Este artículo es solo para fines informativos y no constituye asesoramiento financiero o de inversión. Los mercados de criptomonedas son altamente volátiles. Siempre haga su propia investigación antes de tomar decisiones de inversión.
La Ley de Resiliencia Operativa Digital (DORA) trae nuevos mandatos operativos estrictos para cada negocio de criptomonedas que sirva a usuarios en toda la Unión Europea. A partir del 17 de enero de 2025, el cumplimiento de DORA es obligatorio tanto para las empresas de criptomonedas con sede en la UE como para las que no están en la UE.
Si no cumple con estas normas, perderá el acceso al enorme mercado de la UE, según la guía regulatoria de Innreg. Informes de Coincover muestran que estos requisitos van mucho más allá de los estándares anteriores al insistir en que las empresas de criptomonedas deben proteger los retiros y los fondos de los clientes de fallos tecnológicos o ciberataques, por lo que las empresas de activos digitales se ven obligadas a revisar su planificación de resiliencia y gobernanza. El régimen de DORA se aplica a cada empresa: grandes intercambios, aplicaciones de billetera marginales e incluso proveedores de TI de terceros que apoyan plataformas orientadas a la UE. Por eso, la preparación es ahora urgente en toda la industria.
DORA introduce estándares operativos fundamentales que cambian la forma en que las empresas de criptomonedas deben manejar la continuidad del servicio, la seguridad y la gestión de riesgos. El análisis sectorial de Coincover deja claro: cada empresa de criptomonedas debe mantener los servicios al cliente en funcionamiento, especialmente cuando los usuarios necesitan acceder a depósitos y realizar retiros, incluso en medio de un fallo tecnológico o ciberataque.
Aplicabilidad a Empresas de la UE y No UE
Un hecho importante: DORA lanza una red muy amplia que abarca mucho más allá de solo los países de la UE. La ley explica que DORA se aplica definitivamente a las empresas de criptomonedas extranjeras que sirven incluso a un solo cliente con sede en la UE. Independientemente de dónde esté ubicada esa empresa, las antiguas exenciones de “pasaporte” para empresas no pertenecientes a la UE que trabajaban con residentes europeos ya no existen. Si comercializa, proporciona o apoya servicios de activos criptográficos a usuarios de la UE, el cumplimiento de DORA ya no es opcional.
Los avisos sectoriales de finales de 2025 confirman esto: los intercambios de criptomonedas, los proveedores de billeteras de custodia, las corredurías y los proveedores de TI deben realizar una revisión completa de cumplimiento si operan en la UE, ya sea directa o indirectamente. DORA también cubre a los proveedores de tecnología de terceros: los socios de nube, seguridad e infraestructura que apoyan a los usuarios de la UE están sujetos a sus reglas. Las autoridades pueden multar o incluso suspender a cualquier proveedor que sirva al mercado de la UE sin cumplir con los estándares de DORA, por lo que el riesgo está presente para las empresas no preparadas. Las sanciones pueden incluir la suspensión forzada de actividades en la UE, y está claro que las empresas no pueden permitirse ignorar DORA.
Con reglas como estas, la UE elimina las antiguas lagunas que permitían a las criptomonedas eludir la jurisdicción. Coincover destaca que si una empresa quiere acceder al mercado de criptomonedas de Europa, debe cumplir con las demandas de resiliencia operativa e informes de DORA, independientemente de dónde esté físicamente ubicada.
Ámbito de las Entidades Financieras Cubiertas
El amplio alcance de DORA no se trata solo de intercambios de criptomonedas o servicios de billetera. Los datos del mercado de la industria muestran que apunta a un amplio espectro de actores financieros en la economía de activos digitales. Coincover detalla que más de veinte tipos de entidades financieras están incluidas: creadores de mercado, empresas de inversión, proveedores de dinero electrónico, corredores y redes de pago conectadas a activos digitales están todas listadas.
Si está proporcionando custodia, seguridad, autenticación, procesamiento o servicios en la nube a una plataforma de criptomonedas, debe alinear sus controles e informes de incidentes con los estándares de DORA. Si un proveedor de apoyo no cumple, tanto el proveedor como la plataforma principal de criptomonedas podrían ser responsables. El objetivo es asegurarse de que los enlaces tecnológicos externos débiles no desencadenen fallos en cascada para los clientes de criptomonedas de la UE. Para cada negocio, ya sea directamente o a través de socios, ignorar estos controles significa enfrentar prohibiciones, la baja forzada de clientes de la UE o multas monetarias severas después del 17 de enero de 2025.
Por Qué se Introdujo DORA
DORA llegó en respuesta a las lagunas regulatorias que la expansión de las finanzas digitales expuso. Coincover señala que las reglas anteriores de la UE se centraban principalmente en los riesgos de mercado de crédito y liquidez, pero no abordaban fallos operativos, ciberataques o interrupciones tecnológicas que podrían detener plataformas. En los últimos años, los sectores bancarios han sufrido incidentes multimillonarios: hacks o errores tecnológicos que congelaron transacciones, bloquearon a los usuarios fuera de sus fondos, o peor aún, eliminaron saldos.
Debido a que la tecnología financiera no tiene fronteras y está interconectada, las reglas de un solo país simplemente no han funcionado; un problema en un solo país puede rápidamente afectar a otros. Por eso DORA actúa como una solución paneuropea, consolidando los estándares anteriores en una sola ley aplicable en todas partes. Los datos rastreados por DORA Regulación de Cripto: Lo que las Empresas Financieras Deben Saber muestran que todas las empresas financieras reguladas.
