La interpretación de la normativa europea: MiCA, ESMA y la Comisión Europea

Viernes, 25 de octubre de 2024 – Surgen discrepancias entre la ESMA y la Comisión Europea en el marco de la normativa MiCA y sus requisitos de ciberseguridad.

Surge un nuevo debate regulatorio entre la Autoridad Europea de Valores y Mercados (ESMA) y la Comisión Europea (CE) respecto a los requisitos de ciberseguridad que deberán cumplir las empresas de criptoactivos bajo la próxima normativa MiCA (Markets in Crypto Assets).

El punto de conflicto se centra en la exigencia propuesta por ESMA de que las compañías de activos digitales deban someterse a una auditoría externa de ciberseguridad como requisito previo para obtener autorización operativa. Esta propuesta, incluida en el informe de normas técnicas de regulación publicado en marzo, busca implementar evaluaciones de vulnerabilidades y pruebas de penetración exhaustivas para garantizar la seguridad de los sistemas.

La Comisión Europea, sin embargo, ha rechazado esta iniciativa argumentando que sobrepasa el marco regulatorio establecido por MiCA. Como alternativa, sugiere que estas auditorías sean voluntarias, permitiendo que las empresas las presenten si ya disponen de ellas, pero sin convertirlas en un requisito obligatorio.

ESMA mantiene su postura, advirtiendo que la ausencia de este requisito podría llevar a una fragmentación del mercado, ya que cada supervisor nacional podría establecer diferentes estándares. Esto contravendría el objetivo principal de MiCA de unificar la regulación cripto en toda la Unión Europea.

La voz de algunos expertos y empresas

Expertos del sector, como Mariona Pericas Estrada de finReg360, señalan que los requisitos propuestos por ESMA son significativamente más estrictos que los contemplados tanto en MiCA como en la Ley de Resiliencia Operativa Digital (Dora). Pericas destaca dos puntos críticos: la prematura implementación de estos requisitos cuando Dora aún no está en vigor, y el nivel de exigencia que supera lo establecido en la regulación de primer nivel.

La normativa MiCA, que entrará en vigor a finales de diciembre de 2024, ya incluye requisitos generales de ciberseguridad, exigiendo a las empresas implementar políticas para minimizar riesgos de fraude y amenazas cibernéticas. Sin embargo, estos son menos específicos que los propuestos por ESMA.

Las preocupaciones de la ESMA no son baladí, ya que cada vez más se producen delitos de índole tecnológica, estafas digitales y hacking. El sector de las criptomonedas en concreto ha visto robos superiores a los 1.580 millones de euros acumulados hasta el pasado mes de agosto, y es una cifra que seguirá creciendo hasta finales de año.

Sin embargo, dicho sea de paso que algunas empresas del sector, como los exchanges, han llegado a sugerir en algunas declaraciones que la ESMA podría estar extralimitándose en su interpretación de la normativa. Otras empresas están valorando incorporar una capa de auditoría a sus procesos o para recibir apoyo en la preparación de la documentación que MiCA va a exigir cuando entre en vigor.

El desenlace de esta controversia regulatoria parece inclinarse a favor de la posición de la Comisión Europea, sugiriendo un enfoque más flexible que considere el tamaño y la complejidad tecnológica de cada proveedor de servicios cripto.

Lee más: los mejores exchanges cripto que operan en la UE y listan cientos de criptomonedas.

Aviso legal: las criptomonedas son activos de alto riesgo. Este artículo tiene fines informativos y no es asesoramiento de inversión. Podría perder todo su capital.