Se aprueba el proyecto de ley de activos encriptados de Polonia: actualización de la regulación, aumento significativo de los requisitos para obtener licencias

El 26 de septiembre de 2025, la Cámara de Diputados (Sejm) de Polonia aprobó con 230 votos a favor y 196 en contra el proyecto de la Ley del Mercado de Activos Cripto (Crypto-Assets Market Act, en adelante “la ley”). Aunque aún debe ser revisada por el Senado, firmada por el presidente y publicada para entrar en vigor 14 días después (excepto el Artículo 70: sobre bloqueo de dominios de internet, registros y restricciones de acceso, que entrarán en vigor 4 meses después de la publicación), este hito legislativo marca una nueva etapa en el sistema de regulación de criptomonedas del país.

Esta ley no solo es la “directriz general de regulación de encriptación” local, sino también un marco unificado que se alinea profundamente con el MiCA de la Unión Europea: durante el proceso legislativo, el proyecto pasó por aproximadamente 3-4 rondas de revisión y 45 enmiendas (incluyendo ajustes en los límites de licencias y estándares de multas), asegurando una transición ordenada desde la era de “registro anti-lavado de dinero” hacia una “regulación integral con licencias”.

Para los profesionales de encriptación que deseen operar en Polonia en actividades como comercio de encriptación, emisión de tokens, custodia o liquidación de pagos, esto significa que la regulación será transparente próximamente — en adelante, será obligatorio contar con licencia para operar, de lo contrario, enfrentará multas o la salida del mercado.

Objetivos y alcance de la regulación: todos los “jugadores de encriptación” están en la mira

La ley define los objetos de regulación en línea con el MiCA, sin redefinir los límites regulatorios, sino incorporando en la legislación nacional los objetos y ámbitos de negocio establecidos en el MiCA. Los objetos específicos incluyen:

1. Proveedores de servicios de encriptación, con alcance en:

• Operación de plataformas de comercio de encriptación;
• Custodia de billeteras y protección de activos;
• Servicios relacionados con pagos y liquidaciones;
• Otros negocios derivados relacionados con encriptación.

2. Emisores de tokens: incluyendo “emisores de tokens vinculados a activos” y “emisores de tokens de moneda electrónica”.

3. Proveedores extranjeros de servicios de encriptación: instituciones de otros países de la UE podrán ofrecer servicios transfronterizos en Polonia mediante el “mecanismo de pasaporte” establecido en el Artículo 63 del MiCA.

En resumen, si operas o brindas cualquier servicio de encriptación en Polonia, independientemente de dónde esté registrada tu empresa, debes obtener la licencia o retirarte del mercado.

Licencias y no licencias: la regulación entra en la era de “solo con licencia”

La ley implementa un sistema típico de permisos para actividades de encriptación. Solo las instituciones autorizadas por la Comisión de Supervisión Financiera (Komisja Nadzoru Finansowego, KNF) y que posean la licencia de proveedor de servicios de encriptación (CASP License) podrán operar legalmente.

• Sujetos con licencia

Podrán operar en Polonia o con usuarios polacos tras aprobación. Tras obtener la licencia, las instituciones deben cumplir obligaciones continuas de cumplimiento (incluyendo informes periódicos, auditorías internas, suficiencia de capital, control de riesgos, etc.).

• Sujetos sin licencia

Realizar servicios de encriptación sin autorización puede acarrear multas elevadas o sanciones penales. La ley especifica varias conductas ilícitas y sus sanciones (ver abajo).

Requisitos básicos y costos operativos de los titulares de licencia: aumento en capital, marco de cumplimiento y costos de operación

Esta es la parte central de toda la ley y la más relevante. La lógica regulatoria es clara: para obtener la licencia, se requiere tener recursos, sistemas y capacidades.

(1) Requisitos de capital:

La ley indica que los CASPs deben “tener fondos suficientes” (sufficient funds), lo que no solo implica un capital mínimo de registro, sino también una evaluación integral de la fortaleza financiera, incluyendo gestión de liquidez, reservas de riesgo, protección de activos del cliente, etc., para garantizar la solvencia en escenarios de fluctuación del mercado y eventos de riesgo.

Actualmente, Polonia no ha establecido regulaciones secundarias específicas sobre el capital mínimo de registro, por lo que se toma como referencia principal el estándar del MiCA. A continuación, los requisitos mínimos de capital según el MiCA, según los diferentes tipos de servicios que ofrecen los CASPs:

Además del capital pagado, las autoridades exigen que los CASPs mantengan “capital suficiente de forma continua”. Si por fluctuaciones en el negocio o pérdidas en el mercado el capital se reduce, deben reponerlo oportunamente.

(2) Costos regulatorios y gastos de cumplimiento: operar en “cumplimiento” requiere inversión continua

1. La ley regula los costos y tarifas para financiar el marco regulatorio del mercado de encriptación, diferenciando entre emisores de tokens y CASPs:

• Tarifas por licencias y evaluaciones: varían según el tipo, con un máximo de €4,500;
• Aprobación de documentos informativos: €3,000 por aprobación; €1,000 por modificaciones;
• Tarifas anuales de mantenimiento de licencia y supervisión para CASPs: basadas en el promedio de ingresos de los últimos 3 años, entre €500 y un 0.4% de los ingresos anuales;
• Tarifas anuales para emisores de tokens: entre €500 y el producto del total de pasivos financieros derivados de la emisión de tokens vinculados a activos o moneda electrónica y una tasa de interés no superior al 0.5%.

2. Además de los costos de regulación del mercado de encriptación, los titulares de licencia deben afrontar gastos en:

• Auditorías financieras y de cumplimiento periódicas;
• Asesoría legal externa y costos de cumplimiento técnico;
• Costos de sistemas KYC, monitoreo de riesgos y plataformas AML.

Enfoque en cumplimiento y gestión de riesgos para los titulares de licencia

Las instituciones con licencia deben mantener una gestión adecuada de cumplimiento y riesgos, con requisitos en múltiples niveles.

(1) Estructura de gobernanza y marco de cumplimiento: “Operar como una institución financiera”

La ley exige que los CASPs establezcan sistemas completos de gobernanza y cumplimiento, incluyendo:

• Departamentos independientes de cumplimiento, control de riesgos y auditoría interna;
• Dirección con cualificación profesional y sin antecedentes negativos;
• Sistemas de identificación de riesgos, control interno y reporte de anomalías;
• Políticas de confidencialidad, estándares técnicos;
• Cumplimiento estricto de las normas AML y KYC.

En particular, el Artículo 22 subraya que cada institución debe elaborar reglamentos internos que detallen los estándares técnicos para “confidencialidad profesional y protección de información”. Estos estándares no solo deben estar en la política interna, sino también en aspectos técnicos como seguridad del sistema, acceso a datos, cifrado, mecanismos internos de transmisión, etc.

Estos detalles técnicos no se incluirán en el texto de la ley, sino que serán establecidos por la KNF mediante “regulaciones secundarias” que se publicarán posteriormente. Estas regulaciones definirán los contenidos de los informes, detalles operativos, estándares técnicos de cumplimiento, ciberseguridad y la interfaz regulatoria, garantizando coherencia en la implementación. Esto implica que, además del texto de la ley, los titulares de licencia deben seguir de cerca las directrices, normativas y estándares que publique la KNF, para evitar riesgos de “cumplimiento formal pero incumplimiento material”.

(2) Divulgación de información y obligaciones de informes regulatorios

Los CASPs deben informar periódicamente a la KNF sobre:

• Estado financiero y estructura de riesgos;
• Reservas, volumen de operaciones, indicadores de liquidez;
• Estado del sistema y seguridad;
• Cambios en el cumplimiento, gobernanza, transacciones importantes, etc.

Cualquier evento que pueda afectar la seguridad de los activos del cliente o la estabilidad del mercado debe ser reportado de inmediato, junto con las medidas adoptadas. La autoridad puede hacer públicas las sanciones para promover la transparencia y la responsabilidad del mercado.

(3) Sistema de gestión de riesgos

Los titulares de licencia deben establecer un sistema integral que cubra riesgos de mercado, operativos y de liquidez, incluyendo:

• Pruebas de estrés periódicas;
• Sistemas de monitoreo de transacciones anómalas;
• Segmentación de clientes y reconocimiento de cuentas de alto riesgo.

(4) Protección del inversor y transparencia informativa

En materia de protección del inversor y divulgación, la ley impone mayores requisitos a los titulares de licencia:

• Divulgar claramente los riesgos de los encriptación;
• Evaluar la idoneidad de los clientes minoristas;
• Establecer mecanismos de segregación y compensación de activos del cliente;
• Crear canales para reclamaciones y resolución de disputas.

El objetivo es fortalecer la confianza del inversor y la seguridad del mercado mediante la regulación.

(5) AML/CFT (Anti lavado de dinero y financiamiento del terrorismo)

En línea con los estándares de la UE, los CASPs deben implementar:

• Verificación de identidad (KYC) en todo el proceso;
• Monitoreo y reporte de transacciones sospechosas;
• Revisión reforzada para clientes de alto riesgo;
• Sistemas automáticos y trazables.

El incumplimiento puede acarrear multas o revocación de la licencia.

(6) Auditorías y obligaciones de informes

Las entidades con licencia deben:

• Someterse a auditorías externas periódicas;
• Presentar informes de cumplimiento y riesgos anualmente;
• Comunicar cambios en la estructura de gobernanza, accionariado o negocio con anticipación a la KNF.

Los formatos y plazos específicos serán definidos en regulaciones secundarias futuras publicadas por la KNF.

Prohibiciones y responsabilidad penal

Además de los requisitos de cumplimiento y el marco regulatorio, la ley también delimita estrictamente las conductas prohibidas y las responsabilidades penales, estableciendo líneas rojas en las operaciones del mercado y sanciones severas para quienes las violen, asegurando así la transparencia y el orden en el sector.

(1) Conductas prohibidas y sanciones (incluyendo no licenciatarios)

1. Sujetos con licencia

2. Sujetos sin licencia

(2) Responsabilidad penal

A continuación, las principales conductas delictivas y sanciones definidas en la ley:

Periodo de transición y ejecución: las empresas existentes deben migrar de forma estable

Para facilitar una transición ordenada y evitar interrupciones operativas, la ley establece un período de transición para los proveedores existentes de servicios de encriptación (VASPs): aquellos registrados bajo regulaciones de anti lavado de dinero podrán seguir operando hasta el 1 de julio de 2026 bajo las reglas actuales, pero deben ir actualizando sus procesos hasta obtener la autorización CASP o hasta la fecha límite. Los detalles específicos de este período y la implementación de las regulaciones secundarias relacionadas también deben ser monitoreados conforme se publiquen.