Agencia Estatal Boletín Oficial del Estado

 

LA COMISIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea,

Visto el Reglamento (UE) 2023/1114 del Parlamento Europeo y del Consejo, de 31 de mayo de 2023, relativo a los mercados de criptoactivos y por el que se modifican los Reglamentos (UE) n.o 1093/2010 y (UE) n.o 1095/2010 y las Directivas 2013/36/UE y (UE) 2019/1937 (1), y en particular su artículo 60, apartado 13, párrafo tercero,

Considerando lo siguiente:

(1)

Para que las autoridades competentes puedan evaluar si determinadas entidades financieras que tienen la intención de prestar servicios de criptoactivos cumplen los requisitos aplicables establecidos en el título V y, en su caso, en el título VI del Reglamento (UE) 2023/1114, la información que deben notificar determinadas entidades financieras de su intención de prestar servicios de criptoactivos debe ser suficientemente detallada y exhaustiva sin imponer cargas indebidas.

(2)

De conformidad con el artículo 60, apartado 7, letra a), del Reglamento (UE) 2023/1114, una notificación de la intención de prestar servicios de criptoactivos debe contener un programa de actividades. A fin de ofrecer una imagen completa de las operaciones que la entidad notificante se propone llevar a cabo, el programa de actividades debe incluir una descripción de la estructura organizativa de la entidad notificante, su estrategia de prestación de servicios de criptoactivos a los clientes a los que se dirige y su capacidad operativa durante los tres años siguientes a la fecha de notificación. En cuanto a la estrategia utilizada para dirigirse a los clientes, la entidad notificante debe describir los medios de comercialización que se propone utilizar, como los sitios web, las aplicaciones para teléfonos móviles, las reuniones presenciales, los comunicados de prensa o cualquier tipo de medios físicos o electrónicos, incluidas las herramientas de sus campañas en las redes sociales, los anuncios o banners en internet, el retargeting de la publicidad, los acuerdos con influyentes, los acuerdos de patrocinio, las llamadas, los seminarios web, las invitaciones a actos, las campañas de afiliación, las técnicas de ludificación, las invitaciones a cumplimentar un formulario de respuesta o a seguir un curso de formación, las cuentas de demostración o los materiales educativos.

(3)

A fin de que las autoridades competentes puedan evaluar la resiliencia de la entidad notificante para resistir a perturbaciones financieras externas, incluidas las relativas al valor de los criptoactivos, la entidad notificante debe incluir en su notificación escenarios de tensión que simulen acontecimientos graves pero verosímiles en su plan de previsión contable.

(4)

Para evitar interrupciones de operaciones, ya que pueden tener consecuencias financieras, reglamentarias y de reputación importantes para la entidad notificante y los mercados de criptoactivos en general, es fundamental mantener las operaciones o al menos las funciones esenciales de los proveedores de servicios de criptoactivos y minimizar el tiempo de inactividad debido a perturbaciones imprevistas, incluidos los ciberataques y las catástrofes naturales. Por tanto, una notificación debe contener información detallada sobre las disposiciones adoptadas por la entidad notificante para garantizar la continuidad y la regularidad de la prestación de servicios de criptoactivos, incluida una descripción detallada de sus riesgos y planes de continuidad de la actividad.

(5)

Se necesitan mecanismos, sistemas y procedimientos eficaces que cumplan la Directiva (UE) 2015/849 del Parlamento Europeo y del Consejo (2) para garantizar que las entidades notificantes aborden adecuadamente los riesgos y las prácticas de blanqueo de capitales y financiación del terrorismo en la prestación de servicios de criptoactivos. Por tanto, las entidades notificantes deben facilitar en su notificación información detallada sobre los mecanismos, sistemas y procedimientos establecidos para prevenir los riesgos asociados a sus actividades empresariales en relación, entre otras cosas, con la lucha contra el blanqueo de capitales y la financiación del terrorismo.

(6)

Debido a la naturaleza descentralizada y digital de los criptoactivos, los riesgos de ciberseguridad para los proveedores de servicios de criptoactivos son significativos y adoptan muchas formas. Para garantizar que la entidad notificante sea capaz de evitar violaciones de la seguridad de los datos y pérdidas financieras que puedan derivarse de ciberataques, la información sobre los sistemas de TIC desplegados por la entidad notificante y las disposiciones de seguridad conexas, como la identidad y la ubicación geográfica de los proveedores, la descripción de las actividades o servicios de TIC externalizados con sus principales características, la copia de los acuerdos contractuales a que se refiere el artículo 60, apartado 7, letra c), del Reglamento (UE) 2023/1114, debe incluir los recursos humanos dedicados a hacer frente a los riesgos de ciberseguridad.

(7)

La segregación de los criptoactivos y fondos de los clientes protege a los clientes de las pérdidas del proveedor de servicios de criptoactivos y del uso indebido de sus criptoactivos y fondos. Por consiguiente, el artículo 70 del Reglamento (UE) 2023/1114 exige a los proveedores de servicios de criptoactivos que adopten las medidas adecuadas para salvaguardar los derechos de propiedad de los clientes. Este requisito también se aplica a los proveedores de servicios de criptoactivos que no prestan servicios de custodia y administración.

