Regulación Europea
La regulación cripto en Europa avanza rápido. Aquí tienes una guía clara sobre los marcos normativos que rigen cómo operamos y lo que cada uno significa para ti como cliente.
Reglamento de Mercados de Criptoactivos
MiCA (Reglamento UE 2023/1114) es el marco regulatorio integral de la Unión Europea para los criptoactivos. Entró en vigor en junio de 2023, con las disposiciones sobre tokens referenciados a activos y tokens de dinero electrónico aplicables desde junio de 2024, y el marco completo (incluidos los requisitos de autorización para Proveedores de Servicios de Criptoactivos) aplicable desde el 30 de diciembre de 2024.
MiCA reemplaza el mosaico de regulaciones nacionales que anteriormente gobernaban los negocios cripto en los estados miembros de la UE. Antes de MiCA, cada país tenía su propio régimen de licencias. Bulgaria, donde Novudi está registrado, fue uno de los países que implementó requisitos de registro para VASPs de forma temprana. Con MiCA, estos registros nacionales están siendo sustituidos por un sistema unificado de autorización a nivel europeo.
Qué Cubre MiCA
Autorización de CASPs
Los Proveedores de Servicios de Criptoactivos deben obtener autorización de una autoridad nacional competente. Esto incluye requisitos de capital, normas de gobernanza y obligaciones de conducta empresarial. Los VASPs existentes se benefician de un período transitorio de hasta 18 meses dependiendo del estado miembro.
Obligaciones del White Paper
Los emisores de criptoactivos deben publicar un white paper detallado con información clave sobre el activo, el emisor y los riesgos involucrados. Esto no aplica a proveedores de servicios como Novudi, pero significa que los activos que facilitamos están sujetos a mayores estándares de transparencia.
Protección al Consumidor
MiCA introduce normas específicas para proteger a los consumidores minoristas: comunicación clara sobre riesgos, prohibición de marketing engañoso, derecho de desistimiento en ciertas transacciones y reglas de responsabilidad para los CASPs en caso de brechas de seguridad o fallos operativos.
Qué Significa MiCA para los Clientes de Novudi
¿Tengo que hacer algo diferente bajo MiCA?
No. Como cliente, la transición es transparente. Puedes notar pequeñas mejoras en nuestras divulgaciones y comunicaciones, pero el servicio fundamental sigue igual. MiCA afecta principalmente cómo estamos regulados, no cómo utilizas nuestros servicios.
¿Está Novudi autorizado bajo MiCA?
Novudi (Novu Tech Ltd) es un VASP registrado bajo la legislación búlgara, supervisado por la Comisión de Supervisión Financiera. Bajo las disposiciones transitorias de MiCA, los VASPs existentes pueden continuar operando mientras se completa el proceso de autorización completo. Bulgaria ha establecido un período transitorio en línea con el máximo de 18 meses desde el 30 de diciembre de 2024. Estamos trabajando activamente en el proceso de autorización MiCA.
¿Afectará MiCA a los activos que Novudi puede ofrecer?
MiCA da a los reguladores nuevas herramientas para restringir o excluir ciertos tokens que no cumplan los requisitos de transparencia. En la práctica, las principales criptomonedas (BTC, ETH, SOL, USDT, USDC, XRP, BNB y otros activos de primer nivel) están bien establecidas y son compatibles con MiCA. Revisamos continuamente nuestra lista de activos para garantizar el cumplimiento.
¿Significa MiCA que Novudi puede operar en toda la UE?
Sí, eventualmente. Uno de los beneficios clave de MiCA es el pasaporte europeo. Una vez que un CASP está completamente autorizado en un estado miembro, puede prestar servicios en todo el EEE sin necesitar licencias separadas. Esto simplificará las operaciones transfronterizas tanto para proveedores como para clientes.
La Travel Rule para Transferencias Cripto
El Reglamento de Transferencia de Fondos (TFR, Reglamento UE 2023/1113) extiende la llamada "Travel Rule" a las transferencias de criptoactivos. Adoptado junto con MiCA y aplicable desde el 30 de diciembre de 2024, requiere que los CASPs recopilen y transmitan información sobre el ordenante (emisor) y el beneficiario (receptor) de cada transferencia de criptoactivos.
A diferencia de las transferencias bancarias tradicionales bajo el TFR original (que tiene un umbral mínimo de 1.000 EUR), la Travel Rule cripto se aplica a todas las transferencias independientemente del importe. Esto significa que incluso una pequeña transacción de Bitcoin requiere que el CASP emisor incluya el nombre completo del remitente, número de cuenta y dirección (o número de documento nacional, o ID de cliente, o fecha y lugar de nacimiento), y el CASP receptor debe verificar la identidad del beneficiario.
