Pequeña Entidad de Pago (MIP)
La vía más rápida hacia servicios de pago legales.
- Registro de la MIP ante la KNF de la A a la Z
- Documentación y procedimientos operativos
- Monitorización del límite de 1,5 M EUR
- Plan de conversión MIP → KIP
Guiamos al FinTech a través del océano de regulaciones. Con seguridad.
¿Diriges un fintech o estás planeando lanzarlo? Te ayudamos a manejar todas las regulaciones a la vez: PSD2, MiCA, AML, DORA y demás. Y entendemos el negocio.
marcas fintech con las que hemos trabajado
¿en qué nos especializamos?
FinTech, LendTech, PayTech, Cripto. Sea cual sea el área en la que operes, te ayudaremos.
Entidad de Pago Nacional (KIP)
Licencia de pago completa sin límites de volumen.
- Estrategia de licenciamiento y solicitud ante la KNF
- Capital, salvaguarda de fondos, reporte
- Compliance continuo tras obtener la autorización
- Expansión y escalado del modelo
MiCA / Criptoactivos
Desde la clasificación del activo hasta la licencia CASP y el cumplimiento post-licencia.
- Clasificación de tokens y servicios sobre criptoactivos
- Solicitud de autorización CASP
- Documentación white paper e integración con AML
- Conexión con los requisitos de PSD2 y DORA
Préstamos / BNPL
Preparación para CCD2 y para la supervisión de la KNF en el modelo de crédito.
- Calificación del modelo BNPL / de préstamo
- Documentación precontractual y contractual
- Protección frente a la sanción del crédito gratuito (SKD)
- Inscripción en el registro de actividad crediticia
AML — prevención del blanqueo de capitales
Procedimientos AML adaptados a la escala y al perfil de riesgo del fintech.
- Procedimientos CDD/EDD y monitorización de transacciones
- Screening de sanciones y comunicaciones STR
- Auditorías AML y preparación para inspecciones de AMLA
- Formación AML para los equipos
DORA — resiliencia digital
Implementación de la resiliencia IT exigida a las entidades financieras.
- Gestión del riesgo ICT
- Procedimientos de reporte de incidentes
- Pruebas de resiliencia digital
- Supervisión de los proveedores tecnológicos
los cuatro pilares de la regulación fintech, y cómo abordarlos juntos
Todo fintech tiene que enfrentarse a cuatro áreas regulatorias. Te ayudamos a evaluar qué es urgente ahora y qué planificar para las fases siguientes.
PSD2 / UUP — pagos
Si aceptas pagos o pones cuentas a disposición, tienes que saber qué tipo de licencia te corresponde (MIP o KIP), cómo asegurar las transacciones (SCA) y qué ocurre cuando un cliente reporta una operación no autorizada.
MiCA / Criptoactivos
Si trabajas con tokens o criptomonedas, tienes que determinar cómo clasificar tus activos, si necesitas licencia CASP (proveedor de servicios sobre criptoactivos) y qué documentos preparar.
AML — prevención del blanqueo de capitales
La verificación de clientes (KYC/CDD), la comprobación de listas de sanciones, la monitorización de transacciones sospechosas y su comunicación al GIIF son obligaciones de toda entidad financiera, incluidos los fintechs.
DORA — resiliencia digital
¿Cómo gestionas el riesgo de IT? ¿Cómo respondes a las incidencias? ¿Controlas a tus proveedores tecnológicos? DORA exige que tengas respuestas y procedimientos concretos para todo ello.
Umbrales y obligaciones operativas más importantes
- KIP (Entidad de Pago Nacional): capital mínimo de 20 000–125 000 EUR, según el modelo de servicios.
- MIP (pequeña entidad de pago): límite de 1 500 000 EUR de volumen medio mensual y monitorización del límite de fondos del cliente por encima de 2 000 EUR.
- AML: verificación del cliente en relaciones y transacciones de alto riesgo; el umbral transaccional clave es por encima de 10 000 EUR.
- MiCA: una clasificación correcta del activo y del servicio determina la ruta de obligaciones para el proveedor de servicios sobre criptoactivos.
- DORA: los incidentes de IT y el riesgo de proveedores deben gestionarse de forma continua, no puntual.
- Una implementación incoherente de PSD2 + AML + DORA + MiCA es la causa más frecuente de correcciones costosas tras una auditoría.
por qué legal geek en fintech
0
años de experiencia de Tomasz Klecor en FinTech
>
0
instituciones supervisadas atendidas por nosotros
>
0
%
de todas las pequeñas entidades de pago registradas con nuestro apoyo
0
días
tiempo récord de registro MIP por nuestro equipo
Estado normativo/material: 22 de febrero de 2026 (actualización MiCA/AML/DORA: 21 de febrero de 2026).
los errores más frecuentes en fintech, y cómo evitarlos
Tres creencias que de forma recurrente cuestan tiempo y dinero a los fintechs. Comprueba si alguna te afecta.