(8)

Con objeto de que las autoridades competentes puedan evaluar la adecuación de las normas de funcionamiento de la entidad notificante para sus plataformas de negociación de criptoactivos, esta debe proporcionar información detallada en la descripción de dichas normas. En particular, la entidad notificante debe profundizar en los aspectos de las normas de funcionamiento relativas a la admisión a negociación, la negociación y la liquidación de criptoactivos. Por lo que se refiere a la admisión a negociación de criptoactivos, la entidad notificante debe facilitar información detallada sobre la manera en que los criptoactivos admitidos cumplen las normas de la entidad notificante, sobre los tipos de criptoactivos que la entidad notificante no admitirá en su plataforma de negociación y los motivos de tales exclusiones, y sobre las comisiones aplicadas por la admisión a negociación. En cuanto a la negociación de criptoactivos, la entidad notificante debe especificar los elementos de las normas de funcionamiento que rigen la ejecución y cancelación de órdenes, la negociación ordenada, la transparencia y el mantenimiento de registros. Por último, la entidad notificante debe incluir en la descripción de las normas de funcionamiento los elementos que rigen la liquidación de operaciones con criptoactivos en la plataforma de negociación, en particular si la liquidación se inicia utilizando tecnología de registro descentralizado (TRD), el plazo en el que se inicia la ejecución, la definición del momento en que la liquidación es definitiva, todas las verificaciones necesarias para garantizar la liquidación efectiva de la operación y cualquier medida para limitar los fallos en la liquidación.

(9)

Para que las autoridades competentes puedan evaluar la adecuación de la entidad notificante a la hora de prestar determinados servicios de criptoactivos, como el canje de criptoactivos por fondos u otros criptoactivos, la ejecución, la prestación de asesoramiento sobre criptoactivos o la gestión de carteras de criptoactivos y servicios de transferencia, la entidad notificante debe especificar los detalles de cómo se prestarán estos servicios de criptoactivos, así como las disposiciones adoptadas para garantizar que la entidad notificante cumple las disposiciones pertinentes del Reglamento (UE) 2023/1114 en lo que respecta a la prestación de dichos servicios de criptoactivos.

(10)   (11)

Todo tratamiento de los datos personales en el marco del presente Reglamento cumplirá los requisitos del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (3).   El presente Reglamento se basa en el proyecto de normas técnicas de regulación presentado a la Comisión por la Autoridad Europea de Valores y Mercados (AEVM), desarrollado en estrecha cooperación con la Autoridad Bancaria Europea.

(12)

La AEVM ha llevado a cabo una consulta pública abierta sobre los proyectos de normas técnicas de regulación en que se basa el presente Reglamento, ha analizado los costes y beneficios potenciales correspondientes y ha recabado el dictamen del Grupo de Partes Interesadas del Sector de los Valores y Mercados, establecido de conformidad con el artículo 37 del Reglamento (UE) n.o 1095/2010 del Parlamento Europeo y del Consejo (4).

(13)	El Supervisor Europeo de Protección de Datos, al que se consultó de conformidad con el artículo 42, apartado 1, del Reglamento (UE) 2018/1725del Parlamento Europeo y del Consejo (5), formuló sus observaciones formales el 21 de junio de 2024.

HA ADOPTADO EL PRESENTE REGLAMENTO:

Artículo 1

Programa de actividades

1.   A efectos del artículo 60, apartado 7, letra a), del Reglamento (UE) 2023/1114, la entidad notificante facilitará a la autoridad competente el programa de actividades de los tres años siguientes a la fecha de notificación, incluida toda la información siguiente:

a)

cuando la entidad notificante pertenezca a un grupo tal como se define en el artículo 2, punto 11, de la Directiva 2013/34/UE del Parlamento Europeo y del Consejo (6), una explicación de cómo encajan las actividades de la entidad notificante en la estrategia del grupo e interactúan con las actividades de las demás entidades del grupo, incluida una visión general de la organización y estructura actuales y previstas de dicho grupo;

b)

una explicación de cómo se espera que las actividades de las entidades afiliadas a la entidad notificante, incluso cuando existan entidades reguladas en el grupo, incidan en las actividades de la entidad notificante, incluida una lista de las entidades afiliadas a la entidad notificante y, en caso de que existan entidades reguladas, los servicios prestados por dichas entidades y los nombres de dominio de cada sitio web gestionado por dichas entidades;

c)	una lista de los servicios de criptoactivos que la entidad notificante se propone prestar y los tipos de criptoactivos a los que se referirán los servicios de criptoactivos;

d)	otras actividades previstas, reguladas de conformidad con el Derecho de la Unión o nacional o no reguladas, incluidos cualesquiera servicios distintos de los servicios de criptoactivos, que la entidad notificante tenga intención de prestar;

