Realidad MiCA + FMA para una Startup Web3 Austriaca en 2026

Si estás construyendo un producto Web3 desde Austria en 2026, dos reguladores se sientan sobre tu roadmap: la FMA (Finanzmarktaufsicht) y Bruselas vía MiCA (Regulación UE 2023/1114). La versión corta. Si tocas custodia, exchange, brokerage, gestión de carteras, asesoría o transferencia de cripto-activos para terceros, necesitas una autorización CASP. Los pisos de capital aterrizan en EUR 50k, 125k o 150k dependiendo de la clase de servicio. El régimen transitorio austriaco expira el 30 de junio de 2026, así que el runway es corto.

Esta guía es perspectiva de ingeniería, no asesoría legal. Hemos lanzado productos crypto bajo scoping MiCA-adyacente (Scramble Pay, Scramble Wallet, Zybra Money) y tratamos el compliance como arquitectura, no como papeleo.

¿Quién necesita realmente una licencia CASP en Austria?

Si provees cualquiera de los diez servicios regulados de cripto-activos a título profesional en Austria o a clientes austriacos, necesitas una autorización Crypto-Asset Service Provider de la FMA. Los diez servicios según MiCA Art. 3(1)(16):

• Custodia y administración de cripto-activos en nombre de clientes
• Operación de una plataforma de trading
• Exchange de cripto-activos por fondos
• Exchange de cripto-activos por otros cripto-activos
• Ejecución de órdenes
• Placing de cripto-activos
• Recepción y transmisión de órdenes
• Proveer asesoría sobre cripto-activos
• Gestión de carteras
• Proveer servicios de transferencia de cripto-activos en nombre de clientes

Si tu producto no ofrece ninguno de estos, todavía puedes caer en las reglas de Token Issuer (whitepaper, marketing, disclosure continua) si mintas y ofreces un cripto-activo al público o buscas admisión a trading.

¿Cuáles son los requisitos de capital por clase CASP?

MiCA Anexo IV establece los pisos prudenciales. Tres buckets:

Encima del piso: los own funds deben igualar al mayor entre el piso de capital o una cuarta parte de los gastos generales fijos del año anterior. Lectura práctica. Una startup de custodia wallet pura con EUR 800k/año de gastos generales fijos necesita EUR 200k en own funds, no 125k.

¿Cuál es el estado del régimen transitorio austriaco a mediados de 2026?

Austria optó por la ventana transitoria máxima de 18 meses. Los VASPs que estaban registrados con la FMA antes del 30 de diciembre de 2024 pueden seguir operando bajo el régimen anterior FM-GwG hasta el 30 de junio de 2026. Después de eso, sin autorización CASP no hay negocio en Austria. El proceso fast-track de grandfathering de la FMA existe, pero necesitas una solicitud completa bien antes del cutoff. Si no has presentado a mediados de 2026, te has quedado sin tiempo.

¿Cómo se ve el requisito de whitepaper para una emisión de token?

Si emites un cripto-activo que no es asset-referenced token (ART), e-money token (EMT) ni un security, caes bajo el Título II. Entregables requeridos antes de la oferta pública:

1. Whitepaper según Art. 6 con los bloques de contenido específicos del Anexo I (emisor, proyecto, derechos asociados, tecnología, riesgos, impacto medioambiental).
2. Notificación a la FMA al menos 20 días laborables antes de la publicación.
3. Comunicaciones de marketing consistentes con el whitepaper, identificables como marketing, con un enlace al whitepaper.
4. Derecho de retirada para compradores retail durante 14 días naturales en ofertas Art. 4.

Los utility tokens que conceden acceso a un bien o servicio provisto por el emisor obtienen un régimen más ligero si el bien o servicio existe. Si es una promesa pre-launch de utilidad futura, estás de lleno en el Título II.

¿Y los proyectos NFT?

