Marco regulatorio de Chipre para el acceso a la UE: reglas fundamentales, autoridades, estructuras

Regístrese en CySEC y obtenga una licencia CIF para acceder a los mercados de la UE a través del pasaporte. Asegure el cumplimiento de MiFID II/MiFIR, mantenga suficientes fondos propios, establezca una gobernanza clara y designe a un responsable local de cumplimiento normativo para coordinar las actividades transfronterizas.

Chipre aplica el marco de la UE a través de la Ley de Servicios y Actividades de Inversión y Mercados Regulados y las normas de CySEC que la acompañan. Las empresas clasifican a los clientes, revelan los costes y diseñan productos con fines definidos. Los gestores se someten a evaluaciones de idoneidad. Las instituciones aplican controles de riesgo, mantienen registros detallados e informan a CySEC de forma periódica.

Los principales organismos reguladores son la Comisión del Mercado de Valores de Chipre (CySEC), como principal autoridad de concesión de licencias para los servicios de inversión, el Banco Central de Chipre (CBC) para los bancos y los servicios de pago dentro del Eurosistema, y la ESMA para la coherencia de la supervisión paneuropea. Las entidades jurídicas y las presentaciones están bajo la competencia del Departamento del Registro de Empresas y Administrador Concursal, con la supervisión del Ministerio de Hacienda.

La concesión de licencias requiere un plan de negocio, políticas internas, acuerdos de gobernanza y demostraciones de adecuación del capital. CySEC realiza revisiones in situ y una supervisión continua, con informes periódicos, auditorías anuales y verificaciones de cumplimiento. Las empresas establecen programas de lucha contra el blanqueo de capitales y la financiación del terrorismo (LBC/FT), designan a un responsable de la información sobre blanqueo de capitales, realizan la diligencia debida con respecto a los clientes y supervisan las actividades sospechosas de acuerdo con las directivas de la UE y la legislación nacional.

Después de la autorización, establezca acuerdos de pasaportes para los Estados miembros elegibles y alinee las operaciones en consecuencia. Cree un equipo de cumplimiento local, integre la protección de datos con el RGPD e implemente herramientas de información transfronteriza. Mantenga la documentación actualizada, prepárese para posibles acciones de coordinación de la ESMA y mantenga un punto de contacto claro con CySEC para los cambios en las normas o asuntos de aplicación.

Quién puede solicitar a partir del 5 de marzo de 2025: categorías elegibles más límites

Revise el aviso oficial de elegibilidad publicado el 5 de marzo de 2025 para confirmar las categorías y los límites exactos. Los solicitantes elegibles se dividen en dos grupos principales: personas físicas que solicitan el reconocimiento para ejercer en sectores regulados y entidades jurídicas que pretenden prestar servicios transfronterizos bajo la supervisión de Chipre.

Categoría A – personas físicas con cualificaciones profesionales reconocidas: los nacionales de la UE y del EEE, así como los residentes de Chipre, pueden solicitar ejercer en profesiones reguladas después de que los organismos profesionales de Chipre reconozcan sus cualificaciones. Los solicitantes deben cumplir los requisitos locales de licencia o registro y cumplir las condiciones específicas del sector, incluido el desarrollo profesional continuo cuando proceda.

Categoría B – entidades que se establecen o operan en Chipre: las empresas establecidas en la UE o con presencia en Chipre pueden obtener autorizaciones para ofrecer servicios transfronterizos dentro del alcance permitido por el régimen. Los solicitantes deben demostrar sustancia en Chipre, designar a un representante autorizado o una sucursal local y mantener el cumplimiento de las normas prudenciales, de seguros e de información aplicables.

Categoría C – proveedores de servicios temporales o basados en proyectos: la prestación de servicios para proyectos o asignaciones definidos y de duración limitada puede aprobarse cuando la actividad sea complementaria a las operaciones principales de la entidad. Los proyectos suelen tener una duración máxima y requieren un permiso específico del proyecto, incluidas fechas de finalización e hitos de rendimiento claros.

Categoría D – investigación, educación y movilidad profesional: los investigadores, académicos e instituciones educativas pueden participar en el marco de programas de movilidad o colaboración que permitan comisiones de servicio, programas conjuntos o compromisos de enseñanza e investigación a corto plazo, sujetos a las aprobaciones específicas del sector.

Categoría E – reconocimiento mutuo y vías transitorias: los solicitantes cubiertos por acuerdos de reconocimiento mutuo o acuerdos transitorios pueden acceder a determinadas actividades reguladas con medidas simplificadas, siempre que cumplan los criterios de equivalencia o transitorios definidos por la autoridad competente.