e)	si la entidad notificante tiene la intención de ofertar criptoactivos al público o solicita la admisión a negociación de criptoactivos y, en caso afirmativo, qué tipo de criptoactivos;

f)	una lista de jurisdicciones, tanto en la Unión como en terceros países, en las que la entidad notificante tiene previsto prestar servicios de criptoactivos, incluida información sobre el número previsto de clientes por zona geográfica;

g)	los tipos de clientes potenciales a los que se dirigen los servicios de criptoactivos de la entidad notificante;

h)

una descripción de los medios de acceso de los clientes a los servicios de criptoactivos de la entidad notificante, incluidos todos los elementos siguientes: i) los nombres de dominio de cada sitio web u otra aplicación basada en las TIC a través de los cuales la entidad notificante prestará los servicios de criptoactivos e información sobre las lenguas en las que estará disponible el sitio web u otra aplicación basada en las TIC, los tipos de servicios de criptoactivos a los que se accederá a través de dicho sitio web u otra aplicación basada en las TIC y, en su caso, desde qué Estados miembros será accesible el sitio web u otra aplicación basada en las TIC; ii) el nombre de cualquier aplicación basada en las TIC a disposición de los clientes para acceder a los servicios de criptoactivos, las lenguas en las que dicha aplicación está disponible y los servicios de criptoactivos a los que se puede acceder a través de dicha aplicación;

i)

las actividades y disposiciones de comercialización y promoción previstas para los servicios de criptoactivos, en particular: i) todos los medios de comercialización que vayan a utilizarse para cada uno de los servicios; ii) los medios de identificación previstos de la entidad notificante; iii) información sobre la categoría pertinente de clientes a los que se dirige; iv) tipos de criptoactivos; v) lenguas que se utilizarán para las actividades de comercialización y promoción;

j)	una descripción detallada de los recursos humanos, financieros y de TIC asignados a los servicios de criptoactivos previstos y su ubicación geográfica;

k)

la política de externalización de la entidad notificante y cómo se adaptó a los servicios de criptoactivos, así como una descripción detallada de los acuerdos de externalización previstos por la entidad notificante, incluidos los acuerdos intragrupo, y la manera en que la entidad notificante cumplirá lo dispuesto en el artículo 73 del Reglamento (UE) 2023/1114, incluida información sobre la función o la persona responsable de la externalización, los recursos humanos y de TIC asignados al control de las funciones, servicios o actividades externalizados de los acuerdos conexos y sobre la evaluación de riesgos relacionada con la externalización;

l)	la lista de entidades que prestarán servicios externalizados para la prestación de servicios de criptoactivos, su ubicación geográfica y los servicios pertinentes externalizados;

m)	un plan de previsión contable que incluya escenarios de tensión a nivel individual y, en su caso, a nivel de grupo consolidado y subconsolidado de conformidad con la Directiva 2013/34/UE, teniendo en cuenta todo préstamo intragrupo concedido o por conceder por y a la entidad notificante;

n)	todo canje de criptoactivos por fondos y otras actividades de criptoactivos que la entidad notificante se proponga llevar a cabo, también a través de cualquier aplicación de financiación descentralizada con la que la entidad notificante tenga intención de interactuar por cuenta propia.

2.   Cuando la entidad notificante tenga la intención de prestar el servicio de recepción y transmisión de órdenes relativas a criptoactivos por cuenta de clientes, facilitará a la autoridad competente una copia de los procedimientos y una descripción de las disposiciones que garanticen el cumplimiento del artículo 80 del Reglamento (UE) 2023/1114.

3.   Cuando la entidad notificante tenga la intención de prestar el servicio de colocación de criptoactivos, facilitará a la autoridad competente una copia de los procedimientos para detectar, prevenir, gestionar y comunicar los conflictos de intereses, así como una descripción de las disposiciones adoptadas para dar cumplimiento a lo dispuesto en el artículo 79 del Reglamento (UE) 2023/1114 y en el Reglamento Delegado de la Comisión por el que se establecen normas técnicas adoptadas en virtud del artículo 72, apartado 5, del Reglamento (UE) 2023/1114.

Artículo 2

Plan de continuidad de la actividad

1.   A efectos del artículo 60, apartado 7, letra b), inciso iii), del Reglamento (UE) 2023/1114, la entidad notificante presentará a la autoridad competente una descripción detallada de su plan de continuidad de la actividad, incluidas las medidas que deben adoptarse para garantizar la continuidad y regularidad en la prestación de sus servicios de criptoactivos.

2.   La descripción a que se refiere el apartado 1 incluirá lo siguiente:

 a) información detallada que muestre que el plan de continuidad de la actividad establecido es adecuado y que se han establecido disposiciones para mantener y probar periódicamente dicho plan;

 b) en lo que respecta a las funciones esenciales o importantes sustentadas por proveedores terceros de servicios, información detallada sobre cómo se garantiza la continuidad de la actividad en caso de que la calidad de la prestación de dichas funciones se deteriore hasta un nivel inaceptable o falle;

 c) información sobre cómo se garantiza la continuidad de la actividad en caso de fallecimiento de una persona clave y, en su caso, sobre los riesgos políticos en las jurisdicciones del proveedor de servicios.

