A medida que la Unión Europea se prepara para implementar el Reglamento de Mercados de Criptoactivos (MiCA) a finales de diciembre, han surgido fricciones entre la Autoridad Europea de Valores y Mercados (ESMA) y la Comisión Europea en torno a la regulación de la ciberseguridad de las plataformas de criptomonedas. La ESMA ha solicitado a Bruselas una enmienda que exija a las empresas de criptoactivos realizar auditorías externas de ciberseguridad para recibir la autorización de operación, pero la Comisión ha rechazado la propuesta, argumentando que excede el alcance normativo de MiCA.
El reglamento MiCA es la primera legislación de la UE dirigida a regular y armonizar el sector de los criptoactivos en el bloque, con el objetivo de brindar mayor protección al consumidor y prevenir riesgos financieros en un mercado hasta ahora desregulado. La ESMA, que ha emitido su opinión a través de un informe técnico en marzo pasado, plantea que la naturaleza digital y descentralizada de los criptoactivos hace a estas plataformas particularmente vulnerables a ciberataques, robos y pérdidas de datos, riesgos que considera prioritarios para la supervisión de los reguladores nacionales.
Además, lea: Mercado de relés electrónicos
En su informe técnico, la ESMA sugiere una serie de requisitos específicos para mitigar los riesgos de ciberseguridad. Estos incluyen evaluaciones de vulnerabilidades, revisiones de configuración de los sistemas y pruebas de penetración —técnicas en las que expertos en ciberseguridad intentan detectar y explotar debilidades en los sistemas informáticos. Estas medidas de protección, más exhaustivas que las previstas en MiCA, están diseñadas para ofrecer un nivel de seguridad más alto que el establecido en el reglamento, que solo exige políticas generales de prevención de amenazas.
La Comisión Europea, sin embargo, ha declinado adoptar estas exigencias adicionales, argumentando que MiCA debe ceñirse a los mandatos de regulación ya establecidos. En una reciente respuesta oficial, la Comisión afirmó: “Las normas técnicas de regulación deben estar en conformidad con el mandato legal de MiCA y no deben excederlo imponiendo obligaciones adicionales”. La Comisión ha propuesto en cambio que las auditorías de ciberseguridad sean opcionales y no un requisito obligatorio, permitiendo que las empresas las presenten si lo consideran necesario.
Pese a la negativa de Bruselas, la ESMA insiste en que las auditorías externas deberían ser obligatorias para todas las empresas que deseen operar en la Unión Europea. En una nueva respuesta, emitida la semana pasada, la autoridad reguladora advirtió que sin una exigencia uniforme de auditoría de ciberseguridad, cada regulador nacional podría aplicar estándares distintos, lo cual fragmentaría el mercado, contradiciendo el propósito central de MiCA: armonizar la regulación de los criptoactivos en toda la UE.
Mariona Pericas Estrada, asociada principal de la consultora finReg360, señala que las medidas propuestas por la ESMA son más exigentes que las previstas tanto en MiCA como en la Ley de Resiliencia Operativa Digital (DORA), que regula la seguridad del sector financiero europeo frente a riesgos tecnológicos y cuya aplicación comenzará en enero de 2025. “Nos sorprendió mucho, ya que DORA aún no ha sido implementada, y el reglamento que la desarrolla no está finalizado. Incorporar estos requisitos parece prematuro”, explica Pericas. Además, destaca que las auditorías propuestas por la ESMA superan las exigencias de DORA, un reglamento de aplicación directa, lo cual resulta “excesivo en un RTS [Reglamento Técnico de Supervisión] que, en teoría, solo debería desarrollar lo que permite MiCA”.
La creciente preocupación de la ESMA responde a un aumento en los delitos informáticos que afectan a los criptoactivos. Un informe reciente de Chainalysis reveló que en los primeros siete meses de 2024 los ataques de hackers al ecosistema cripto han aumentado en comparación con el año anterior, alcanzando los 1.580 millones de dólares en pérdidas hasta finales de julio. Aunque el número de ataques solo subió un 2,76%, el monto medio robado se duplicó, y pasó de 5.900 millones de dólares en 2023 a 10.600 millones en 2024, lo que representa un aumento del 79,46%.
El aumento del valor de las criptomonedas, con bitcoin repuntando un 60% este año, ha hecho que las plataformas cripto sean objetivos más atractivos para los hackers. A lo largo de la última década, el sector ha sufrido ataques masivos. Entre los ejemplos más notorios se encuentra el hackeo de Mt. Gox en 2014, que representó la pérdida de 750.000 bitcoins, aproximadamente el 6% de toda la moneda en circulación en ese momento. Más recientemente, en 2022, Binance, el mayor exchange de criptomonedas a nivel global, sufrió un ataque con pérdidas por valor de 570 millones de dólares.
Además, lea: Mercado de dispositivos vasculares periféricos
Las plataformas cripto buscan reforzar sus medidas de seguridad ante estas amenazas, y, en ese sentido, la propuesta de la ESMA ha recibido un apoyo moderado en la industria. Si bien algunos actores consideran que las exigencias adicionales representan una carga operativa, otros sostienen que una mayor seguridad podría dar lugar a una mayor adopción de los criptoactivos por parte de los usuarios europeos, quienes, de acuerdo con la ESMA, estarían mejor protegidos con auditorías de ciberseguridad.
El próximo paso en el proceso regulador es llegar a un consenso entre ambas instituciones. La Comisión, que tiene la última palabra en estos casos, mantiene su postura de que las auditorías de ciberseguridad deben ser opcionales y no un requisito obligatorio. “No todos los proveedores necesitan el mismo nivel de auditoría; un operador más pequeño con un sistema sencillo podría no necesitar una auditoría tan rigurosa, mientras que uno más grande sí”, argumenta Pericas.
A medida que la tecnología de cadena de bloques (DLT) y los sistemas de criptoactivos se expanden, la seguridad informática de las plataformas se convierte en un tema prioritario para la UE, que observa de cerca la evolución de esta industria. Para la ESMA, la implementación de medidas de ciberseguridad estrictas es esencial para blindar la normativa y proteger a los consumidores, especialmente ante una posible adopción masiva de criptomonedas en el mercado europeo.
Por ahora, el debate se mantiene abierto y la entrada en vigor de MiCA en diciembre definirá el alcance de las medidas de ciberseguridad exigidas a las empresas de criptoactivos en Europa, dejando en manos de los reguladores nacionales el desarrollo de estas normas en función del marco propuesto por la Comisión Europea.
