MiCA y la custodia de Bitcoin en Europa: qué cambia para quienes tienen patrimonio en cripto

Europa tiene, por primera vez, un marco regulatorio unificado para los criptoactivos. El Reglamento MiCA (Markets in Crypto-Assets, Regulation EU 2023/1114) entró en vigor de forma escalonada: las disposiciones sobre stablecoins desde junio de 2024 y las provisiones principales — incluida la regulación de proveedores de servicios de criptoactivos (CASPs) — desde el 30 de diciembre de 2024. Los períodos transitorios nacionales varían: Países Bajos cierra el suyo en julio de 2025, mientras que otros estados miembro tienen margen hasta julio de 2026.

Para quien tiene un patrimonio significativo en Bitcoin, la pregunta no es si MiCA le afecta. La pregunta es cómo le afecta, y la respuesta depende enteramente de un factor: la forma en que custodia sus activos.

Qué regula MiCA (y qué no)

MiCA establece un régimen de autorización para los CASPs — cualquier entidad que preste servicios relacionados con criptoactivos dentro de la Unión Europea. La custodia y administración de criptoactivos en nombre de clientes es uno de esos servicios, clasificado como Class II CASP.

Esto significa que cualquier empresa que custodie Bitcoin ajeno necesita:

• Autorización de su National Competent Authority (NCA), el regulador financiero del estado miembro donde esté establecida.
• Capital mínimo de €125.000 o una póliza de seguro equivalente (Art. 67 MiCA).
• Segregación de activos de clientes: los criptoactivos custodiados no pueden mezclarse con los de la empresa ni utilizarse para fines propios (Art. 75).
• Obligaciones de gobernanza: políticas de continuidad, gestión de conflictos de interés y protocolos de seguridad IT auditables.
• Reglas para uso de terceros: si el custodio delega la custodia a un subcustodio, sigue siendo responsable ante el cliente.

Una vez autorizado en un estado miembro, el CASP puede operar en toda la UE mediante passporting — un registro único que habilita actividad transfronteriza sin necesidad de autorizaciones adicionales en cada país.

ESMA (European Securities and Markets Authority) publicó en enero de 2026 directrices complementarias sobre los requisitos de competencia y formación del personal de CASPs, endureciendo los estándares operativos. Y desde marzo de 2026, las firmas de fuera de la UE que quieran ofrecer servicios de custodia a clientes europeos necesitan establecer una subsidiaria dentro de la Unión — ya no basta con operar en remoto desde jurisdicciones terceras.

Custodia en exchanges: más protección, más vigilancia

Si un holder mantiene su Bitcoin en un exchange o plataforma centralizada, MiCA trae cambios tangibles. Los exchanges que operen en Europa deben obtener autorización como CASPs y cumplir con las obligaciones descritas arriba. Para el cliente, eso se traduce en:

• Segregación obligatoria: tus activos están separados de los del exchange. En caso de insolvencia de la plataforma, no forman parte de la masa concursal.
• Transparencia regulada: el CASP debe informarte sobre los riesgos, las comisiones y las políticas de custodia aplicables.
• Supervisión activa: las NCAs tienen potestad para auditar, sancionar y revocar licencias.

La contrapartida es clara: más supervisión implica más reporting. Los exchanges reportan a las autoridades fiscales y financieras, y las transacciones de sus clientes quedan sujetas a un nivel de trazabilidad que antes no existía de forma uniforme en Europa.

Para un HNWI o un family office, esto significa que la custodia en exchanges es ahora más segura en términos regulatorios, pero también más transparente ante el fisco y los reguladores. No hay sorpresa: MiCA alinea las cripto con el régimen de supervisión que ya existía para activos financieros tradicionales.

Self-custody: fuera de MiCA, pero no fuera del radar

Uno de los puntos más debatidos durante la tramitación de MiCA fue el tratamiento de las unhosted wallets — las billeteras que el propio usuario controla con sus claves privadas. El resultado: MiCA no regula directamente la self-custody. Si tú controlas tus llaves, no eres un CASP y el reglamento no te impone obligaciones de autorización, capital ni reporting.