Artículo 3

Detección y prevención del blanqueo de capitales y la financiación del terrorismo

A efectos del artículo 60, apartado 7, letra b), incisos i) y ii), del Reglamento (UE) 2023/1114, la entidad notificante facilitará a la autoridad competente información sobre sus mecanismos, políticas y procedimientos de control interno para garantizar el cumplimiento de las disposiciones de Derecho nacional de transposición de la Directiva (UE) 2015/849 y sobre el marco de evaluación de riesgos para gestionar los riesgos relacionados con el blanqueo de capitales y la financiación del terrorismo, en particular:

a) la evaluación por parte de la entidad notificante de los riesgos inherentes y residuales de blanqueo de capitales y financiación del terrorismo asociados a su prestación de servicios de criptoactivos, incluidos los riesgos relacionados con:

 i) la base de clientes de la entidad notificante;

 ii) los servicios prestados;

 iii) los canales de distribución utilizados;

 iv) las zonas geográficas de actividad;

b) las medidas que la entidad notificante haya adoptado o vaya a adoptar para prevenir los riesgos detectados y cumplir los requisitos aplicables en materia de lucha contra el blanqueo de capitales y la financiación del terrorismo, incluidos el proceso de evaluación de riesgos de la entidad notificante, las políticas y procedimientos para cumplir los requisitos de diligencia debida con respecto al cliente, y las políticas y procedimientos para detectar y notificar transacciones o actividades sospechosas;

c) información detallada sobre cómo los mecanismos, políticas y procedimientos de control interno son adecuados y proporcionados a la escala, la naturaleza y el riesgo inherente de blanqueo de capitales y financiación del terrorismo, incluida la gama de servicios de criptoactivos prestados, la complejidad del modelo de negocio y la manera en que la entidad notificante garantiza su conformidad con la Directiva (UE) 2015/849 y el Reglamento (UE) 2023/1113 del Parlamento Europeo y del Consejo (7);

d) la identidad de la persona encargada de garantizar el cumplimiento por parte de la entidad notificante de los requisitos en materia de lucha contra el blanqueo de capitales y la financiación del terrorismo, incluidas pruebas de sus competencias y experiencia;

e) las disposiciones, los recursos humanos y financieros destinados a garantizar, sobre la base de indicaciones anuales, que el personal de la entidad notificante reciba la formación adecuada en materia de lucha contra el blanqueo de capitales y la financiación del terrorismo y sobre riesgos específicos relacionados con criptoactivos;

f) una copia de las políticas, procedimientos y sistemas de la entidad notificante en materia de lucha contra el blanqueo de capitales y la lucha contra el terrorismo;

g) un documento de síntesis en el que se describan los cambios que se hayan introducido en los procedimientos y sistemas de lucha contra el blanqueo de capitales y la lucha contra el terrorismo de la entidad notificante como consecuencia de los servicios de criptoactivos previstos;

h) la frecuencia de la evaluación de la adecuación y eficacia de los mecanismos, sistemas y procedimientos de control interno, incluida la identidad de la persona o función responsable de dicha evaluación.

Artículo 4

Sistemas de TIC y disposiciones de seguridad conexas

A efectos del artículo 60, apartado 7, letra c), del Reglamento (UE) 2023/1114, la entidad notificante facilitará a la autoridad competente la siguiente información:

a) documentación técnica de los sistemas de TIC, la infraestructura basada en la TRD, cuando proceda, y las disposiciones de seguridad, incluida una descripción de las disposiciones y los recursos humanos y TIC desplegados establecidos para cumplir el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo (8), que incluya lo siguiente:

 i) una descripción de cómo la entidad notificante garantiza un marco de gestión del riesgo relacionado con las TIC sólido, exhaustivo y bien documentado como parte de su sistema general de gestión de riesgos, incluida una descripción detallada de los sistemas, protocolos y herramientas de TIC, y de cómo los procedimientos, políticas y sistemas de la entidad notificante salvaguardarán la seguridad, integridad, disponibilidad, autenticidad y confidencialidad de los datos de conformidad con el Reglamento (UE) 2022/2554 y el Reglamento (UE) 2016/679;

 ii) una identificación de los servicios de TIC que sustentan funciones esenciales o importantes, desarrollados o mantenidos por la entidad notificante, así como los prestados por proveedores terceros de servicios, una descripción de dichos acuerdos contractuales y de la manera en que dichos acuerdos cumplen lo dispuesto en el artículo 73 del Reglamento (UE) 2023/1114 y en el capítulo V del Reglamento (UE) 2022/2554;

 iii) una descripción de los procedimientos, políticas, disposiciones y sistemas de la entidad notificante para la gestión de la seguridad y los incidentes;

