Respuesta rápida
La custodia de activos digitales sigue dos regímenes según la naturaleza del activo. Si es un criptoactivo no instrumento financiero, la custodia es un servicio de proveedor de servicios de criptoactivos (CASP) bajo MiCA. Si es un valor tokenizado, esto es, un instrumento financiero representado en red, la custodia corresponde a entidades habilitadas conforme a MiFID II y la LMVSI, con una ERIR administrando el registro.
Dos activos, dos regímenes
La palabra custodia esconde dos servicios jurídicamente distintos. La frontera no la marca la tecnología, que en ambos casos puede ser una cadena de bloques, sino la naturaleza del activo custodiado. De esa calificación depende la norma aplicable, la entidad habilitada y las garantías que recibe el titular.
El Reglamento de criptoactivos regula la prestación de servicios sobre criptoactivos que no son instrumentos financieros, e incluye entre ellos la custodia y administración de criptoactivos por cuenta de clientes. Pero excluye expresamente de su ámbito los criptoactivos que se califiquen como instrumentos financieros en el sentido de MiFID II (MiCA Reg. (UE) 2023/1114, art. 2.4). En consecuencia, un token que represente una acción, un bono o una participación de IIC no entra en MiCA: se rige por la normativa de mercados de valores.
Custodia de criptoactivos: el servicio CASP bajo MiCA
Cuando el activo es un criptoactivo que no constituye instrumento financiero, por ejemplo un token de utilidad o una criptomoneda, custodiarlo por cuenta de terceros es un servicio reservado a un proveedor de servicios de criptoactivos autorizado. MiCA somete a estos proveedores a un régimen de autorización y supervisión, con requisitos de capital, gobernanza y conducta, y obligaciones específicas para el servicio de custodia (MiCA Reg. (UE) 2023/1114).
El custodio CASP debe mantener un registro de posiciones por cliente, separar los criptoactivos de los clientes de los propios y responder de su disponibilidad. La tenencia de claves criptográficas que controlan el acceso a los criptoactivos es el núcleo operativo del servicio: quien controla las claves controla el activo. De ahí la relevancia de las políticas de custodia de claves, los procedimientos de respaldo y la responsabilidad del proveedor frente a incidentes.
Custodia de valores tokenizados: entidades habilitadas y ERIR
El segundo régimen aplica cuando el activo digital es un instrumento financiero representado mediante tecnología de registros distribuidos. La Ley 6/2023 reconoce los sistemas TRD como forma válida de representar valores negociables, junto a las anotaciones en cuenta y los títulos (Ley 6/2023 LMVSI BOE-A-2023-7053). Al ser instrumentos financieros, su custodia y administración por cuenta de clientes es un servicio auxiliar de inversión sujeto a MiFID II y a la LMVSI (MiFID II Dir. 2014/65/UE).
Pueden prestar este servicio las entidades habilitadas para custodiar instrumentos financieros: entidades de crédito y sociedades y agencias de valores con la autorización correspondiente. No basta con operar una infraestructura tecnológica; se requiere la habilitación para el servicio de inversión de custodia. Cuando la entidad de crédito es a la vez depositario de una IIC, ejerce además las funciones de depositaría y vigilancia que impone el régimen de inversión colectiva (Ley 35/2003 de IIC).
El papel de la ERIR
En los valores representados mediante TRD aparece una figura sin equivalente en la custodia de criptoactivos: la entidad responsable de la inscripción y el registro. La ERIR administra el registro de los valores en la red, identifica a los titulares, determina la naturaleza y el número de valores y garantiza la integridad e inmutabilidad de las inscripciones, además de disponer de un plan de contingencia para la continuidad del registro (Ley 6/2023 LMVSI BOE-A-2023-7053). La CNMV autorizó a Ursus-3 Capital, agencia de valores, como primera ERIR en España el 22 de noviembre de 2024.
Conviene no confundir registro y custodia. La ERIR administra quién figura como titular en la red; la custodia como servicio de inversión se refiere a la salvaguarda de los instrumentos por cuenta del cliente. Una misma entidad habilitada puede asumir ambas funciones, pero son responsabilidades distintas con bases normativas propias.
Segregación de activos
La separación entre el patrimonio del cliente y el de la entidad es un principio común a ambos regímenes, aunque con anclajes distintos. En la custodia de instrumentos financieros, las normas de protección de activos de clientes derivadas de MiFID II exigen identificar y separar los valores de cada cliente y evitar su uso por cuenta propia sin consentimiento (MiFID II Dir. 2014/65/UE). En la custodia de criptoactivos, MiCA impone al proveedor mantener segregadas las posiciones de los clientes respecto de las suyas y llevar un registro fiel de posiciones (MiCA Reg. (UE) 2023/1114).