La lógica detrás del enfoque de umbral cero es que las transferencias cripto pueden dividirse fácilmente en cantidades menores para evadir la detección. Al requerir identificación para cada transferencia, los reguladores buscan cerrar esta brecha.
Cómo Te Afecta la Travel Rule
¿Qué información recopila Novudi para la Travel Rule?
Para transferencias salientes, registramos el nombre completo del remitente, identificador de cuenta y uno de los siguientes: dirección, número de documento nacional, número de ID de cliente, o fecha y lugar de nacimiento. Para transferencias entrantes, verificamos el nombre completo del beneficiario y su identificador de cuenta. Esta información se transmite de forma segura entre CASPs.
¿Se aplica la Travel Rule a wallets auto-custodiados?
Sí, con matices. Cuando se envía una transferencia a o desde un wallet auto-custodiado (también llamado "unhosted" o "no custodial"), el CASP involucrado debe recopilar la información requerida sobre su propio cliente. Para transferencias superiores a 1.000 EUR hacia o desde un wallet auto-custodiado, el CASP también debe verificar la titularidad de ese wallet. Como Novudi opera con un modelo no custodial y envía directamente a tu wallet, implementamos estas verificaciones como parte de nuestro proceso estándar de KYC.
¿Ralentizará la Travel Rule mis transacciones?
En la mayoría de los casos, no. Como ya recopilamos información KYC completa durante el onboarding, los datos adicionales que requiere la Travel Rule normalmente ya están archivados. El intercambio de información entre CASPs ocurre electrónicamente y no añade retraso perceptible al procesamiento de transacciones.
¿Cómo se transmiten los datos de la Travel Rule entre proveedores?
Los CASPs utilizan protocolos de mensajería electrónica seguros para intercambiar datos de la Travel Rule. Estos sistemas están diseñados para garantizar que la información personal se transmita solo al CASP contraparte y esté protegida con cifrado durante el tránsito. Los datos no se publican en la blockchain ni son accesibles para terceros.
Marco contra el Blanqueo de Capitales
La lucha de la UE contra el blanqueo de capitales ha evolucionado a través de una serie de directivas. La 5ª Directiva contra el Blanqueo de Capitales (5AMLD, Directiva 2018/843) fue la primera en incluir a los proveedores de servicios de activos virtuales bajo obligaciones AML. La 6ª Directiva AML (6AMLD, Directiva 2018/1673) armonizó la definición de delitos de blanqueo de capitales en todos los estados miembros e introdujo sanciones más estrictas.
En 2024, la UE adoptó un nuevo paquete AML integral que representa la mayor reforma en décadas. Incluye: el Reglamento AML (AMLR), un libro único de normas directamente aplicable que reemplaza el enfoque basado en directivas; la 6ª Directiva contra el Blanqueo de Capitales (AMLD6), que sustituye las anteriores 4ª y 5ª directivas; y la creación de la Autoridad contra el Blanqueo de Capitales (AMLA), un nuevo organismo supervisor a nivel europeo con sede en Fráncfort.
AMLA tendrá poderes de supervisión directa sobre las entidades financieras de mayor riesgo, incluidos ciertos CASPs. También coordinará las Unidades de Inteligencia Financiera (UIF) nacionales y establecerá estándares técnicos vinculantes para el cumplimiento AML en toda la UE.
Cómo Implementa Novudi el AML/CFT
Diligencia Debida del Cliente
Cada cliente pasa por una verificación de identidad (CDD) antes de operar. Para perfiles de mayor riesgo (personas políticamente expuestas, clientes de jurisdicciones de mayor riesgo o transacciones inusualmente grandes), aplicamos Diligencia Debida Reforzada (EDD) con documentación y escrutinio adicionales.
Monitoreo de Transacciones
Todas las transacciones se monitorizan mediante reglas y patrones basados en riesgo. La actividad inusual (fraccionamiento, rotación rápida, origen de fondos inconsistente) activa una revisión interna. También realizamos análisis de blockchain para evaluar el origen y destino de los flujos de criptoactivos.
Screening de Sanciones
Cada cliente y transacción se comprueba contra las listas de sanciones de la UE, ONU y OFAC. Mantenemos bases de datos de sanciones actualizadas y realizamos verificaciones en el onboarding y de forma continua. Las coincidencias resultan en bloqueo inmediato y comunicación a las autoridades competentes.
¿Qué ocurre si Novudi identifica actividad sospechosa?