b) si se dispone de ella, una descripción de una auditoría de ciberseguridad realizada por un auditor de ciberseguridad tercero con experiencia suficiente de conformidad con el Reglamento Delegado de la Comisión por el que se establecen normas técnicas en virtud del artículo 26, apartado 11, párrafo cuarto, del Reglamento (UE) 2022/2554, que abarque, idealmente, las siguientes auditorías o pruebas realizadas por partes independientes externas:

  i) la ciberseguridad organizativa, la seguridad física y las disposiciones de desarrollo seguro del ciclo de vida de los programas informáticos;

  ii) evaluaciones de la vulnerabilidad y de la seguridad de las redes;

  iii) revisiones de la configuración de los activos de TIC que sustentan funciones esenciales e importantes, tal como se definen en el artículo 3, punto 22, del Reglamento (UE) 2022/2554;

  iv) pruebas de penetración de los activos de TIC que sustentan funciones esenciales e importantes, tal como se definen en el artículo 3, punto 17, del Reglamento (UE) 2022/2554, de conformidad con todos los siguientes enfoques de prueba de auditoría:

    1) fase de caja negra: el auditor no dispone de más información que las direcciones IP y las URL asociadas al objetivo auditado. Esta fase suele ir precedida por el descubrimiento de información y la identificación del objetivo mediante la consulta de los servicios del sistema de nombres de dominio (DNS), el escaneado de los puertos abiertos, la detección de la presencia de equipos de filtrado;

    2) fase de caja gris: los auditores tienen el conocimiento de un usuario estándar del sistema de información (autenticación legítima, estación de trabajo «estándar»). Los identificadores pueden pertenecer a diferentes perfiles de usuario con el fin de probar diferentes niveles de privilegios;

    3) fase de caja blanca: los auditores disponen de la mayor cantidad posible de información técnica (arquitectura, código fuente, contactos telefónicos, identificadores, etc.) antes de iniciar el análisis y también tienen acceso a los contactos técnicos relacionados con el objetivo;

 v) cuando la entidad notificante utilice o desarrolle contratos inteligentes, un examen del código fuente de ciberseguridad de dichos contratos;

c) una descripción de las auditorías realizadas de los sistemas de TIC, en su caso, incluida la infraestructura de TRD utilizada y las disposiciones de seguridad;

d) una descripción de la información pertinente a que se refieren las letras a) y b) en un lenguaje no técnico.

Artículo 5

Segregación y guarda de los criptoactivos y fondos de clientes

1.   A efectos del artículo 60, apartado 7, letra d), del Reglamento (UE) 2023/1114, la entidad notificante que tenga la intención de mantener criptoactivos pertenecientes a clientes o los medios de acceso a dichos criptoactivos, o a los fondos de clientes, distintos de las fichas de dinero electrónico, facilitará a la autoridad competente una descripción detallada de sus procedimientos de segregación de criptoactivos y fondos de clientes, incluidos los elementos siguientes:

 a) cómo garantiza la entidad notificante lo siguiente:

  i) los fondos de los clientes no se utilizan por cuenta propia;

  ii) los criptoactivos pertenecientes a los clientes no se utilizan por cuenta propia;

  iii) los monederos en los que se mantienen los criptoactivos de clientes son diferentes de los propios monederos de la entidad notificante;

 b) una descripción detallada del sistema de aprobación de claves criptográficas y la protección de las claves criptográficas, incluidos los monederos multifirma;

 c) la forma en que la entidad notificante segrega los criptoactivos de los clientes, también respecto a los criptoactivos de otros clientes cuando los monederos que contengan criptoactivos de más de un cliente se mantengan en cuentas ómnibus;

 d) una descripción del procedimiento que garantice que los fondos de los clientes, distintos de las fichas de dinero electrónico, se depositan en un banco central o una entidad de crédito antes del final del día hábil siguiente al día en que se reciben y se mantienen en una cuenta identificable por separado de cualquier cuenta utilizada para mantener fondos pertenecientes la entidad notificante;

 e) cuando la entidad notificante no tenga intención de depositar fondos en el banco central pertinente, qué factores tiene en cuenta para seleccionar a las entidades de crédito en las que depositar los fondos de los clientes, incluida la política de diversificación de la entidad notificante, cuando esté disponible, y la frecuencia con la que revisa la selección de las entidades de crédito en las que deposita los fondos de los clientes;

 f) cómo garantiza la entidad notificante que los clientes estén informados, en un lenguaje claro, conciso y no técnico, sobre los aspectos clave de los sistemas, políticas y procedimientos de la entidad notificante para cumplir lo dispuesto en el artículo 70, apartados 1, 2 y 3 del Reglamento (UE) 2023/1114.

2.   De conformidad con el artículo 70, apartado 5, del Reglamento (UE) 2023/1114, los proveedores de servicios de criptoactivos que sean entidades de dinero electrónico o entidades de crédito solo facilitarán la información a que se refiere el apartado 1 del presente artículo.