La segregación cumple una función protectora: ante la insolvencia del custodio, los activos del cliente no deben confundirse con la masa del custodio. En el entorno digital, la segregación se proyecta también sobre la gestión de claves y direcciones, de modo que las posiciones de cada cliente sean identificables y reconstruibles.
DORA: la capa de resiliencia operativa
Sobre ambos regímenes opera el Reglamento de resiliencia operativa digital, aplicable a las entidades financieras y a sus proveedores tecnológicos. DORA exige gobernanza del riesgo tecnológico, gestión y notificación de incidentes, pruebas periódicas de resiliencia y control del riesgo de terceros proveedores críticos, y es plenamente aplicable desde el 17 de enero de 2025 (DORA Reg. (UE) 2022/2554).
Para un custodio de activos digitales esto se traduce en obligaciones concretas: planes de continuidad, gestión de incidentes de ciberseguridad, pruebas de la infraestructura y supervisión de los proveedores que sostienen la operativa de registro y custodia. La fortaleza de las claves o de los contratos inteligentes no exime del marco de resiliencia; lo complementa.
Autocustodia frente a custodia regulada
La autocustodia consiste en que el titular conserva por sí mismo las claves que controlan sus criptoactivos, sin intermediario. Es legítima para criptoactivos y otorga control directo, pero traslada al titular todo el riesgo operativo: la pérdida de las claves implica la pérdida del activo, sin un tercero que responda. No existen las garantías de segregación, supervisión ni resiliencia propias de un custodio regulado.
En el terreno de los instrumentos financieros tokenizados la autocustodia no encaja del mismo modo. La inscripción de la titularidad descansa en una ERIR y la custodia como servicio de inversión está reservada a entidades habilitadas, de manera que el modelo se construye sobre intermediarios supervisados, no sobre la tenencia individual de claves al margen del sistema. La elección entre control directo y protección regulada depende del tipo de activo y del perfil del titular.
Preguntas frecuentes
¿Un valor tokenizado se custodia bajo MiCA?
No. Un valor tokenizado es un instrumento financiero, de modo que su custodia se rige por MiFID II y la LMVSI, y la presta una entidad habilitada. MiCA excluye de su ámbito los criptoactivos que sean instrumentos financieros (MiCA Reg. (UE) 2023/1114, art. 2.4).
¿Qué diferencia hay entre una ERIR y un custodio?
La ERIR administra el registro de los valores en la red e identifica a los titulares; el custodio salvaguarda los instrumentos por cuenta del cliente como servicio de inversión. Una misma entidad habilitada puede asumir ambas, pero son funciones distintas (Ley 6/2023 LMVSI BOE-A-2023-7053).
¿Puede una empresa tecnológica custodiar valores tokenizados sin licencia?
No. La custodia de instrumentos financieros es un servicio reservado a entidades habilitadas conforme a MiFID II y la LMVSI. Operar la infraestructura tecnológica no equivale a estar autorizado para custodiar (MiFID II Dir. 2014/65/UE).
¿DORA aplica a los custodios de criptoactivos?
Sí. DORA alcanza a las entidades financieras, incluidos los proveedores de servicios de criptoactivos, y a sus proveedores tecnológicos críticos, con plena aplicación desde el 17 de enero de 2025 (DORA Reg. (UE) 2022/2554).
Qué significa para usted
Antes de confiar un activo digital a un custodio, identifique primero qué activo es. Si se trata de un criptoactivo, verifique que el proveedor está autorizado como CASP bajo MiCA. Si es un valor tokenizado, compruebe que la custodia la presta una entidad habilitada para instrumentos financieros y quién actúa como ERIR. En ambos casos, la segregación de sus activos y el cumplimiento de DORA son indicadores de la solidez del servicio. La autocustodia ofrece control, pero sin las protecciones de un custodio regulado.
Este contenido es divulgativo y formativo. No constituye asesoramiento jurídico, fiscal ni de inversión, ni sustituye la consulta con un profesional colegiado. La normativa sobre tokenización y criptoactivos evoluciona; verifica siempre la versión vigente de las normas citadas en el BOE (boe.es) y EUR-Lex (eur-lex.europa.eu).
.webp)
.webp)
.png)
.webp)
.webp)
.webp)
.webp)
.webp)
.webp)
.webp)
.webp)
.webp)
%20(1).webp)
.webp)
.webp)
.webp)
.png)
.png)
.png)