Presentamos un Informe de Actividad Sospechosa (SAR) ante la UIF búlgara (Dirección de Inteligencia Financiera del SANS). La ley nos prohíbe informar al cliente de que se ha presentado un SAR (esto se conoce como la prohibición de "tipping-off"). Dependiendo de la naturaleza de la sospecha, la transacción puede quedar congelada durante la investigación.
¿Cuánto tiempo conserva Novudi los registros AML?
Bajo la legislación búlgara y las regulaciones de la UE, conservamos toda la documentación KYC, registros de transacciones y registros de cumplimiento durante un mínimo de cinco años después del fin de la relación comercial o la fecha de la transacción. Algunos registros pueden conservarse más tiempo si así lo requieren órdenes regulatorias específicas.
Reglamento General de Protección de Datos
El Reglamento General de Protección de Datos (Reglamento UE 2016/679, GDPR) está en vigor desde el 25 de mayo de 2018. Regula cómo las organizaciones recopilan, procesan, almacenan y comparten datos personales de individuos en la UE. Para un proveedor de servicios cripto que maneja documentos de identificación sensibles, datos financieros y registros de transacciones, el cumplimiento del GDPR no es opcional. Es fundamental.
El GDPR crea una tensión inherente con las regulaciones AML: por un lado, estamos obligados a recopilar datos personales extensos para el cumplimiento KYC; por otro, debemos minimizar la recopilación de datos y limitar su conservación. Navegar este equilibrio correctamente es uno de los aspectos más complejos de operar un negocio cripto regulado en Europa.
Novudi resuelve esto recopilando solo los datos estrictamente necesarios para el cumplimiento regulatorio (base legal: obligación legal bajo regulaciones AML) y conservándolos durante el período mínimo requerido por ley. Una vez que expira el período de conservación, los datos se eliminan de forma segura o se anonimizan.
El GDPR y Tus Datos Personales
Derecho de Acceso
Puedes solicitar una copia de todos los datos personales que tenemos sobre ti. Respondemos a las solicitudes de acceso en un plazo de 30 días. Los datos se proporcionan en un formato estructurado y legible por máquina.
Derecho de Rectificación
Si alguno de tus datos personales es inexacto o está incompleto, tienes derecho a solicitar su corrección. Contáctanos indicando el dato específico y actualizaremos nuestros registros con prontitud.
Derecho de Supresión
Puedes solicitar la eliminación de tus datos personales. Sin embargo, este derecho está limitado cuando estamos legalmente obligados a conservar datos (por ejemplo, obligaciones de conservación de registros AML de cinco años). Eliminaremos cualquier dato que no esté sujeto a requisitos legales de conservación.
¿Qué datos personales recopila Novudi?
Recopilamos: nombre completo, fecha de nacimiento, nacionalidad, dirección de residencia, documento de identidad oficial (número y copia), justificante de domicilio, dirección de email, número de teléfono, historial de transacciones y direcciones de wallets en blockchain. Para clientes corporativos, también recopilamos información del UBO, documentos de registro de la empresa y estatutos sociales.
¿Quién puede acceder a mis datos?
Tus datos son accesibles solo para el equipo de cumplimiento de Novudi y el personal autorizado con necesidad de conocimiento. Compartimos datos con nuestro proveedor de verificación de identidad regulado en la UE (como encargado del tratamiento bajo el GDPR) y con las autoridades competentes (reguladores, UIF, fuerzas del orden) cuando la ley lo exige. Nunca vendemos datos personales ni los compartimos con fines de marketing.
¿Cómo se almacenan y protegen mis datos?
Todos los datos personales están cifrados en reposo y en tránsito. Utilizamos cifrado AES-256 para datos almacenados y TLS 1.3 para la transmisión de datos. Los controles de acceso se implementan con permisos basados en roles y autenticación multifactor. Nuestra infraestructura está alojada dentro de la UE y realizamos auditorías de seguridad periódicas.
Ley de Resiliencia Operativa Digital
DORA (Reglamento UE 2022/2554) es aplicable desde el 17 de enero de 2025. Establece requisitos uniformes para la seguridad de los sistemas de red e información de las entidades financieras, incluidos los CASPs autorizados bajo MiCA. DORA cubre la gestión de riesgos TIC, la notificación de incidentes, las pruebas de resiliencia operativa digital y la gestión de riesgos de terceros proveedores TIC.
