Skip to content
Detección IA & DeepfakeNuevo

Señales IA, sintéticos, deepfakes

Caso de clienteTarifasSeguridadComparativaBlog
GlosarioGuías por paísChecklistsCalculadora ROI

Europe

Americas

Oceania

Cumplimiento14 min de lectura

CARF y DAC8: cumplimiento cripto y declaraciones 2026

CARF y DAC8 obligan a plataformas cripto a declarar datos KYC a la AEAT desde 2026. Guía completa para PSCA: entidades, plazos, sanciones y automatización.

El equipo CheckFile
El equipo CheckFile·
Illustration for CARF y DAC8: cumplimiento cripto y declaraciones 2026 — Cumplimiento

Resumir este artículo con

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

Desde el 1 de enero de 2026, los proveedores de servicios de criptoactivos (PSCA) que operan en España están obligados a recopilar y custodiar datos KYC de sus clientes conforme al Marco de Declaración de Criptoactivos (CARF) de la OCDE y su transposición europea mediante la Directiva DAC8. El primer intercambio de información con la Agencia Tributaria (AEAT) debe producirse antes del 30 de septiembre de 2027, pero la recopilación de datos —y las responsabilidades documentales asociadas— ya está en vigor. Esta guía explica qué entidades están obligadas, qué datos deben recabarse, qué sanciones arriesgan quienes incumplan y cómo automatizar el proceso de verificación.

Este artículo se proporciona únicamente con fines informativos y no constituye asesoramiento jurídico, fiscal ni regulatorio. Las referencias normativas son exactas a la fecha de publicación. Consulte a un profesional cualificado para obtener orientación adaptada a su situación específica.

Qué es el CARF y por qué afecta a las plataformas de criptoactivos

El Marco de Declaración de Criptoactivos (CARF, por sus siglas en inglés: Crypto-Asset Reporting Framework) es un estándar de transparencia fiscal adoptado por la OCDE en agosto de 2022, diseñado para eliminar la brecha de información que los activos digitales generaban en los sistemas de declaración automática de cuentas financieras. Antes del CARF, las rentas obtenidas con criptomonedas podían quedar fuera del radar de las administraciones tributarias porque los exchanges y carteras de custodia no tenían obligación expresa de informar sobre sus usuarios a nivel internacional.

El CARF se modela sobre el sistema CRS (Common Reporting Standard) que ya funciona para cuentas bancarias tradicionales, pero lo extiende a los activos digitales: criptomonedas, stablecoins y ciertos tokens de utilidad o de inversión. Bajo este marco, los PSCA deben identificar a sus clientes, determinar su residencia fiscal y transmitir esa información a la autoridad tributaria del país donde están registrados, que a su vez la intercambia automáticamente con las autoridades de los países de residencia de los clientes.

Para las plataformas que operan en España, esto supone una integración directa con los procesos de la AEAT (Agencia Estatal de Administración Tributaria), que actúa como punto focal del intercambio automático de información. Los PSCA que ya estaban preparando el cumplimiento de MiCA y sus obligaciones KYC encontrarán que el CARF añade una capa específicamente fiscal a esos mismos datos de identidad.

DAC8: la transposición europea del CARF en España

La Directiva (UE) 2023/2226 del Consejo, conocida como DAC8, fue adoptada el 17 de octubre de 2023 y publicada en el Diario Oficial de la Unión Europea. Esta directiva modifica la Directiva 2011/16/UE sobre cooperación administrativa en materia fiscal e incorpora formalmente el CARF al ordenamiento jurídico europeo, dotándole de efecto vinculante para todos los Estados miembros.

La DAC8 va más allá de una mera transposición: amplía el ámbito del intercambio automático de información para incluir decisiones previas sobre precios de transferencia transfronterizas y añade nuevas disposiciones sobre sanciones y mecanismos de control. El texto completo está disponible en el repositorio oficial de EUR-Lex: Directiva (UE) 2023/2226.