Los proveedores de software de wallets también quedan fuera de la definición de CASP. Como señala el Capital Markets Law Journal de Oxford Academic, la mera provisión de software de custodia no constituye un servicio de custodia regulado bajo MiCA, siempre que el proveedor no tenga acceso ni control sobre los activos del usuario.

Sin embargo, el entorno regulatorio alrededor de la self-custody sí ha cambiado. El punto crítico es la Travel Rule aplicada a transferencias desde wallets self-hosted:

• Transferencias superiores a €1.000 desde una wallet unhosted hacia un CASP (o viceversa) requieren que el CASP verifique la identidad del titular de la wallet y su relación con los fondos.
• En la práctica, esto significa que mover Bitcoin desde tu hardware wallet a un exchange europeo regulado activa un proceso de verificación adicional: el exchange debe confirmar que la wallet te pertenece.
• Para cantidades menores no se elimina la obligación, pero los requisitos de verificación son menos intensivos.

El resultado neto: la self-custody sigue siendo legal y no regulada en sí misma, pero su interacción con el sistema financiero regulado es ahora más friccional. Cada vez que tus Bitcoin tocan un punto regulado — un exchange, un servicio de pago, un OTC desk autorizado — la Travel Rule se activa.

Para un holder con patrimonio alto, esto plantea una pregunta práctica: ¿cuánta fricción estás dispuesto a aceptar cada vez que necesitas liquidez o quieres mover fondos?

La Travel Rule en detalle

La Travel Rule no es invención de MiCA. Viene del Reglamento de Transferencia de Fondos (TFR, Regulation EU 2023/1113), adoptado en paralelo a MiCA y aplicable desde el 30 de diciembre de 2024. Su lógica es directa: exigir que las transferencias de criptoactivos lleven información del ordenante y el beneficiario, igual que las transferencias bancarias tradicionales.

Para transacciones entre dos CASPs, la información viaja automáticamente entre las entidades. Para transacciones que involucran wallets unhosted, la carga recae sobre el CASP:

• Transferencias salientes a wallet unhosted: el CASP debe recopilar el nombre del beneficiario (si es un tercero) y evaluar el riesgo de la transacción.
• Transferencias entrantes desde wallet unhosted >€1.000: el CASP debe verificar que el originador es efectivamente el titular de la wallet. Los métodos aceptados incluyen firma criptográfica (Satoshi test), declaración jurada o documentación adicional según el perfil de riesgo.

No hay un umbral bajo el cual la Travel Rule deje de aplicar — se aplica a todas las transferencias — pero los requerimientos de verificación se intensifican a partir de €1.000.

Custodia colaborativa: el punto intermedio que MiCA no anticipó

MiCA fue diseñada pensando en dos modelos: la custodia centralizada (exchanges y custodios regulados que controlan las llaves del cliente) y la self-custody (donde el usuario tiene control total). Hay un tercer modelo que no encaja limpiamente en ninguna categoría: la custodia colaborativa multisig.

En un esquema de custodia colaborativa, las claves necesarias para mover los Bitcoin se distribuyen entre múltiples partes — típicamente, el titular, un proveedor de tecnología y un tercero independiente (o una combinación de estos). Ninguna parte tiene, por sí sola, capacidad para mover los fondos. Se necesita la cooperación de al menos dos de las tres partes para firmar una transacción.

Desde la perspectiva regulatoria, este modelo presenta características que lo distinguen:

No es custodia centralizada. El proveedor de tecnología multisig no tiene control unilateral sobre los activos del cliente. No puede mover, bloquear ni confiscar los Bitcoin por su cuenta. Esto lo diferencia de un exchange o un custodio tradicional, donde la empresa controla las llaves y el cliente depende enteramente de ella.

