ARTICLE
7 November 2025

Servicios de pago y cripto: últimas novedades regulatorias

KL
Herbert Smith Freehills Kramer LLP

Contributor

Herbert Smith Freehills Kramer LLP logo
Herbert Smith Freehills Kramer is a world-leading global law firm, where our ambition is to help you achieve your goals. Exceptional client service and the pursuit of excellence are at our core. We invest in and care about our client relationships, which is why so many are longstanding. We enjoy breaking new ground, as we have for over 170 years. As a fully integrated transatlantic and transpacific firm, we are where you need us to be. Our footprint is extensive and committed across the world’s largest markets, key financial centres and major growth hubs. At our best tackling complexity and navigating change, we work alongside you on demanding litigation, exacting regulatory work and complex public and private market transactions. We are recognised as leading in these areas. We are immersed in the sectors and challenges that impact you. We are recognised as standing apart in energy, infrastructure and resources. And we’re focused on areas of growth that affect every business across the world.
Explore Firm Details
El 6 de octubre de 2025, las Autoridades Europeas de Supervisión ("ESAs") —EBA, ESMA y EIOPA— emitieron una advertencia conjunta a los consumidores...
Spain Technology
Jaime Bofill,Sara Piñero,Pablo García (Trainee)
+1 Authors
 Your Author LinkedIn Connections
Jaime Bofill’s articles from Herbert Smith Freehills Kramer LLP are most popular:
  • within Technology topic(s)
Herbert Smith Freehills Kramer LLP are most popular:
  • within Technology, Coronavirus (COVID-19) and Environment topic(s)

Advertencia de las ESAs a los consumidores sobre criptoactivos: por qué es relevante para los proveedores regulados por MICA.

El 6 de octubre de 2025, las Autoridades Europeas de Supervisión ("ESAs") —EBA, ESMA y EIOPA— emitieron una advertencia conjunta a los consumidores: los criptoactivos pueden ser arriesgados y la protección jurídica puede ser limitada en función del activo, del servicio y del proveedor (documento disponible en la web de la EBA). La advertencia viene con una hoja informativa para el consumidor que explica qué está protegido o no por el Reglamento MiCA (MiCAR). Las ESAs instan a los consumidores a verificar si un proveedor está autorizado en la UE y a comprender que el riesgo, la volatilidad, las restricciones de liquidez, la publicidad engañosa, las estafas y los ataques siguen siendo riesgos de este mercado.

Lo que los supervisores están transmitiendo a los clientes en la práctica

Una lectura de los materiales de las ESAs para entender cómo sería la "experiencia del cliente", nos deja un mensaje muy directo:

  • No todos los criptoactivos o servicios están regulados (y los que lo están, lo están de maneras diferentes).
  • El riesgo sigue siendo elevado incluso cuando existe regulación, por ejemplo, en cuanto a movimientos extremos de precio, baja liquidez, comunicaciones comerciales engañosas, fraude/estafas y cuestiones de seguridad operativa en torno a monederos y claves privadas.
  • Las protecciones varían: MiCAR ofrece divulgaciones significativas y gobernanza y gestión de reclamaciones, pero no prevé esquemas de garantía de depósitos ni sistemas de indemnización de inversores equiparables a las finanzas tradicionales.
  • El estatus de autorización importa: los clientes deben consultar los registros (ESMA/ANC) y evitar ofertas no autorizadas o de terceros países, donde las protecciones pueden ser limitadas o inexistentes.

A nuestro juicio, esto es más que educación financiera para el consumidor, es el estándar público frente al cual se evaluarán conductas y comunicaciones.

Qué recomendamos hacer en la operativa diaria

  • Ser preciso con el perímetro. En toda la documentación —sitio web, flujos de las aplicaciones, term sheets, fichas— se debe dejar claro qué está regulado por MiCAR y qué no. Algunos ejemplos: Si se ofrecen servicios regulados junto con funcionalidades no reguladas, es recomendable trazar una línea nítida; si aún se opera bajo un régimen transitorio nacional, es conveniente indicarlo de forma llana, identificar el marco del Estado miembro y evitar sugerir protecciones MiCAR que todavía no aplican. En estas cuestiones, hay que operar como si se tratase de un "test temprano" en una inspección o en un ejercicio de mystery-shopping1.
  • Generar que "consultar el registro" sea fácil. Algunas sugerencias: enlazar de forma destacada el asiento en el registro de ESMA (y, cuando proceda, la página de su autoridad nacional competente - ANC); precisar qué servicios MiCAR están autorizados —no solo "autorizado bajo MiCAR", y a nivel interno, disponer de una respuesta en una sola frase a la pregunta "¿está autorizado para este servicio concreto?", además de mantenerla coherentemente en todos los canales.
  • Revisar la publicidad como lo haría un supervisor. Las ESAs dirigen su atención a las promociones agresivas o confusas, especialmente a través de 'influencers', por lo que es importante reforzar los controles de presentación justa: ubicar las advertencias de riesgo junto a las llamadas a la acción, evitar lenguaje promisorio sobre estabilidad o rendimientos, y asegurar la gobernanza sobre afiliados/introductores, así como mantener un rastro auditable de aprobaciones. Cuando se publique contenido 'educativo', además, habrá que vigilar la línea entre información e inducción a contratar.
  • Tratar las reclamaciones como un activo regulatorio, no como un centro de coste. MiCAR exige la gestión transparente de reclamaciones; es decir, hacer que el canal sea fácil de localizar y utilizar, publicar Acuerdos de Nivel de Servicio (SLAs) claros y monitorizar algunos aspectos específicos (p. ej., acceso a wallets, reversión de transacciones o transparencia de comisiones). Los supervisores inspeccionan cada vez más las reclamaciones con el fin de comprobar la conducta real y el resarcimiento.
  • Seguridad operativa: enseñar lo básico y acreditar la propia. Las ESAs recomiendan a los consumidores, mantener el buen estado del dispositivo, utilizar contraseñas robustas, no usar Wi-Fi público para acceder a cuentas y entender que la pérdida de claves privadas puede ser definitiva, así como reflejar esos mensajes en la experiencia de usuario (UX) y documentar los controles de gestión de claves, la respuesta a incidentes y el calendario de educación al cliente. Aquí es donde "conducta" y "TIC" (Tecnologías de la Información y la Comunicación) cruzan sus caminos, y esto es susceptible de ser evaluado.
  • Utilizar las mismas fuentes que las ESAs han dado a los consumidores. Sugieren marcar como "favoritos", el portal de registros de ESMA y el sitio IOSCO I-SCAN – que agrega advertencias de supervisores de todo el mundo–, e incorporar controles periódicos en los flujos de prevención de delitos financieros/AB&C y de protección de marca (p. ej., para detectar sitios de suplantación que intenten aprovechar la marca)

1Los supervisores utilizan "compradores de prueba" capacitados de incógnito para observar prácticas de ventas reales; El 17 de junio de 2025, la EIOPA publicó los resultados de su primer ejercicio coordinado sobre los IBIP en ocho Estados miembros, comprobando la recopilación de información, las explicaciones de riesgos y costes y la idoneidad.

Otras cuestiones planteadas por la AEFI

Perímetro MiCA–PSD2 en flujos con EMTs

En España, la Asociación Española de Fintech (AEFI) ha planteado al Banco de España (BdE) una cuestión de perímetro con impacto inmediato en modelos de negocio, sobre si cuando el Crypto-Asset Service Provider (proveedor de servicios de activos de cripto o CASP) actúa como agente del cliente en flujos con EMTs o tokens de dinero electrónico, puede operar al amparo de la exclusión del art. 3(b) de la Segunda Directiva de Servicios de Pago (PSD2), evitando doble licencia (MiCA + PSD2) siempre que la relación de agencia esté debidamente documentada y la tenencia de fondos se limite a la ejecución de órdenes. La respuesta oficial del BdE está pendiente, pero el debate sigue la línea de las aclaraciones de ESMA y con la línea europea de EBA.

Sobre ese mínimo de transparencia, la consulta de AEFI busca despejar un problema práctico:

  • ¿Cuándo una compraventa con EMTs que ejecuta un CASP, actuando como agente del cliente, puede quedar fuera de PSD2 (art. 3(b))? y;
  • ¿Cuándo cruza la línea hacia un servicio de pago que exige licencia adicional o partnership regulado?

La tesis de AEFI se apoya en dos pilares: (i) el propio concepto MiCA de "ejecución por cuenta de clientes", que describe una auténtica agencia del cliente y no un uso del balance del CASP; y (ii) la limitación material de la tenencia de fondos a lo estrictamente necesario para liquidar la orden del cliente, sin deriva a cuentas de pago, stored value o transferencias entre terceros.

Sin anticipar la respuesta del BdE, el encaje europeo sugiere que la documentación de la agencia, el mapeo granular del flujo (quién recibe, custodia y liquida Fiat o EMTs, y dónde) y la ausencia de riesgos de pago más allá de la liquidación de la orden serán determinantes.

Con independencia del criterio final, es recomendable preconfigurar los flujos y las comunicaciones para que, si el caso es de ejecución pura, ello resulte patente desde el contrato hasta la UX. Así se evitan duplicidades de licencias —cuando no procedan— y se reduce fricción supervisora.

La capa macroprudencial. Informe y Recomendación de la JERS sobre stablecoins

El mes de octubre, la Junta Europea de Riesgo Sistémico (JERS) ha publicado un informe macroprudencial y una Recomendación – ESRB/2025/9 – centrados en los riesgos sistémicos de las stablecoins, poniendo el foco especialmente en los esquemas de emisión conjunta UE/tercer país (third-country multi-issuance schemes). La JERS propone un calendario de actuación (2025–2027) y, potencialmente, cerrar la puerta a esas estructuras bajo MiCAR.

La JERS, por su parte, observa un salto de escala en las stablecoins – especialmente, en la capitalización, adopción e interconexión con banca y productos de inversión – y alerta sobre nuevas vulnerabilidades transfronterizas, especialmente en esquemas de emisión conjunta UE o tercer país. Así, el riesgo no es teórico. En escenarios de tensión, los tenedores podrían preferir redimir en la UE si la normativa es más favorable (p. ej., límites a comisiones), desplazando presiones de liquidez hacia reservas europeas; y los bloqueos jurisdiccionales podrían impedir mover reservas desde terceros países.

La Recomendación ESRB/2025/9 propone que la Comisión Europea emita una aclaración jurídica antes de fin de 2025 sobre que los esquemas de emisión conjunta no quedarían amparados por MiCAR – y, si no se produjera dicha aclaración, un "plan B" de salvaguardias entre 2026 y 2027, como son, la cooperación internacional, pruebas de resistencia y movilidad de reservas, datos consolidados a nivel de grupo, y, en su caso, ajustes legislativos.

Para emisores y CASPs con exposición a stablecoins, esto se traduce en tres tareas inmediatas:

  1. Inventariar dependencias extraterritoriales de reservas y payment rails;
  2. Simular corridas con preferencia de reembolso en la UE y restricciones a la repatriación; y
  3. Alinear los disclosures (white paper/marketing MiCA) con la estructura real del grupo y la exposición a terceros países, evitando sugerir "equivalencia MiCA" donde no existe.

Conclusión

Las ESAs acaban de fijar el punto de referencia público. El riesgo es alto, las protecciones varían y el estatus de autorización es determinante. Para mantener la credibilidad ante los clientes – y estar alineados con los supervisores –, conviene hacer que ese estándar sea evidente en todos los canales. Ser exactos respecto de qué está regulado, inequívocos respecto de qué protecciones aplican, disciplinados en marketing, rigurosos en reclamaciones y custodia, y transparentes sobre cualquier régimen transitorio o exposición a terceros países. Hecho esto, se gana confianza, se reduce la fricción supervisora y se mantiene la marca lejos de titulares indeseados.

En la misma línea, la consulta de AEFI al Banco de España sobre la posible exclusión del art. 3(b) PSD2 cuando el CASP actúa como "agente" del cliente —respaldada por el Q&A de ESMA que reconoce esa figura en la ejecución de órdenes bajo MiCA— aporta un cauce práctico para delimitar el perímetro, evitar duplicidades MiCA—PSD2 y alinear la experiencia de cliente con el estándar fijado por las ESAs.

El mensaje de fondo es consistente: transparencia verificable, perímetro nítido y resiliencia. La advertencia de las ESAs y el Q&A de ESMA fijan cómo comunicar y cómo clasificar servicios bajo MiCA; la cuestión de AEFI al BdE aborda el encaje fino con PSD2 en flujos con EMTs; y la JERS sitúa la discusión de stablecoins en el plano de la estabilidad financiera, con una posible no-permisibilidad de los esquemas de emisión conjunta UE o tercer país y un calendario de medidas.

Integrar estas tres capas en un playbook único permitiría ganar confianza de clientes, reducir fricción supervisora y mantener la marca lejos de riesgos reputacionales y macroprudenciales..

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

Authors
Photo of Jaime Bofill
Jaime Bofill
Person photo placeholder
Sara Piñero
Person photo placeholder
Belén Muriel
Person photo placeholder
Pablo García (Trainee)
Your Author LinkedIn Connections
See More Popular Content From

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More