Artículo 6

Política de custodia y administración

A efectos del artículo 60, apartado 7, letra e), del Reglamento (UE) 2023/1114, la entidad notificante facilitará a la autoridad competente la siguiente información:

a) una descripción de los acuerdos relacionados con el tipo de custodia ofrecido a los clientes, una copia del acuerdo estándar de la entidad notificante para la custodia y administración de criptoactivos por cuenta de clientes de conformidad con el artículo 75, apartado 1, del Reglamento (UE) 2023/1114 y una copia del resumen de la política de custodia puesta a disposición de los clientes de conformidad con el artículo 75, apartado 3, párrafo tercero de dicho Reglamento;

b) la política de custodia y administración de la entidad notificante, incluida una descripción de las fuentes detectadas de riesgos operativos y de TIC para la guarda y el control de los criptoactivos o los medios de acceso a los criptoactivos de los clientes, junto con los siguientes elementos:

 i) las políticas y los procedimientos y una descripción de las disposiciones para cumplir lo dispuesto en el artículo 75, apartado 8, del Reglamento (UE) 2023/1114;

 ii) las políticas y los procedimientos, y una descripción de los sistemas y controles, para gestionar los riesgos operativos y de TIC, en particular cuando la custodia y la administración de criptoactivos por cuenta de clientes se externalice a un tercero;

 iii) las políticas y los procedimientos relativos a los sistemas para garantizar el ejercicio de los derechos vinculados a los criptoactivos por parte de los clientes, así como una descripción de estos;

 iv) las políticas y los procedimientos relativos a los sistemas que garantizan la devolución de criptoactivos o los medios de acceso a los clientes, así como una descripción de estos;

c) información sobre cómo se identifican los criptoactivos y los medios de acceso a los criptoactivos de los clientes;

d) información sobre las disposiciones existentes para minimizar el riesgo de pérdida de criptoactivos o de medios de acceso a los criptoactivos;

e) cuando el proveedor de servicios de criptoactivos haya delegado la prestación de servicios de custodia y administración de criptoactivos por cuenta de clientes en un tercero:

 i) información sobre la identidad de cualquier tercero que preste los servicios de custodia y administración de criptoactivos y su situación de conformidad con el artículo 59 o el artículo 60 del Reglamento (UE) 2023/1114;

 ii) una descripción de las funciones relacionadas con la custodia y administración de criptoactivos delegadas por el proveedor de servicios de criptoactivos, la lista de los delegados y subdelegados, según proceda, y cualquier conflicto de intereses que pueda surgir de dicha delegación;

 iii) una descripción del modo en que la entidad notificante tiene la intención de supervisar las delegaciones o subdelegaciones.

Artículo 7

Normas de funcionamiento de la plataforma de negociación y detección del abuso de mercado

1.   A efectos del artículo 60, apartado 7, letra f), del Reglamento (UE) 2023/1114, la entidad notificante que tenga la intención de gestionar una plataforma de negociación de criptoactivos facilitará a la autoridad competente la información siguiente:

a)	las normas sobre la admisión de criptoactivos a negociación;

b)	el proceso de aprobación de la admisión a negociación de criptoactivos, incluida la diligencia debida con respecto al cliente llevada a cabo de conformidad con la Directiva (UE) 2015/849;

c)	la lista de las categorías de criptoactivos que no se admitirán a negociación y los motivos de dicha exclusión;

d)	las políticas, procedimientos y comisiones aplicables a la admisión a negociación, junto con una descripción, en su caso, de la afiliación, los descuentos y las condiciones correspondientes;

e)	las normas que rigen la ejecución de órdenes, incluidos los procedimientos de cancelación de las órdenes ejecutadas y de divulgación de dicha información a los participantes en el mercado;

f)	los métodos establecidos para evaluar la idoneidad de los criptoactivos de conformidad con el artículo 76, apartado 2, del Reglamento (UE) 2023/1114;

g)	los sistemas, procedimientos y disposiciones establecidos para cumplir lo dispuesto en el artículo 76, apartado 7, del Reglamento (UE) 2023/1114;

h)

la forma de hacer públicos los precios de compra y venta, la profundidad de las posiciones de negociación a los precios que se anuncian para los criptoactivos a través de sus plataformas de negociación y el precio, el volumen y la hora de las operaciones ejecutadas en relación con criptoactivos negociados en su plataforma de negociación, de conformidad con el artículo 76, apartados 9 y 10, del Reglamento (UE) 2023/1114;

i)	las estructuras de comisiones y una justificación que describa cómo dichas estructuras cumplen lo dispuesto en el artículo 76, apartado 13, del Reglamento (UE) 2023/1114;

j)	los sistemas, procedimientos y disposiciones establecidos para mantener los datos relativos a todas las órdenes a disposición de la autoridad competente o el mecanismo para garantizar que la autoridad competente tenga acceso a la cartera de órdenes y a cualquier otro sistema de negociación;

k)

por lo que se refiere a la liquidación de operaciones: i) si la liquidación final de las operaciones se inicia en el registro distribuido o fuera de él; ii) el plazo en el que se inicia la liquidación final de las operaciones de criptoactivos; iii) la forma de verificar la disponibilidad de fondos y criptoactivos; iv) la forma de confirmar los detalles pertinentes de las operaciones; v) las medidas previstas para limitar los fallos en la liquidación; vi) el momento en que la liquidación es definitiva y el momento en que se inicia la liquidación definitiva tras la ejecución de la operación.

l)	los procedimientos y sistemas establecidos para detectar y prevenir el abuso de mercado, incluida la información sobre las comunicaciones a la autoridad competente de posibles casos de abuso de mercado;

2.   Las entidades notificantes que tengan la intención de gestionar una plataforma de negociación de criptoactivos facilitarán a la autoridad competente una copia de las normas de funcionamiento de la plataforma de negociación y de cualquier procedimiento para detectar y prevenir el abuso de mercado.