No es pura self-custody. El titular no opera solo. Tiene un marco de seguridad estructurado, con respaldos, protocolos de recuperación y auditoría. Si pierde una llave, no pierde sus fondos — el esquema multisig está diseñado para tolerar la pérdida de una de las claves.

Es auditable y elimina puntos únicos de fallo. Como señala XReg Consulting en su análisis sobre modelos de custodia bajo MiCA, la custodia colaborativa ofrece mayor seguridad IT que la self-custody pura (donde un error del usuario es catastrófico) y que la custodia centralizada (donde la empresa es un objetivo concentrado de ataque). La distribución de llaves elimina el single point of compromise.

La clasificación regulatoria exacta de la custodia colaborativa bajo MiCA depende de la implementación específica y de cómo cada NCA interprete el Reglamento. Lo que está claro es que este modelo responde a una demanda real: patrimonio que quiere soberanía sobre sus activos sin asumir el riesgo operativo total de la self-custody, y sin entregar el control completo a un tercero.

Qué significa todo esto para un holder europeo con patrimonio alto

El mapa regulatorio post-MiCA tiene tres territorios:

| Modelo | Regulación MiCA | Control del titular | Riesgo operativo | Fricción regulatoria |
|—|—|—|—|—|
| Exchange / custodio regulado | Plena (CASP autorizado) | Bajo — el CASP controla las llaves | Riesgo de contraparte mitigado por regulación | Baja — el CASP gestiona compliance |
| Self-custody | Ninguna directa | Total — el titular controla las llaves | Alto — error del usuario = pérdida irreversible | Alta en interacción con CASPs (Travel Rule) |
| Custodia colaborativa (multisig) | Variable según implementación | Alto — requiere participación del titular | Bajo — redundancia y recuperación | Moderada — depende del marco operativo |

Para un HNWI o family office, la elección no es solo técnica. Es una decisión sobre gobernanza patrimonial: cuánto control quieres retener, cuánto riesgo operativo puedes gestionar, y cuánta interacción con el sistema regulado necesitas.

MiCA no ha eliminado opciones. Ha clarificado las reglas y ha elevado los estándares para los intermediarios. El efecto colateral es que los modelos que combinan soberanía con estructura — como la custodia colaborativa — se vuelven más relevantes, no menos.

El marco europeo en contexto global

Europa es, a día de hoy, la jurisdicción con el marco regulatorio más completo para criptoactivos. MiCA es un reglamento de aplicación directa en los 27 estados miembro — no requiere transposición nacional, lo que evita la fragmentación que ha plagado otras jurisdicciones.

Para holders con vínculos internacionales, esto tiene implicaciones prácticas:

• Firmas no europeas que quieran ofrecer custodia a clientes en la UE necesitan una subsidiaria autorizada dentro de la Unión.
• El passporting permite que un CASP autorizado en un país opere en toda la UE, simplificando la elección de proveedor.
• La previsibilidad regulatoria de MiCA contrasta con la incertidumbre en EE.UU. y la fragmentación en Asia y Latinoamérica, lo que puede hacer de Europa un punto de anclaje regulatorio para patrimonios internacionales.

Una decisión de arquitectura patrimonial

La custodia de Bitcoin no es un problema técnico que se resuelve una vez y se olvida. Es una decisión de arquitectura patrimonial que debe revisarse periódicamente a medida que el marco regulatorio evoluciona.

MiCA ha establecido las reglas base. Las NCAs y ESMA seguirán emitiendo directrices y refinando la implementación. Los modelos de custodia que ofrecen tanto soberanía como estructura — donde el titular mantiene control sobre sus activos pero cuenta con respaldos profesionales y protocolos auditables — están posicionados para responder a este nuevo entorno.

En Citadel B, la custodia colaborativa multisig permite a holders y family offices mantener el control de sus Bitcoin con un esquema de llaves distribuidas, respaldos de recuperación y estándares de seguridad alineados con las exigencias del entorno regulatorio europeo. Porque cuando hablamos de patrimonio en Bitcoin, la clave es no ser la única clave.