Mito: «Tenemos AML, así que DORA no nos aplica»
Consecuencia: la organización tiene buenos controles financieros, pero no cierra la gestión del riesgo de IT, las pruebas de resiliencia ni la supervisión de los proveedores tecnológicos.
Qué hacer: unir los controles financieros con la gestión del riesgo de IT en un único modelo, para no descubrir las lagunas solo en la auditoría.
Mito: «MIP es suficiente para cualquier etapa de crecimiento»
Consecuencia: rebasar los límites de escala bajo presión del negocio y el riesgo de tener que convertirse de urgencia a la licencia completa (KIP).
Qué hacer: planificar la transición de MIP a KIP (licencia completa) entre 6 y 12 meses antes de alcanzar los límites de volumen.
Mito: «El modelo cripto y el de pagos se pueden implementar por separado»
Consecuencia: verificación duplicada de clientes, procedimientos de reclamación incoherentes y conflicto de roles entre las regulaciones de pagos y de cripto.
Qué hacer: crear un único mapa de servicios y obligaciones que cubra pagos, cripto y AML al mismo tiempo.
¿En qué se diferencian MIP, KIP y CASP?
- MIP (pequeña entidad de pago): arranque más rápido y umbral de entrada más bajo, pero con límites de escala y sin pasaporte europeo completo.
- KIP (Entidad de Pago Nacional): licencia completa para un modelo de pago más amplio, con mayores requisitos de gobernanza y de capital.
- CASP (proveedor de servicios de criptoactivos, MiCA): régimen de servicios sobre criptoactivos; a menudo requiere integración con AML y con elementos del modelo de pago.
Las brechas más frecuentes detectadas en auditorías
- ausencia de una única lista de responsables de procesos entre compliance, operaciones, seguridad e IT,
- desfase entre los términos y condiciones del cliente y la trayectoria real del cliente dentro del producto,
- evidencias insuficientes de la ejecución de los controles en los reportes y revisiones.
directrices ITSec DORA/NIS2 para fintech
Descarga un material operativo listo para equipos de compliance, seguridad e IT. En un solo lugar tienes checklists y recomendaciones listas para implementar.
- Más de 1250 directrices organizadas en 26 categorías.
- Una única lógica para DORA y NIS2, sin duplicar procesos.
- Formato práctico: desde gobernanza hasta incidentes y cadena de suministro.
- Material de trabajo para el equipo y para la conversación con proveedores ICT externos.
plan de implementación: 11 pasos hacia el cumplimiento
Así es el camino desde la fase de «tengo que ponerme con esto» hasta la fase de «lo tengo bajo control». Cada paso termina con algo concreto que se queda en la organización.
Fase 0 — diagnóstico: qué regulaciones te afectan
Determinamos qué regímenes regulatorios afectan a tu actividad (PSD2, MiCA, AML, DORA): comprobamos qué servicios ofreces, cómo fluye el dinero y en qué países operas.
Se elabora un informe de calificación: qué regulaciones afectan a tu modelo y por qué.
Fase 1 — mapa de servicios y obligaciones
Vinculamos tu oferta con obligaciones legales y operativas concretas: descomponemos la oferta en partes y comprobamos qué obligaciones afectan a cada servicio y a cada paso del cliente.
Se crea un mapa de servicios con las obligaciones regulatorias asignadas.
Fase 2 — licencia y autorización
Diseñamos la vía de licencia adecuada (MIP, KIP o CASP): analizamos los requisitos de capital, preparamos el calendario de los procedimientos y reunimos los documentos.
Se elaboran un plan de licenciamiento y un análisis de los requisitos de capital.
Fase 3 — quién responde por qué
Asignamos la responsabilidad del cumplimiento en toda la organización: determinamos quién responde por qué, quién toma las decisiones y cómo fluye la información desde el consejo de administración hasta IT.
Se crean una matriz de responsabilidades y un esquema de toma de decisiones.
Fase 4 — verificación de clientes y AML
Construimos un proceso de verificación de clientes conforme a los requisitos AML: diseñamos el recorrido desde el registro, pasando por la evaluación del riesgo, hasta la comprobación de listas de sanciones.
Se elaboran procedimientos de verificación de clientes (KYC/CDD) y de prevención del blanqueo de capitales.
Fase 5 — seguridad IT y continuidad de negocio
Garantizamos la continuidad del negocio y el cumplimiento con los requisitos de DORA: construimos un modelo de gestión del riesgo de IT — cómo clasificar incidentes, cómo testar la resiliencia de los sistemas y qué hacer cuando algo falla.