Artículo 8

Canje de criptoactivos por fondos u otros criptoactivos

A efectos del artículo 60, apartado 7, letra g), del Reglamento (UE) 2023/1114, la entidad notificante que tenga la intención de canjear criptoactivos por fondos u otros criptoactivos facilitarán a la autoridad competente la información siguiente:

a) una descripción de la política comercial establecida con arreglo al artículo 77, apartado 1, del Reglamento (UE) 2023/1114;

b) el método para determinar el precio de los criptoactivos que la entidad notificante propone canjear por fondos u otros criptoactivos de conformidad con el artículo 77, apartado 2, del Reglamento (UE) 2023/1114, incluido el modo en que el volumen y la volatilidad del mercado de los criptoactivos afectan al mecanismo de fijación de precios.

Artículo 9

Política de ejecución

A efectos del artículo 60, apartado 7, letra h), del Reglamento (UE) 2023/1114, la entidad notificante que tenga la intención de ejecutar órdenes relacionadas con criptoactivos por cuenta de clientes facilitarán a la autoridad competente su política de ejecución, incluidos los elementos siguientes:

a)	las disposiciones que garanticen que el cliente ha dado su consentimiento sobre la política de ejecución antes de la ejecución de la orden;

b)

una lista de las plataformas de negociación de criptoactivos en las que se basará la entidad notificante para la ejecución de órdenes y los criterios para la evaluación de los centros de ejecución incluidos en la política de ejecución de conformidad con el artículo 78, apartado 6, del Reglamento (UE) 2023/1114;

c)

las plataformas de negociación que la entidad notificante tenga previsto utilizar para cada tipo de criptoactivos y la confirmación de que la entidad notificante no recibirá ninguna forma de remuneración, descuento o beneficio no monetario a cambio de dirigir las órdenes recibidas a una plataforma específica de negociación de criptoactivos;

d)

la forma en que la ejecución tiene en cuenta el precio, los costes, la rapidez, la probabilidad de ejecución y liquidación, el tamaño, la naturaleza, las condiciones de custodia de los criptoactivos o cualquier otro factor pertinente que se considere parte de todas las medidas necesarias para obtener el mejor resultado posible para el cliente;

e)	cuando proceda, las disposiciones para informar a los clientes de que la entidad notificante ejecutará órdenes fuera de una plataforma de negociación y cómo dicha entidad notificante obtendrá el consentimiento expreso previo de sus clientes antes de ejecutar dichas órdenes;

f)

cómo se advierte al cliente de que cualquier instrucción específica de un cliente puede impedir que la entidad notificante adopte las medidas necesarias, en consonancia con las disposiciones que la entidad notificante haya establecido y aplicado en su política de ejecución, para obtener el mejor resultado posible en la ejecución de dichas órdenes con respecto a los elementos cubiertos por dichas instrucciones;

g)

el proceso de selección de los centros de negociación, las estrategias de ejecución empleadas, los mecanismos utilizados para analizar la calidad de la ejecución obtenida y la forma en que la entidad notificante supervisa y verifica que se hayan obtenido los mejores resultados posibles para los clientes;

h)	las disposiciones adoptadas para evitar el uso indebido de cualquier información relativa a las órdenes de los clientes por parte de los empleados de la entidad notificante;

i)	las disposiciones y procedimientos para la forma en que la entidad notificante comunicará a los clientes información sobre su política de ejecución de órdenes y les notificará cualquier cambio significativo de dicha política;

j)	las disposiciones para demostrar el cumplimiento del artículo 78 del Reglamento (UE) 2023/1114 a la autoridad competente, a petición de dicha autoridad competente.