En España, la transposición de la DAC8 se articula junto con las obligaciones de información ya establecidas por la Ley 13/2023, de 24 de mayo, que introdujo los modelos tributarios específicos para criptoactivos:

Modelo Denominación Ámbito Vigencia
Modelo 172 Declaración informativa sobre saldos en monedas virtuales PSCA residentes en España: saldos de clientes a 31 de diciembre Desde ejercicio 2023
Modelo 173 Declaración informativa sobre operaciones con monedas virtuales PSCA residentes en España: operaciones de adquisición, transmisión, permuta y transferencia Desde ejercicio 2023
Modelo 721 Declaración sobre monedas virtuales situadas en el extranjero Personas físicas y jurídicas residentes en España con criptoactivos en exchanges extranjeros superiores a 50.000 € Desde ejercicio 2023
CARF/DAC8 Intercambio automático internacional de información PSCA registrados en España: datos de clientes no residentes para envío a sus países de residencia Datos desde 1 enero 2026; primer envío antes de 30 septiembre 2027

Los modelos 172 y 173 cubren la perspectiva doméstica —lo que los PSCA declaran sobre sus clientes a la AEAT española—, mientras que el CARF/DAC8 añade la dimensión internacional: la AEAT recibirá información de otros países sobre residentes fiscales españoles con cuentas en exchanges extranjeros, y enviará información sobre no residentes a sus respectivas autoridades tributarias.

Qué entidades están obligadas a declarar

Bajo el CARF y la DAC8, la obligación de declaración recae sobre los operadores de criptoactivos declarables (Reporting Crypto-Asset Service Providers), definidos como entidades o personas físicas que prestan servicios de intercambio entre criptoactivos y monedas fiduciarias o entre distintos criptoactivos, y que tienen nexo con un Estado miembro de la UE.

En el contexto español, esto incluye a los proveedores de servicios de criptoactivos (PSCA) que deben estar registrados ante el Banco de España para el cumplimiento de la normativa antiblanqueo, y que a partir del 1 de julio de 2026 deben contar con autorización de la CNMV (Comisión Nacional del Mercado de Valores) bajo el Reglamento MiCA para operar legalmente.

Las categorías específicas de entidades obligadas son:

  • Plataformas de intercambio centralizadas (CEX): exchanges que facilitan la compraventa de criptomonedas contra moneda fiduciaria o entre distintos activos digitales.
  • Proveedores de carteras digitales de custodia: entidades que custodian las claves privadas de sus clientes.
  • Brokers y intermediarios de criptoactivos: agentes que ejecutan órdenes en nombre de clientes.
  • Plataformas de finanzas descentralizadas (DeFi) con intermediación identificable: aquellas donde existe un operador identificado que controla el protocolo, la interfaz o los contratos inteligentes y que tiene acceso a los datos del usuario.
  • Emisores de stablecoins y tokens referenciados a activos: cuando prestan servicios de conversión o rescate.

Quedan fuera del ámbito directo del CARF —aunque pueden quedar sujetas a otras obligaciones— las plataformas puramente peer-to-peer sin intermediario identificable y las carteras de autocustodia (self-custody wallets) donde el usuario controla exclusivamente sus claves privadas.

La supervisión del cumplimiento en España corresponde conjuntamente a la AEAT (aspecto fiscal), al Banco de España (registro AML), la CNMV (autorización MiCA) y el SEPBLAC (supervisión de prevención del blanqueo de capitales y financiación del terrorismo).

¿Listo para automatizar sus verificaciones?

Piloto gratuito con sus propios documentos. Resultados en 48h.

Solicitar un piloto gratuito

Datos KYC requeridos bajo el marco CARF/DAC8

Los datos que los PSCA deben recopilar, verificar y transmitir bajo el CARF son más exigentes que los estándares KYC básicos de identificación. El marco distingue entre clientes personas físicas y entidades jurídicas, con requisitos distintos para cada caso.

Para personas físicas, los datos obligatorios son:

  • Nombre completo (tal como figura en el documento de identidad oficial)
  • Dirección de residencia habitual
  • Fecha y lugar de nacimiento
  • País o países de residencia fiscal
  • NIF (Número de Identificación Fiscal) de cada jurisdicción de residencia fiscal

Para personas jurídicas y entidades:

  • Denominación social completa
  • Dirección del domicilio social registrado
  • Identificador de entidad jurídica (LEI) o número de registro equivalente
  • País o países de constitución y de residencia fiscal
  • NIF de cada jurisdicción de residencia fiscal
  • Identificación de personas físicas que controlan la entidad (titulares reales)

Un elemento crítico del CARF es la obligación del "interruptor de corte" (blocking mechanism): si un usuario no proporciona su NIF o sus datos de residencia fiscal tras dos avisos formales remitidos con un intervalo mínimo de 90 días, el PSCA tiene la obligación de bloquear todas sus transacciones de intercambio hasta que se subsane la carencia documental. Este mecanismo convierte el cumplimiento KYC en una condición operativa del servicio, no en una mera formalidad.