Límites y asignación: la autoridad competente establece límites máximos por categoría y sector, cuyas asignaciones se publican en el calendario normativo que acompaña al aviso del 5 de marzo de 2025. Cuando la demanda supera el límite máximo, la autoridad utiliza criterios objetivos para asignar las plazas, dando prioridad al impacto económico local, la escasez sectorial y el historial de cumplimiento registrado. Los solicitantes deben supervisar el portal oficial para obtener actualizaciones, plazos y cualquier condición específica del sector que afecte a la elegibilidad.

Preparación y presentación: compile una prueba de identidad, nacionalidad y cualquier cualificación profesional requerida; reúna pruebas de licencia o registro de los organismos profesionales pertinentes; documente la presencia en Chipre (para las entidades), incluidos los detalles del registro de la empresa, la dirección local y la designación de un representante local si es necesario; prepare las revelaciones financieras y de seguros según lo requiera el régimen; y asegure la conformidad con los requisitos de protección de datos y lucha contra el blanqueo de capitales.

Documentos necesarios: una lista de verificación práctica previa a la presentación

Prepare un expediente completo en inglés con copias certificadas, un índice detallado y referencias cruzadas claras a la categoría de licencia. Preséntelo a través del portal electrónico en línea de CySEC y mantenga los originales disponibles para su verificación.

1. Identidad corporativa y propiedad

   • Certificado de constitución, escritura de constitución y estatutos, y un extracto actualizado del Registro de Empresas de Chipre.
   • Nombres registrados y comerciales, forma jurídica y domicilio social de la empresa.
   • Lista de directores, secretarios y propietarios reales actuales con porcentajes de propiedad.
   • Prueba de registro en el Departamento de Impuestos y la situación del IVA (si procede).
   • Carta de referencia bancaria o extractos bancarios que muestren una cuenta corporativa en funcionamiento a nombre de la empresa.
   • Copias certificadas de los documentos de identidad o pasaportes de todos los directores y UBO, más prueba de domicilio.

2. Gestión y gobernanza (idoneidad)

   • CV de todos los directores y altos directivos; cualificaciones profesionales y referencias.
   • Declaraciones de integridad y declaraciones de conflicto de intereses para cada persona responsable.
   • Certificados de antecedentes penales o equivalentes cuando sea necesario; resumen de acciones regulatorias anteriores, si las hubiera.
   • Organigrama que muestre las líneas de reporte y la asignación de las funciones de cumplimiento y riesgo.

3. Ámbito de actividad y plan de negocio

   • Plan de negocio detallado que especifique las actividades autorizadas, los segmentos de clientes objetivo y el enfoque geográfico.
   • Catálogo de productos y servicios con niveles de servicio, flujo previsto de incorporación de clientes y modelo de precios.
   • Previsiones para los tres primeros años, incluidos los ingresos, los costes, las necesidades de capital y las proyecciones de liquidez.
   • Descripción de las clasificaciones de los clientes (minorista, profesional, contrapartes elegibles) y criterios de incorporación.

4. Políticas, controles y documentación de gobernanza

   • Política LBC/FT, procedimientos de diligencia debida con respecto a los clientes (DDC) y plantillas de DDC basadas en el riesgo.
   • Política de detección de sanciones y proceso de supervisión continua.
   • Marco de control interno, ámbito de la función de cumplimiento y plan de pruebas periódicas.
   • Política de denuncia de irregularidades, política de protección de datos (alineación con el RGPD) y acuerdos de procesamiento de datos.
   • Política sobre relaciones públicas, conflictos de intereses y controles de incentivos; programa de mantenimiento de registros y conservación.

5. Recursos financieros y solvencia

   • Prueba del capital mínimo aplicable a la categoría de licencia (incluya la base de cálculo y los documentos justificativos).
   • Estados financieros auditados recientes (últimos dos años) o, si no están disponibles, cuentas de gestión más una declaración de garantía de los directores.
   • Plan de financiación, política de gestión de liquidez y referencias bancarias o cartas de patrocinio.

6. Activos de los clientes, custodia y mantenimiento de registros

   • Política de protección de activos de los clientes y acuerdos de segregación; procedimientos de custodia y conciliación.
   • Procedimientos para el dinero de los clientes, si procede, incluidas las cuentas fiduciarias y los controles del libro mayor de los clientes.
   • Política de mantenimiento de registros para las confirmaciones comerciales, los estados de cuenta y los datos KYC/CDD durante el período de conservación requerido.

7. Tecnología de la información y preparación operativa

   • Política de seguridad de TI, controles de acceso y plan de gestión de vulnerabilidades.
   • Plan de continuidad del negocio y recuperación ante desastres con objetivos RTO/RPO y resultados de las pruebas.
   • Evaluación del impacto de la protección de datos cuando se produzca el procesamiento de datos personales de la UE; procedimiento de respuesta a la violación de datos.
   • Descripción general de la arquitectura tecnológica y registros de los sistemas críticos; procedimientos de copia de seguridad y recuperación.