Artículo 10

Prestación de servicios de asesoramiento sobre criptoactivos o gestión de carteras de criptoactivos

A efectos del artículo 60, apartado 7, letra i), del Reglamento (UE) 2023/1114, la entidad notificante que tenga la intención de prestar el servicio de asesoramiento en materia de criptoactivos o gestión de carteras de criptoactivos facilitará a la autoridad competente la información siguiente:

a) una descripción detallada de las disposiciones adoptadas por la entidad notificante para garantizar el cumplimiento de lo dispuesto en el artículo 81, apartado 7, del Reglamento (UE) 2023/1114, que incluya lo siguiente:

 i) los mecanismos para controlar, evaluar y mantener eficazmente los conocimientos y la experiencia de las personas físicas que asesoren sobre criptoactivos o gestionen carteras de criptoactivos;

 ii)  las disposiciones que garanticen que las personas físicas que participen en la prestación de servicios de asesoramiento o de gestión de carteras conozcan, comprendan y apliquen las políticas y procedimientos internos de la entidad notificante establecidos para cumplir el Reglamento (UE) 2023/1114, en particular su artículo 81, apartado 1, y la Directiva (UE) 2015/849;

 iii) la cantidad de recursos humanos y financieros que la entidad notificante prevé dedicar anualmente al desarrollo profesional y la formación del personal que asesore sobre criptoactivos o gestione carteras de criptoactivos;

b) los mecanismos para controlar, evaluar y mantener que las personas físicas que presten servicios de asesoría en nombre de la entidad notificante posean los conocimientos y la experiencia necesarios, con arreglo a los criterios para dicha evaluación utilizados en la legislación nacional, a fin de llevar a cabo la evaluación de idoneidad a que se refiere el artículo 81, apartado 1, del Reglamento (UE) 2023/1114.

Artículo 11

Servicios de transferencia

A efectos del artículo 60, apartado 7, letra k), del Reglamento (UE) 2023/1114, la entidad notificante que tenga la intención de prestar servicios de transferencia de criptoactivos por cuenta de clientes facilitará a la autoridad competente la información siguiente:

a) información detallada sobre los tipos de criptoactivos para los que la entidad notificante tiene la intención de prestar servicios de transferencia;

b) una descripción detallada de las disposiciones adoptadas por la entidad notificante para cumplir lo dispuesto en el artículo 82 del Reglamento (UE) 2023/1114, incluida información detallada sobre las disposiciones adoptadas por la entidad notificante y los recursos humanos y de TIC desplegados para hacer frente a los riesgos de forma rápida, eficiente y exhaustiva durante la prestación de servicios de transferencia de criptoactivos por cuenta de clientes, teniendo en cuenta los posibles fallos operativos y los riesgos de ciberseguridad;

c) cuando se disponga de ella, una descripción de la póliza de seguro de la entidad notificante, incluida la cobertura del seguro frente a pérdidas de los criptoactivos del cliente que puedan derivarse de los riesgos de ciberseguridad;

d) disposiciones para garantizar que los clientes estén adecuadamente informados sobre las disposiciones a que se refiere la letra b).

Artículo 12

Entrada en vigor

El presente Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

El presente Reglamento será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro.

Hecho en Bruselas, el 31 de octubre de 2024.

Por la Comisión

La Presidenta

Ursula VON DER LEYEN

(1)   DO L 150 de 9.6.2023, p. 40, ELI: http://data.europa.eu/eli/reg/2023/1114/oj.

(2)  Directiva (UE) 2015/849 del Parlamento Europeo y del Consejo, de 20 de mayo de 2015, relativa a la prevención de la utilización del sistema financiero para el blanqueo de capitales o la financiación del terrorismo, y por la que se modifica el Reglamento (UE) n.o 648/2012 del Parlamento Europeo y del Consejo, y se derogan la Directiva 2005/60/CE del Parlamento Europeo y del Consejo y la Directiva 2006/70/CE de la Comisión (DO L 141 de 5.6.2015, p. 73, ELI: http://data.europa.eu/eli/dir/2015/849/oj).

(3)  Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(4)  Reglamento (UE) n.o 1095/2010 del Parlamento Europeo y del Consejo, de 24 de noviembre de 2010, por el que se crea una Autoridad Europea de Supervisión (Autoridad Europea de Valores y Mercados), se modifica la Decisión n.o 716/2009/CE y se deroga la Decisión 2009/77/CE de la Comisión (DO L 331 de 15.12.2010, p. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj).

(5)  Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (DO L 295 de 21.11.2018, p. 39. ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

(6)  Directiva 2013/34/UE del Parlamento Europeo y del Consejo, de 26 de junio de 2013, sobre los estados financieros anuales, los estados financieros consolidados y otros informes afines de ciertos tipos de empresas, por la que se modifica la Directiva 2006/43/CE del Parlamento Europeo y del Consejo y se derogan las Directivas 78/660/CEE y 83/349/CEE del Consejo (DO L 182 de 29.6.2013, p. 19, ELI: http://data.europa.eu/eli/dir/2013/34/oj).

(7)  Reglamento (UE) 2023/1113 del Parlamento Europeo y del Consejo, de 31 de mayo de 2023, relativo a la información que acompaña a las transferencias de fondos y de determinados criptoactivos y por el que se modifica la Directiva (UE) 2015/849 (DO L 150 de 9.6.2023, p. 1, ELI: http://data.europa.eu/eli/reg/2023/1113/oj).

(8)  Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.o 1060/2009, (UE) n.o 648/2012, (UE) n.o 600/2014, (UE) n.o 909/2014 y (UE) 2016/1011 (DO L 333 de 27.12.2022, p. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj).