcance y enfoque de la revisión de la custodia
La Acción de Supervisión Común se centra en las capas técnicas y de gobernanza donde realmente reside el riesgo de custodia. La revisión abarca disposiciones de gobernanza, gestión de claves y almacenamiento, controles de transacciones, detección y respuesta a incidentes, riesgos de contratos inteligentes y dependencias de proveedores externos. Cada una de estas áreas se corresponde directamente con la forma en que un custodio mantiene, mueve y protege los criptoactivos en nombre de los clientes.
La gestión de claves por sí sola —cómo se generan, almacenan y protegen las claves privadas— representa uno de los riesgos operativos más trascendentales de toda la pila cripto. Un fallo de gobernanza en ese punto no es un problema de cumplimiento abstracto; es una posible pérdida de fondos de los clientes. La decisión de ESMA de someter estos controles a una revisión estructurada indica que el regulador comprende la especificidad técnica del riesgo cripto de una manera que los marcos regulatorios anteriores, más generalistas, no lo hacían.
Las dependencias de terceros son igualmente reveladoras como área de enfoque. Muchos custodios dependen de proveedores externos de tecnología para la infraestructura central de custodia, y esa cadena de externalización puede introducir vulnerabilidades que quedan fuera del control directo de la empresa autorizada. Incluir esto en el alcance cierra una brecha que, de otro modo, podría convertirse en un punto ciego regulatorio.
Cronograma y calendario de informes
La revisión se desarrolla desde la segunda mitad de 2026 hasta la primera mitad de 2027. Posteriormente, se remitirá un informe consolidado al Consejo de Supervisores de ESMA en la segunda mitad de 2027. Esa secuencia es importante: las conclusiones alimentarán la convergencia supervisora a nivel de la UE, ayudando a garantizar que un custodio autorizado en un Estado miembro se enfrente a las mismas expectativas de resiliencia que uno autorizado en otro.
Supervisión basada en el riesgo por parte de los reguladores nacionales y novedades sobre la aplicación de MiCA
Las autoridades nacionales competentes llevarán a cabo la revisión en sus jurisdicciones, dirigiéndose a una muestra basada en el riesgo de proveedores autorizados en lugar de a toda la población. Este diseño mantiene la supervisión directa en manos de los reguladores de los Estados miembros, al tiempo que canaliza los resultados al nivel de la UE: la misma arquitectura de responsabilidad compartida que ha definido la implementación de MiCA desde el principio.
Papel de las autoridades nacionales competentes en la revisión
Concentrar la atención supervisora en una muestra basada en el riesgo, en lugar de en todas las empresas registradas, es a la vez práctico y estratégico. Permite a los reguladores nacionales centrar los recursos donde la brecha de resiliencia podría ser más dañina, mientras que la metodología común garantiza que los datos resultantes sean comparables entre fronteras. Esa comparabilidad es lo que permite a ESMA construir una imagen creíble a escala de la UE a partir de lo que son esencialmente más de 30 ejercicios nacionales separados.
La acción llega en un momento en que la aplicación de MiCA se endurece visiblemente. La CNMV de España descartó cualquier prórroga para las plataformas cripto sin licencia, y su presidente, Carlos San Basilio, dejó claro que no habría excepciones al plazo. Esa postura, combinada con la revisión de la custodia por parte de ESMA, dibuja un panorama de reguladores que se mueven en la misma dirección al mismo tiempo: no una coordinación por casualidad, sino la consecuencia previsible de un marco que siempre estuvo diseñado para crear resultados convergentes.
Estado actual de los proveedores de servicios de criptoactivos autorizados
El registro MiCA se ha ampliado hasta 280 proveedores autorizados tras el periodo transitorio, frente a los 243 anteriores, incorporando una amplia mezcla de custodios, bolsas y emisores de tokens bajo una única estructura de supervisión de la UE. Standard Chartered, FalconX y Sygnum Europe se encuentran entre las nuevas empresas incluidas, con Chipre liderando la última oleada de aprobaciones con seis nuevas autorizaciones.