En términos prácticos, DORA significa que los proveedores de servicios cripto deben cumplir los mismos estándares de seguridad informática y resiliencia operativa que los bancos y las empresas de inversión. Esto incluye mantener marcos documentados de gestión de riesgos TIC, implementar planes de continuidad de negocio, notificar incidentes TIC significativos a las autoridades competentes dentro de plazos estrictos y realizar pruebas de penetración periódicas.
DORA también regula la relación entre las entidades financieras y sus proveedores de servicios TIC críticos (como proveedores de infraestructura en la nube). Esto asegura que toda la cadena tecnológica, no solo el servicio de cara al cliente, cumpla con los estándares adecuados de seguridad y resiliencia.
El Panorama Regulatorio de un Vistazo
MiCA
Reg. UE 2023/1114. Regulación integral de criptoactivos. Autorización de CASPs, protección al consumidor, integridad del mercado, pasaporte europeo. Plenamente aplicable desde diciembre de 2024.
Travel Rule (TFR)
Reg. UE 2023/1113. Información de ordenante/beneficiario para todas las transferencias cripto. Umbral cero. Aplicable desde diciembre de 2024.
Paquete AML
AMLR + AMLD6 + AMLA. Libro único de normas AML, nueva autoridad supervisora de la UE en Fráncfort, supervisión directa de entidades de alto riesgo. Adoptado en 2024, aplicación escalonada 2025-2027.
GDPR
Reg. UE 2016/679. Protección de datos. Minimización de recopilación, consentimiento explícito o base legal, derechos del interesado, notificación de brechas. En vigor desde mayo de 2018.
DORA
Reg. UE 2022/2554. Gestión de riesgos TIC, notificación de incidentes, pruebas de resiliencia, riesgo de terceros. Aplicable desde enero de 2025.
eIDAS 2.0
Reg. UE 2024/1183. Cartera de Identidad Digital de la UE. Permitirá una verificación de identidad simplificada y transfronteriza para servicios financieros. Se espera que simplifique significativamente los procesos KYC una vez que se desplieguen las carteras nacionales.
Preguntas Frecuentes sobre Regulación
¿Es legal la cripto en la UE?
Sí. Comprar, vender, poseer y transferir criptoactivos es legal en la UE. MiCA proporciona el marco regulatorio que específicamente legaliza y regula estas actividades. Lo que está prohibido es prestar servicios de criptoactivos sin la autorización adecuada, no la actividad de operar o poseer cripto en sí misma.
¿Por qué importa la regulación para los usuarios de cripto?
La regulación proporciona seguridad jurídica, protección al consumidor y mecanismos de recurso. Si operas con una entidad no regulada y algo sale mal, tus opciones legales son limitadas. Con un proveedor regulado, te beneficias de requisitos de capital (la empresa debe mantener reservas financieras), normas de conducta (obligaciones claras sobre transparencia de precios y comunicación) y procedimientos de reclamación supervisados por una autoridad pública.
¿Comunica Novudi mis transacciones a las autoridades fiscales?
Novudi cumple con todas las obligaciones de información aplicables. La Directiva de la UE sobre Cooperación Administrativa (DAC8, adoptada en 2023) requiere que los proveedores de servicios cripto informen ciertos datos de transacciones a las autoridades fiscales a partir del 1 de enero de 2026. Esto se alinea con el Marco de Información sobre Criptoactivos (CARF) de la OCDE. Cumpliremos estos requisitos a medida que entren en vigor. Las obligaciones fiscales son responsabilidad de cada cliente individual según su país de residencia fiscal.
¿Cuál es la diferencia entre VASP y CASP?
VASP (Proveedor de Servicios de Activos Virtuales) es el término utilizado en los estándares internacionales (GAFI) y en las regulaciones nacionales previas a MiCA, incluido el marco actual de Bulgaria. CASP (Proveedor de Servicios de Criptoactivos) es el término que usa MiCA. Funcionalmente, describen el mismo tipo de entidad: una empresa que facilita transacciones de criptoactivos para clientes. A medida que el proceso de autorización de MiCA reemplaza los registros nacionales de VASP, la terminología está pasando de VASP a CASP.
¿Dónde puedo verificar el estado regulatorio de Novudi?
Novu Tech Ltd está registrada en Bulgaria con el Código Único de Identificación (UIC) 207892707, verificable a través del Registro Mercantil búlgaro. Nuestro registro como VASP está supervisado por la Comisión de Supervisión Financiera de Bulgaria (FSC). Puedes contactar a la FSC directamente para verificar nuestro estado.
¿Preguntas sobre Regulación?
Nuestro equipo de cumplimiento está disponible para responder preguntas específicas sobre cómo las regulaciones de la UE afectan tus transacciones.
Contáctanos