Se elabora un marco de resiliencia IT conforme con DORA.
Fase 6 — reporte e incidentes
Implementamos un modelo coherente de comunicaciones y reportes a las autoridades competentes: combinamos las rutas de reporte AML, DORA y las alertas de pagos en un único procedimiento con umbrales de escalado claros.
Se elabora un procedimiento de respuesta a incidentes y de reporte a las autoridades.
Fase 7 — documentación e información para clientes
Aseguramos la coherencia entre documentos del cliente, contratos e información regulatoria: actualizamos términos y condiciones, contratos e información obligatoria para los clientes, de modo que encajen con todas las regulaciones.
Se elabora un paquete de documentación para el cliente y regulatoria.
Fase 8 — pruebas y formación
Verificamos que los procesos funcionen en la práctica y que el equipo conozca sus responsabilidades: testamos procesos, realizamos ejercicios de simulación y formamos al equipo en sus obligaciones concretas.
Se elaboran un plan de formación y la documentación de las pruebas.
Fase 9 — preparación para inspecciones
Reducimos el tiempo de respuesta a los requerimientos del supervisor y limitamos el riesgo en una inspección: hacemos una revisión de brechas, una prueba de evidencias, un plan correctivo y asignamos a las personas responsables.
Se elabora un informe de preparación para la auditoría.
Fase 10 — mantenimiento del cumplimiento en el día a día
Mantenemos el cumplimiento mientras el negocio escala y la regulación cambia: monitorizamos los cambios normativos, realizamos revisiones trimestrales y actualizamos los procesos, para que el cumplimiento no sea un proyecto puntual.
Se elabora un plan de mantenimiento continuo del cumplimiento.
integración regulatoria: un único mapa de procesos
La mayor ventaja operativa proviene de una única matriz de procesos. El mismo onboarding, monitorización y gestión puede cumplir simultáneamente con PSD2/UUP, MiCA, AML y DORA.
Onboarding e identidad
Combinamos autenticación reforzada de cliente (SCA), diligencia debida del cliente (CDD/EDD) y reglas de riesgo de forma que no se dupliquen los pasos y se mantenga la fluidez del proceso de registro.
Monitorización e incidentes
Construimos una lógica común de alertas para fraude, AML e incidentes ICT/IT, con umbrales de escalado y responsabilidad claros.
Proveedores y outsourcing
Un modelo coherente de evaluación de proveedores (seguridad, continuidad, conformidad) cubre simultáneamente DORA, AML y las obligaciones de los servicios de pago.
| Proceso | PSD2/UUP | MiCA | AML/AMLR/TFR | DORA | RGPD/NIS2 |
|---|---|---|---|---|---|
| Onboarding del cliente | SCA, obligaciones de información | Calificación del servicio CASP | Diligencia debida del cliente (CDD/EDD) | Controles de acceso | Minimización de datos |
| Monitorización de transacciones | Fraude y reclamaciones D+1 | Monitorización de activos y transferencias | Escenarios AML y comunicaciones STR | Monitorización de eventos ICT/IT | Seguridad desde el diseño |
| Incidentes y reporte | Registro de eventos de pago | Obligaciones del emisor/CASP | Reportes al GIIF y escalado | Reporte de incidentes (DORA) | Violaciones de datos y ciber |
| Gestión de proveedores | Outsourcing de funciones críticas | Soporte de servicios de tokenización | Screening de socios | Riesgo de proveedores IT | Seguridad de la cadena de suministro (NIS2) |
| Gobernanza y formación | Responsables de los procesos de pago | Roles del CASP/emisor | Compliance Officer y matriz AML | Función de seguridad y riesgo | Concienciación sobre protección de datos personales y ciber |
Resultado para el negocio
- Un único mapa de controles en lugar de varias listas independientes de tareas por implementar.
- Menos duplicación de procesos y menor coste de mantenimiento del compliance.
- Preparación más rápida de la organización para auditorías y requerimientos de las autoridades.
paquetes de soporte fintech
Los paquetes ayudan a pasar del conocimiento a la implementación. Cada uno tiene un resultado y un alcance claramente definidos.
FinTech Readiness Scan
Para consejos de administración y fundadores que planean entrar al mercado o cambiar el modelo de actividad. Recibes un mapa regulatorio, una lista de riesgos clave y un plan de acción para los primeros 90 días.
Licencia KIP/MIP
Para organizaciones que construyen o cambian su modelo de licencia. Llevamos el proyecto de licenciamiento desde el lado sustantivo, preparamos la documentación y apoyamos en la comunicación con el supervisor.
SCA & RTS Gap Analysis
Para entidades que quieren reducir el riesgo de disputas y pérdidas por fraude. Revisamos las rutas de autenticación, las exenciones RTS y el modelo probatorio.