MiCA Recital 11 excluye los cripto-activos que son únicos y no fungibles. En la práctica eso significa que una pieza de arte 1/1 está fuera de scope. Pero las colecciones fungibles grandes (drops PFP de 10k con traits compartidos) tienen riesgo material de ser tratadas como fungibles por la FMA. El test que aplica el regulador. ¿Son las unidades intercambiables en términos económicos? Si sí, MiCA aplica, whitepaper requerido. Hemos visto conversaciones de scoping donde el mismo código, contrato y estilo artístico obtienen veredictos distintos según el tamaño de la colección y la intención de listing en plataforma de trading.

¿Podemos correr un DAO desde Austria?

La FMA trata los protocolos totalmente descentralizados fuera del scope MiCA según el Recital 22. La pega. La mayoría de proyectos que se llaman DAOs corren un multisig con un set admin pequeño, una fundación entidad-legal, un treasury contract con upgrade authority y un operador de frontend. Cada uno de esos touch-points te empuja de vuelta al scope. Operar un frontend que rutea usuarios al protocolo puede contar como "recepción y transmisión de órdenes" dependiendo del UX. Correr un treasury que paga a contribuyentes contra ingresos puede tocar las reglas de issuer. La arquitectura importa. Si quieres la exclusión del Recital 22, el protocolo necesita ser genuinamente permissionless, inmutable y sin operador, y la entidad off-chain no debe comportarse como un proveedor de servicio.

"Compliance es arquitectura de producto, no papeleo. Decide tu clase CASP antes de escribir el primer <a href="/es/glossary/#smart-contract">smart contract</a>."

¿Qué touch-points de la FMA tocaré realmente?

Desde el asiento de ingeniería, tres touch-points de la FMA dominan el calendario:

• Solicitud de autorización. Expediente completo con políticas de gobernanza, ICT, AML, segregación de custodia, plan de negocio, financieros a tres años. Reuniones pre-filing con la FMA son estándar y valen el tiempo.
• Reporting continuo. Reporting prudencial trimestral, reporte anual ICAAP/ICT, reporte de incidentes bajo DORA que aplica a CASPs desde enero de 2025.
• FMA Regulatory Sandbox. Disponible para modelos de negocio novedosos. Buen fit para productos que necesitan una decisión de scoping bendecida por el regulador antes de escalar. La ventana de aplicación es típicamente dos veces al año.

¿Cómo se ve la checklist del lado del build?

Aquí es donde la ingeniería se encuentra con el rulebook. No exhaustivo, lo que lanzamos para clientes en este espacio:

1. Segregación de custodia. Cripto-activos de cliente y fondos segregados de los propios de la firma. Etiquetas de wallet, pruebas on-chain, reconciliación diaria.
2. Key management. HSM o esquema threshold signing. Disaster recovery probado, no teórico.
3. Travel Rule. Recomendación 16 del FATF más Regulación EU TFR 2023/1113. Payloads IVMS 101 para transferencias por encima de EUR 1.000.
4. Vigilancia de market abuse. Si corres un trading venue, detección de wash-trading e insider-dealing on-chain y off.
5. Gestión de quejas. Logueado, con tiempo limitado, ruta de escalation documentada.
6. ICT y DORA. Continuidad de negocio probada, registro de terceros, testing de penetración threat-led si se clasifica como significativo.

Construimos y endurecemos el código. Las firmas externas ejecutan las auditorías. Nosotros no, y no deberías elegir un vendor que diga hacer ambos.

¿Cuánto cuesta esto en build-time?

Del historial de engagements de Wavect en crypto: un MVP CASP Clase 2 limpio incluyendo segregación de custodia, integración Travel Rule, screening AML, dashboards básicos de compliance y el pack de documentación técnica que la FMA espera, aterriza en una ventana de build de 12 a 24 semanas. La revisión de ingeniería del whitepaper (corrección, claims técnicos, sección de riesgos) es un track separado de dos a cuatro semanas. El trabajo legal real de licenciamiento es facturable de tu firma de abogados, no nuestro.