La ESMA lanzó una revisión coordinada a escala de la UE de las operaciones de custodia de cripto el 8 de julio de 2026, pasando la supervisión de MiCA de la cuestión de la autorización a la pregunta más difícil de si las empresas de cripto pueden realmente proteger los activos de los clientes bajo presión.
La acción se denomina Acción Supervisora Común, o CSA. Ese es el lenguaje del regulador para una inspección coordinada realizada al mismo tiempo, con la misma lista de verificación, por el regulador nacional de cada país de la UE bajo la dirección de la ESMA. No es un caso contra una sola firma. Es un barrido sincronizado de muchas.
Conclusiones clave
La supervisión de cripto en la UE pasa de las verificaciones de licenciamiento a las pruebas reales de estrés operativo.
Los reguladores nacionales inspeccionan una muestra basada en riesgos de firmas cripto autorizadas en toda la UE.
Controles de custodia, claves privadas, respuesta ante incidentes, riesgos de contratos inteligentes, dependencias de terceros.
Del reglamento a las pruebas en el mundo real
El consenso del mercado interpreta el 1 de julio de 2026 como el fin de la transición de MiCA. Todos tenían que estar licenciados o quedar fuera. El CSA del 8 de julio es la respuesta a lo que ocurre después. Tener la licencia ahora es el suelo, no el techo. ESMA quiere ver si las firmas licenciadas tienen los sistemas para respaldarlo.
Dos siglas concentran la mayor parte del peso aquí. MiCA, el Reglamento de Mercados de Criptoactivos, es el marco normativo de cripto de la UE que entró plenamente en vigor este mes. DORA, la Ley de Resiliencia Operativa Digital, es una norma paralela de la UE que exige que las entidades financieras demuestren que su infraestructura tecnológica puede sobrevivir a ciberataques, interrupciones y fallos de terceros. Bajo MiCA, los proveedores de servicios de cripto se tratan como entidades financieras a efectos de DORA, así que ambas leyes se les aplican al mismo tiempo. El CSA es, en esencia, una prueba en vivo de qué tan bien se están implementando esos dos marcos en el área de negocio de cripto donde los fallos perjudican más directamente a los clientes: la custodia.
En este contexto, custodia significa los sistemas y controles que una firma utiliza para mantener el cripto de sus clientes en su nombre. Esto abarca las claves privadas, las carteras, el flujo de aprobación de transacciones, el plan de actuación ante incidentes y cada proveedor externo del que la firma depende para que todo funcione. Si se rompe cualquiera de esas capas, los activos del cliente pueden moverse o desaparecer antes de que nadie se dé cuenta. Ese es el riesgo que ESMA intenta medir en todo el mercado de la UE a la vez.
Lo que realmente están buscando las revisiones
Las revisiones las realizará cada regulador nacional de cada país, llamado Autoridad Competente Nacional (NCA). Entre los ejemplos se incluyen BaFin en Alemania, la AMF en Francia y la CNMV en España. Cada NCA seleccionará una muestra basada en riesgos de las firmas de cripto licenciadas dentro de su jurisdicción. Eso significa que los grandes custodios, los operadores transfronterizos y las firmas que gestionan la mayor parte de los activos de los clientes tienen más probabilidades de ser inspeccionados primero.
La lista de verificación de la inspección tiene siete áreas de enfoque, todas ellas puntos de fallo muy conocidos en incidentes pasados de custodia de cripto

El ejercicio se desarrolla desde la segunda mitad de 2026 hasta la primera mitad de 2027. Luego, ESMA consolidará los hallazgos en un informe final para su Junta de Supervisores, el órgano formado por los responsables de cada regulador nacional, con publicación prevista para la segunda mitad de 2027. Ese informe marcará el tono de cómo se supervisa la custodia de cripto en Europa en los años posteriores.
Qué podría salir mal para las firmas que están siendo inspeccionadas
El argumento en contra de leer esto como un barrido rutinario es lo que ocurre cuando las ANC realmente empiezan a desarmar las cadenas de custodia. La custodia de cripto ha crecido rápido, y gran parte se construyó sobre infraestructura que es anterior a MiCA o a DORA. Los sistemas heredados que funcionaron comercialmente aún pueden fallar en una auditoría de resiliencia si no existen la documentación, las evidencias de las pruebas o los registros de incidentes. Una firma puede estar a salvo en la práctica y aun así fallar en el papel, y la supervisión de la era MiCA se apoyará en el papel.
El riesgo de concentración se sitúa debajo de ese primer problema. Una gran parte de la custodia de cripto en Europa opera con un número reducido de proveedores subyacentes, ya sea infraestructura en la nube, módulos de seguridad de hardware o proveedores especializados de gestión de claves. Si las ANC señalan al mismo tercero en muchas firmas, la solución puede obligar a migraciones costosas en todo el mercado de una sola vez. Eso es exactamente el tipo de punto único de fallo sistémico que se redactó para exponer DORA.
La preocupación más silenciosa es la aplicación asimétrica. Las ANC varían en el grado en que interpretan con más o menos dureza las reglas de resiliencia operativa, y un custodio licenciado en un Estado miembro podría enfrentar una revisión más exigente que un competidor con licencia en otro, solo por la cultura de supervisión local. La coordinación de ESMA a lo largo del ejercicio busca reducir esa brecha, pero reducirla y cerrarla son cosas diferentes.
La realidad técnica sugiere que el CSA del 8 de julio es el momento en que MiCA deja de ser una historia de licenciamiento y se convierte en algo operativo. Las firmas con controles de custodia maduros podrían beneficiarse de la claridad, ya que los supervisores premian lo que pueden verificar. Las plataformas más débiles quizá necesiten actualizar sistemas, gobernanza o arreglos con terceros antes de que llegue el informe de 2027. El mercado ya recibió las reglas hace dos años. Ahora descubre cómo se aplican en la práctica.