Requisitos Esenciales de Gestión de Riesgos de TIC
DORA establece estándares básicos para la gestión de riesgos de Tecnología de la Información y la Comunicación (TIC), colocando requisitos en el corazón de las operaciones ejecutivas y diarias.
Coincover dice que las empresas de criptomonedas deben alertar a las autoridades nacionales dentro de unas horas si detectan un incidente sustancial de TIC. Las empresas ahora están obligadas a mantener auditorías completas, aplicar parches actualizados y controlar el acceso del personal en tiempo real. Según Innreg, confiar en controles obsoletos o manuales ahora conlleva un riesgo real.
Cronología y Aplicación de DORA
Las reglas de DORA fueron aprobadas a mediados de 2023, y el 17 de enero de 2025 es la fecha límite firme de cumplimiento para los 27 países de la UE.
Coincover aclara que la aplicación es continua, no solo un trámite que marcar en la fecha límite. Los reguladores monitorearán a las empresas de criptomonedas a través de inspecciones programadas y responderán a informes de incidentes o quejas de clientes. La falta persistente de cumplimiento conlleva sanciones crecientes, desde multas considerables hasta suspensiones forzadas de servicios para clientes de la UE. Dado que los operadores de criptomonedas transfronterizos enfrentan un escrutinio adicional, muchos están comenzando revisiones de cumplimiento anticipadas para evitar apresurarse en el último minuto o arriesgarse a un costoso enfrentamiento regulatorio.
- Junio de 2023: DORA adoptada por el Consejo y el Parlamento de la UE
- Enero de 2025: Fecha límite de cumplimiento total de DORA para todas las entidades financieras en el ámbito
- 2025–2026: Publicación continua de estándares técnicos, guías sectoriales y aclaraciones de reglas
DORA y Otras Leyes de Cripto de la UE
DORA llena una brecha principal en la regulación de activos digitales, complementando—pero no reemplazando—el marco de Mercados en Criptoactivos (MiCA) de la UE. Innreg explica que MiCA construye la base: impone estándares de gestión de riesgos y divulgación para los proveedores de servicios de criptoactivos (CASPs) y emisores de tokens, y prohíbe el comercio con información privilegiada y la manipulación de precios. Bajo MiCA, cada CASP debe registrarse con una Autoridad Nacional Competente (NCA) y publicar documentos técnicos conformes antes de listar tokens. Sin embargo, en comparación con DORA, el enfoque está en la integridad del mercado y la transparencia, no en la resiliencia operativa.
DORA luego da un paso más, con un enfoque láser en la resiliencia operativa. Bajo este nuevo régimen, todos los CASPs y emisores de tokens autorizados a través de MiCA deben seguir las reglas de DORA sobre informes de incidentes, gestión de riesgos de TIC y pruebas de resiliencia. Coincover subraya cómo esto crea un entorno regulatorio donde los controles prudenciales y los sistemas de comercio justo trabajan juntos, integrando la transparencia de MiCA con los requisitos técnicos y de manejo de incidentes de DORA. Según DORA Regulación Explicada: Resiliencia Operativa Digital de la UE…, esta estructura dual tiene como objetivo garantizar una protección robusta al consumidor tanto a nivel técnico como de mercado.
| Marco | Enfoque Principal | Quiénes Están Cubiertos | Fecha Clave |
|---|---|---|---|
| MiCA | Integridad del mercado, transparencia | CASPs, emisores de tokens | En vigor: 2024 |
| DORA | Resiliencia operativa, riesgo de TIC | Empresas de criptomonedas, socios tecnológicos | Obligatorio: Ene 2025 |
Impacto en Proveedores de TIC de Terceros
El alcance de DORA incluye específicamente a los proveedores de tecnología cuyos productos y servicios permiten a las empresas de criptomonedas hacer negocios en la UE. La guía de Coincover dice que esto abarca todo, desde plataformas de alojamiento y nubes públicas hasta socios de ciberseguridad y proveedores de infraestructura de pago. Cualquier tercero de TIC cuya falla pueda interrumpir la actividad regulada de criptomonedas ahora cae bajo DORA.
Siempre que un proveedor de terceros sufra un problema de servicio o no mantenga controles al nivel de DORA, hay repercusiones a lo largo de toda la cadena. Las empresas de criptomonedas pueden ser consideradas no conformes incluso si el problema comenzó con un proveedor. Coincover enfatiza que una debida diligencia sólida y la ejecución de contratos son ahora imprescindibles; las empresas de criptomonedas no pueden permitirse correr riesgos con socios no conformes. Esta regulación está acelerando el cambio de la industria hacia proveedores confiables con fuerza operativa demostrable y una sólida respuesta a incidentes. A medida que el riesgo de auditoría aumenta hacia 2026, los equipos de cumplimiento y las juntas están haciendo de la exposición a TIC de terceros—sin importar cuán grandes o restringidos—una prioridad máxima para la revisión y mitigación de riesgos.
Disclaimer: The content on this page is for informational purposes only and does not constitute financial advice. Always do your own research before making investment decisions.
Elena Petrova is a regulatory correspondent specializing in crypto law and policy with over 10 years of financial journalism experience. Formerly a finance reporter at Reuters, Elena covers SEC enforcement, MiCA implementation, and global stablecoin regulations. She holds a J.D. from Georgetown Law and is a member of the New York State Bar. Her regulatory analysis is frequently referenced by compliance officers and legal teams at major exchanges.
Conflicts of interest
I have no current legal practice or retainer relationships with any cryptocurrency company. Past employment relationships are listed publicly.