8. Subcontratación y relaciones con terceros

• Lista de acuerdos de subcontratación importantes, proveedores de servicios y diligencia debida realizada.
• Acuerdos de nivel de servicio (SLA), evaluaciones de riesgos y mecanismos de supervisión continua para los proveedores clave.
• Implicaciones para la continuidad del negocio y vías de escalamiento para las funciones subcontratadas.

Políticas operativas para clientes y productos

• Archivos de incorporación de clientes, plantillas de recopilación de datos KYC y pasos de verificación basados en el riesgo.
• Proceso de gestión de quejas, vías de escalamiento e informes a los clientes.
• Todas las revelaciones de productos, las revelaciones de conflictos y las consideraciones de idoneidad/adecuación.

Anexos, traducciones y materiales de apoyo

• Traducciones certificadas de documentos que no estén en inglés; apostilla o legalización si es necesario.
• Índice, matriz de referencias cruzadas y numeración de páginas; archivos PDF legibles (sin cifrar) con texto de búsqueda.
• Plantillas de muestra (KYC, evaluación de riesgos, documentos de política) y copias de formularios oficiales utilizados en la solicitud.

Fases de solicitud y plazos típicos: desde la presentación hasta la decisión

Presente un expediente completo y listo para el regulador y programe una reunión previa a la solicitud con CySEC para alinear las expectativas.

Fase 1 – Preparación y pre-solicitud (1–2 semanas). Compile los documentos de gobernanza, el organigrama, los perfiles del personal clave y un marco sólido de lucha contra el blanqueo de capitales y la financiación del terrorismo (LBC/FT). Elabore el plan de negocio, las políticas de gestión de riesgos, los controles de TI, los acuerdos de subcontratación y el plan de capital. Designe un único enlace regulatorio y reúna plantillas y anexos listos para agilizar el proceso de presentación.

Fase 2 – Presentación y verificación de la integridad (2–4 semanas). Entregue el paquete de solicitud completo a través del portal de CySEC, incluidos todos los anexos, las traducciones cuando sea necesario y las aprobaciones corporativas actualizadas. Utilice la lista de verificación de CySEC para verificar que cada elemento esté presente y tenga un formato coherente para evitar retrasos.

Fase 3 – Evaluación administrativa e inicial (4–8 semanas). CySEC verifica la elegibilidad, la estructura corporativa, las personas de control y los estándares de idoneidad para los directores y altos directivos. La autoridad también verifica la solvencia, la planificación de la adecuación del capital y la preparación organizativa para respaldar los requisitos reglamentarios.

Fase 4 – Evaluación regulatoria en profundidad (8–16 semanas). El regulador examina la gestión de riesgos, los controles internos, el programa de cumplimiento, las medidas ALD/CFT, la gobernanza de TI, los acuerdos de subcontratación y el realismo del plan de negocio. Espere solicitudes de aclaraciones o documentos complementarios para validar los controles, la gobernanza y la planificación de capital.

Fase 5 – Solicitudes de información y respuestas (2–6 semanas por ronda). CySEC puede emitir preguntas específicas o solicitar pruebas adicionales. Proporcione respuestas precisas y bien estructuradas con secciones de referencia cruzada y adjunte políticas o diagramas actualizados cuando sea necesario. Limite los tiempos de respuesta para que la revisión avance de manera eficiente.

Fase 6 – Pasos de decisión y concesión de licencias (4–8 semanas después de la información final). CySEC emite la carta de decisión, que puede otorgar la licencia con condiciones específicas o, en casos raros, solicitar modificaciones adicionales. Prepárese para posibles aprobaciones condicionales que especifiquen los plazos para implementar los controles, los informes o los requisitos de capital adicionales.

Fase 7 – Después de la decisión y preparación para operar (2–6 semanas, si corresponde). Finalice los trámites de licencia, regístrese ante las autoridades pertinentes y establezca acuerdos de supervisión continua. Una vez que obtenga la licencia, obtendrá derechos de pasaporte transfronterizo para proporcionar servicios en otras jurisdicciones de la UE en el marco de MiFID II, sujeto al cumplimiento continuo y a revisiones periódicas.

La opinión de Avi Sela: lo que eToro y las fintech obtienen colectivamente del acceso a Chipre

Recomendación: asegure una licencia CIF regulada por CySEC para emitir pasaportes para servicios de inversión básicos en toda la UE, y respalde eso con una licencia de Servicios de Pago o Dinero Electrónico con sede en Chipre para gestionar los pagos y las billeteras de los clientes. Esto crea una única huella de cumplimiento en toda la UE desde un centro en Chipre.

Con CySEC, accede al marco MiFID II en 27 mercados a través de la emisión de pasaportes, evitando licencias separadas en cada estado. Eso permite a eToro y otras fintech escalar rápidamente manteniendo un producto y una incorporación de clientes consistentes en todo el bloque.