La verificación de estos datos debe ser activa —no basta con la autodeclaración del usuario— y debe respaldarse con documentación verificable: documento nacional de identidad, pasaporte, certificado de residencia fiscal o equivalente. CheckFile permite verificar y archivar estos documentos KYC en menos de 60 segundos por usuario, generando un rastro de auditoría que cumple con los requisitos de evidencia del CARF y la DAC8.

Calendario y primeras obligaciones de declaración

El calendario de implementación del CARF/DAC8 en España es el siguiente:

Fecha Obligación
1 de enero de 2026 Inicio de la recopilación obligatoria de datos CARF. Los PSCA deben comenzar a registrar todas las transacciones declarables de este período.
31 de diciembre de 2026 Cierre del primer período de recopilación de datos CARF (año natural 2026).
Antes del 30 de junio de 2027 Los PSCA deben transmitir los datos del período 2026 a la AEAT conforme al formato CARF.
Antes del 30 de septiembre de 2027 La AEAT efectúa el primer intercambio automático internacional con las autoridades tributarias de los Estados participantes.
Anualmente a partir de 2027 Ciclo recurrente: datos del año N transmitidos a la AEAT antes del 30 de junio del año N+1; intercambio internacional antes del 30 de septiembre del año N+1.

Es importante recordar que los modelos 172 y 173, introducidos por la Ley 13/2023, ya son exigibles con datos de los ejercicios anteriores y deben presentarse cada año antes del 31 de enero con los datos del ejercicio precedente. CARF/DAC8 complementa estos modelos añadiendo la dimensión internacional y los mecanismos de intercambio automático con otros países.

Los PSCA que aún no cuentan con procesos documentados de recopilación KYC fiscal —distintos de los procesos KYC antiblanqueo— deben implementarlos con carácter urgente. El período 2026 ya está en curso y cada día de demora genera datos incompletos que serán difíciles de subsanar retroactivamente.

Sanciones por incumplimiento

Las sanciones por incumplimiento del CARF/DAC8 operan en dos niveles: el europeo, establecido por la DAC8, y el nacional, regulado por la normativa tributaria española y el régimen sancionador de la AEAT.

A nivel europeo, la DAC8 exige a los Estados miembros establecer sanciones efectivas, proporcionadas y disuasorias. A nivel nacional, la Ley General Tributaria española y el régimen específico de los modelos 172/173 prevén:

  • Infracción grave por presentación tardía, incorrecta o incompleta de declaraciones de información: multa fija de 20 euros por dato omitido o incorrecto, con un mínimo de 300 euros y un máximo de 20.000 euros por declaración.
  • Sanciones proporcionales cuando el incumplimiento tiene impacto recaudatorio directo: multa de entre el 50% y el 150% de la cuota defraudada.
  • Responsabilidad penal por delito fiscal cuando la cuota defraudada supere los 120.000 euros en un ejercicio, con penas de prisión de uno a cinco años y multa de hasta seis veces la cuota defraudada (Código Penal español, art. 305).
  • Sanciones administrativas derivadas del incumplimiento de las obligaciones MiCA: la CNMV puede imponer multas de hasta 5 millones de euros o el 10% del volumen de negocio anual del PSCA.

El riesgo reputacional asociado a la publicación de sanciones —que en España es habitual para las infracciones graves— añade un coste adicional que supera con frecuencia el importe de la sanción directa.

Para contexto regulatorio más amplio sobre el marco sancionador antiblanqueo aplicable a los PSCA, véase nuestra guía sobre AMLD6 y sujetos obligados.

Cómo automatizar la verificación documental KYC para el CARF

La cantidad y calidad de datos que exige el CARF hace inviable —tanto operativa como económicamente— su gestión mediante procesos manuales. Un PSCA con decenas de miles de usuarios activos necesita un sistema capaz de:

  1. Recopilar y verificar documentos de identidad que acrediten nombre, dirección y fecha de nacimiento con garantías de autenticidad.
  2. Extraer y validar el NIF de cada usuario en cada una de sus jurisdicciones de residencia fiscal, verificando el formato y la coherencia con la documentación presentada.
  3. Detectar y alertar sobre usuarios que no han aportado datos fiscales completos, generando los avisos formales requeridos antes de activar el interruptor de corte.
  4. Archivar toda la evidencia documental con metadatos auditables —fecha de verificación, versión del documento, resultado de las comprobaciones— durante el período de conservación exigido (mínimo cinco años).
  5. Generar los informes estructurados en el formato técnico requerido por la AEAT para la transmisión CARF.