Open Banking/API Compliance
Para bancos e instituciones que ponen sus API a disposición de terceros. Ordenamos el marco de conformidad de las API, la gestión de los consentimientos de los clientes y el plan correctivo.
PSD2 + AML + DORA Integration
Para empresas con proyectos de cumplimiento en paralelo y recursos limitados. Los combinamos en una única matriz de procesos, políticas integradas y un modelo de reporte coherente.
FinTech Compliance as a Service
Para organizaciones que necesitan soporte continuo tras el lanzamiento de la actividad: monitorización de cambios normativos, actualización de documentos y revisiones trimestrales de cumplimiento.
experto responsable del área fintech
Llevamos el proyecto en un modelo de negocio-regulación: primero las decisiones que afectan al producto y al riesgo, después la documentación y la implementación operativa.
Soporte desde la primera decisión
- Calificación del modelo y elección de la vía de licencia.
- Fases de implementación y prioridades de gestión.
- Trabajo con negocio, compliance e IT al mismo ritmo.
Podcasts | Legal Geek
- Experiencia en implementaciones MIP/KIP y proyectos que combinan varias regulaciones.
- Combinación de PSD2 con AML, DORA y MiCA sin duplicación de procesos.
- Soporte en auditorías y en la comunicación con los organismos supervisores.
Contacto sobre FinTech
Tomasz Klecor
Socio Director
Navegador FinTech. Jurista.
Durante 15 años ha ayudado a los mayores fintechs polacos e internacionales a crecer de forma segura y global. Comenzó como abogado y hoy combina derecho, estrategia y tecnología, asesorando a fundadores y juntas directivas en decisiones clave: cómo escalar el negocio en cumplimiento con la normativa, cómo implementar correctamente DORA, MiCA o AML y prepararse para PSD3/PSR, y cómo evitar los killers regulatorios que pueden frenar el crecimiento.
LinkedIn
FAQ FinTech
Las preguntas que surgen con más frecuencia al combinar PSD2, MiCA, AML y DORA simultáneamente.
El punto de partida es la calificación del servicio y el flujo de fondos: analizamos cómo llega el dinero del cliente hasta ti y qué ocurre con él. Eso determina si entras en el modelo MIP (pequeña entidad de pago), KIP (Entidad de Pago Nacional) u otro régimen.
MIP (pequeña entidad de pago) funciona bien en la fase de entrada y validación del modelo: arranque más rápido, requisitos más bajos. KIP (Entidad de Pago Nacional) es lo adecuado cuando quieres escalar el alcance de servicios y el volumen. Lo clave es planificar la transición con antelación, no bajo la presión del límite.
Hace falta un procedimiento claro de respuesta a incidentes: reembolso rápido de fondos en plazo D+1 (siguiente día hábil) y un proceso paralelo de análisis AML con un modelo de escalado claro. Uno no puede bloquear al otro; por eso lo construimos junto desde el principio.
Cuando operas como entidad financiera o desempeñas funciones críticas de IT en la cadena de una entidad financiera. DORA exige gestión del riesgo de IT, reporte de incidentes y control sobre los proveedores tecnológicos, independientemente de si eres un banco o un fintech.
Lo deciden el tipo de criptoactivo, el catálogo de servicios y la forma de atender al cliente. Una clasificación correcta del activo (ya sea token de utilidad, stablecoin u otro tipo) es el punto de partida: de ella depende todo el itinerario de obligaciones.
En la práctica sí, y vale la pena. La implementación conjunta reduce la duplicación de procesos (p. ej., el mismo onboarding sirve para PSD2 y AML), facilita la auditoría y reduce el coste de mantenimiento del compliance. Hacerlo por separado significa pagar varias veces por lo mismo.
AIS (acceso a la información sobre la cuenta) y PIS (iniciación de pagos) son servicios independientes con sus propias obligaciones. Es crítico asignar correctamente los roles, gestionar las interfaces API y disponer de un modelo de reclamaciones claro, porque la responsabilidad se distribuye de forma distinta que en los pagos clásicos.
Empezamos por un mapa común de procesos y de personas responsables, y luego construimos una única matriz de evidencias de control para PSD2, MiCA, AML y DORA. El resultado: en lugar de cuatro proyectos separados, tienes un sistema coherente.
Afecta directamente a las transferencias cripto, pero también influye en los fintechs que combinan productos de pago y cripto. La Travel Rule cambia el alcance de los datos que tienes que recopilar y transmitir, así que si planeas combinar ambos mundos, conviene tenerla en cuenta desde el principio.
contacta con nosotros sobre tu proyecto fintech
Escríbenos o llámanos: en la primera conversación determinaremos en qué fase te encuentras y qué necesitas.