Los puntos de datos clave respaldan el movimiento: Chipre mantiene una tasa de impuesto corporativo del 12,5%, una amplia red de tratados de doble imposición y un régimen de supervisión estable y alineado con la UE bajo CySEC. Una licencia CySEC CIF conlleva controles establecidos sobre la diligencia debida con el cliente, ALD/CFT y los informes que las contrapartes esperan de los corredores y gestores de activos con licencia.

Lo que esto significa en la práctica para el negocio: una base en Chipre reduce el riesgo transfronterizo, permite una adquisición más rápida de clientes de la UE y reduce los costos de cumplimiento duplicados. También abre las puertas a proveedores de liquidez, proveedores de fintech y bancos que favorecen un centro autorizado por la UE con una gobernanza de riesgos clara.

Plan operativo para la escala

Construya un marco de gobernanza que cubra KYC, ALD, protección de datos y ciberseguridad, con un MLRO local y un equipo de cumplimiento dedicado que cumpla con CySEC. Ejecute controles de riesgo para la incorporación, el monitoreo y el examen de sanciones vinculados a los ciclos de informes de CySEC. Combine la licencia CIF con una capacidad de pagos/EMI para agilizar los flujos de clientes, las billeteras y las liquidaciones. Alinee las actividades criptográficas con el cumplimiento de MiCA cuando corresponda, incluido el uso de marcas blancas o los servicios de asesoramiento para evitar una clasificación errónea.

Pasos prácticos aquí y ahora

1) Inicie un diálogo con CySEC para confirmar el alcance de la licencia para su conjunto de productos y confirme los requisitos de adecuación del capital en virtud de MiFID II. 2) Asigne los derechos de emisión de pasaportes a los mercados objetivo y elabore un plan de operaciones transfronterizas que cubra la incorporación, el marketing y la protección del cliente. 3) Contrate a un responsable de cumplimiento local, establezca protocolos de ALD/KYC e implemente protecciones de datos alineadas con el RGPD. 4) Establezca una pila tecnológica modular para el comercio, los pagos y los informes de riesgos, garantizando una integración perfecta con los supervisores de la UE. 5) Ejecute un piloto en dos o tres estados miembros, supervise los costes de adquisición de clientes y ajuste los precios y las ofertas de productos en consecuencia.

Implicaciones prácticas: residencia, banca, más consideraciones fiscales para los solicitantes

Solicite la residencia permanente a través de la vía de inversión solo después de confirmar un valor de propiedad de al menos 300.000 € más IVA y asegurarse de que los fondos provengan de fuentes rastreables. El Registro Civil y el Departamento de Migración revisarán su documentación, y usted deberá preparar las páginas del pasaporte, los antecedentes penales limpios, el seguro médico, la prueba de domicilio, el título de propiedad y la prueba de los fondos.

Especificidades de la vía de la residencia: la compra de una propiedad que califique con ingresos continuos respalda la elegibilidad. Los permisos se emiten normalmente por cinco años y son renovables, siempre que mantenga la propiedad y cumpla con las condiciones de ingresos. Si prefiere una vía sin inversión, considere una estancia de larga duración vinculada al empleo, el trabajo por cuenta propia o los lazos familiares, y verifique las opciones de programa actuales con el Registro Civil.

Banca: abra una cuenta bancaria chipriota para administrar las finanzas y transferencias diarias. Lleve su pasaporte, prueba de domicilio, número de identificación fiscal chipriota o TIN extranjero y documentos que muestren la fuente de los fondos (contratos de venta, registros de inversión, recibos de sueldo). Los bancos realizan la debida diligencia estándar, pueden solicitar una dirección local y pueden requerir un saldo mínimo o tarifas mensuales. Utilice la banca en línea y las cuentas multidivisa para simplificar la actividad transfronteriza.

Consideraciones fiscales: se convierte en residente fiscal chipriota si pasa más de 183 días al año aquí, o califica según la regla de los 60 días si no tiene otro estado en el que sea residente fiscal y cumple tres condiciones: mantener un hogar en Chipre, estar empleado o dirigir un negocio en Chipre y pasar el resto del año fuera de Chipre. Los residentes no domiciliados evitan la contribución de defensa sobre dividendos e intereses hasta por 17 años. Las tasas del impuesto sobre la renta personal son del 0% hasta los 19.500€; 20% a 28.000€; 28% a 36.300€; 30% a 60.000€; 35% superior. El impuesto corporativo es del 12,5%; la tasa estándar del IVA es del 19%. El impuesto sobre las ganancias de capital se aplica al 20% sobre las ganancias de la enajenación de bienes inmuebles ubicados en Chipre. Chipre tiene tratados de doble imposición con muchas jurisdicciones para facilitar la planificación transfronteriza.