Una de las autorizaciones individuales más trascendentales llegó apenas dos días antes del anuncio de ESMA. Ripple obtuvo la autorización CASP completa de la CSSF de Luxemburgo el 6 de julio de 2026, lo que le permite operar en todo el Espacio Económico Europeo de 30 países. Para empresas de la escala de Ripple, esa licencia no es simplemente una casilla de cumplimiento: es un pasaporte al mayor mercado cripto regulado del mundo.
La revisión de la custodia ofrece a ESMA su primera lectura estructurada sobre los controles de resiliencia desde que las empresas comenzaron a pasar de los registros transitorios nacionales al registro compartido de la UE. Para los 280 proveedores autorizados que ahora se encuentran dentro del perímetro de MiCA, la cuestión ya no es si están regulados. Es si la realidad operativa dentro de sus operaciones de custodia coincide realmente con las normas que su autorización presupone.
Preguntas frecuentes
¿Cuál es el enfoque de la revisión de la custodia de criptoactivos de ESMA?
La revisión se centra en evaluar la resiliencia operativa digital de los proveedores de servicios de criptoactivos autorizados, con los servicios de custodia como foco central. Cubre las disposiciones de gobernanza, la gestión de claves y almacenamiento, los controles de transacciones, la detección y respuesta a incidentes, los riesgos de contratos inteligentes y las dependencias de proveedores externos.
¿Quién es responsable de llevar a cabo la revisión de la custodia en cada Estado miembro de la UE?
Las autoridades nacionales competentes realizan revisiones basadas en el riesgo de los proveedores de servicios de criptoactivos autorizados dentro de sus propias jurisdicciones, trabajando con una metodología común coordinada por ESMA.
¿Cuántos proveedores de servicios de criptoactivos autorizados están registrados bajo MiCA?
Tras el periodo transitorio, el registro MiCA incluye 280 proveedores de servicios de criptoactivos autorizados, que abarcan custodios, bolsas y emisores de tokens en toda la UE.
¿Se ha autorizado a Ripple a operar bajo la aplicación de MiCA?
Sí. Ripple recibió la autorización CASP completa de la CSSF de Luxemburgo el 6 de julio de 2026, quedando habilitada para operar en todo el Espacio Económico Europeo de 30 países.
{«@context»:»https://schema.org»,»@type»:»FAQPage»,»mainEntity»:[{«@type»:»Question»,»name»:»¿Cuál es el enfoque de la revisión de la custodia de criptoactivos de ESMA?»,»acceptedAnswer»:{«@type»:»Answer»,»text»:»La revisión se centra en evaluar la resiliencia operativa digital de los proveedores de servicios de criptoactivos autorizados, con los servicios de custodia como foco central. Cubre las disposiciones de gobernanza, la gestión de claves y almacenamiento, los controles de transacciones, la detección y respuesta a incidentes, los riesgos de contratos inteligentes y las dependencias de proveedores externos.»}},{«@type»:»Question»,»name»:»¿Quién es responsable de llevar a cabo la revisión de la custodia en cada Estado miembro de la UE?»,»acceptedAnswer»:{«@type»:»Answer»,»text»:»Las autoridades nacionales competentes realizan revisiones basadas en el riesgo de los proveedores de servicios de criptoactivos autorizados dentro de sus propias jurisdicciones, trabajando con una metodología común coordinada por ESMA.»}},{«@type»:»Question»,»name»:»¿Cuántos proveedores de servicios de criptoactivos autorizados están registrados bajo MiCA?»,»acceptedAnswer»:{«@type»:»Answer»,»text»:»Tras el periodo transitorio, el registro MiCA incluye 280 proveedores de servicios de criptoactivos autorizados, que abarcan custodios, bolsas y emisores de tokens en toda la UE.»}},{«@type»:»Question»,»name»:»¿Se ha autorizado a Ripple a operar bajo la aplicación de MiCA?»,»acceptedAnswer»:{«@type»:»Answer»,»text»:»Sí. Ripple recibió la autorización CASP completa de la CSSF de Luxemburgo el 6 de julio de 2026, quedando habilitada para operar en todo el Espacio Económico Europeo de 30 países.»}}]}
Artículo elaborado con la ayuda de inteligencia artificial y revisado por el equipo editorial.