CheckFile ofrece una plataforma de verificación documental KYC diseñada para este tipo de flujos regulatorios de alta exigencia. La solución incluye verificación automatizada de documentos de identidad de más de 190 países, extracción de datos mediante OCR e IA con validación en tiempo real, y un sistema de archivo que cumple con los estándares de evidencia exigidos por el CARF, la DAC8 y MiCA.

Para los PSCA que necesitan integrar la verificación KYC directamente en su plataforma mediante API, CheckFile dispone de una integración vía API con documentación técnica detallada y soporte de implementación. La arquitectura de seguridad de CheckFile garantiza que los datos sensibles de los usuarios se traten conforme al RGPD y a los requisitos de soberanía de datos aplicables a los intercambios fiscales internacionales.

Para organizaciones que quieran evaluar el coste de implementación antes de comprometerse, los planes y tarifas de CheckFile permiten escalar la capacidad de verificación en función del volumen de usuarios activos.

La guía completa sobre conformidad documental para entidades financieras reguladas está disponible en nuestra página de referencia sobre conformidad documental.

Preguntas frecuentes

¿Cuál es la diferencia entre el Modelo 172/173 y el CARF?

Los modelos 172 y 173, introducidos por la Ley 13/2023, son declaraciones domésticas: los PSCA residentes en España informan a la AEAT sobre los saldos y operaciones de sus clientes españoles y extranjeros. El CARF/DAC8, en cambio, es un mecanismo de intercambio internacional: la AEAT recibe datos de exchanges extranjeros sobre residentes fiscales en España y envía datos de no residentes a las autoridades de sus países. Los modelos 172/173 conviven con el CARF y se complementan: ambos deben cumplirse simultáneamente. El Modelo 721, por su parte, es una obligación que recae directamente sobre el contribuyente persona física o jurídica que tenga criptoactivos en exchanges extranjeros por valor superior a 50.000 euros.

¿Qué ocurre si un cliente no proporciona su NIF?

El CARF establece un procedimiento de escalada obligatorio. Tras dos avisos formales dirigidos al usuario —con un intervalo mínimo de 90 días entre ambos—, si el usuario sigue sin aportar el NIF o los datos de residencia fiscal, el PSCA debe activar el interruptor de corte: bloquear todas las transacciones de intercambio de ese usuario hasta que se subsane la carencia. Este bloqueo debe aplicarse independientemente del volumen o el historial del cliente. El PSCA debe documentar los avisos enviados y las fechas, ya que esa evidencia será exigida en caso de inspección.

¿Las plataformas DeFi están sujetas al CARF?

Depende de la estructura del protocolo. El CARF se aplica cuando existe un operador identificable que controla la interfaz de usuario, los contratos inteligentes o el acceso al servicio y que tiene capacidad de identificar a los usuarios. Los protocolos genuinamente descentralizados —donde no existe ninguna entidad con control efectivo— quedan fuera del ámbito actual del CARF. Sin embargo, la OCDE ha señalado expresamente que esta exclusión no debe usarse como mecanismo de evasión: si la descentralización es nominal y existe un equipo o empresa con control real, el CARF se aplica. En la práctica, la mayoría de las plataformas DeFi con interfaz web mantenida por una empresa identificada estarán sujetas al marco.

¿El CARF reemplaza las obligaciones KYC antiblanqueo existentes?

No. El CARF es un marco de transparencia fiscal que coexiste con —y es independiente de— las obligaciones de prevención del blanqueo de capitales (AML/KYC) establecidas por el Reglamento AMLR y la AMLD6, cuyo cumplimiento supervisaN el Banco de España y el SEPBLAC. En la práctica, los datos requeridos se solapan significativamente —ambos marcos exigen identificar al cliente, verificar su identidad y conservar los documentos—, pero los destinatarios son distintos (AEAT para el CARF; SEPBLAC/UIF para AML), las bases legales son diferentes y los plazos de conservación pueden variar. Un sistema KYC bien diseñado puede satisfacer ambos marcos simultáneamente, pero la política de datos y los flujos de información deben diseñarse expresamente para cumplir con cada marco por separado. Para más información sobre el marco AML europeo aplicable a los PSCA, consulte nuestra guía sobre AMLD6.

Manténgase informado

Reciba nuestros análisis de cumplimiento y guías prácticas en su correo.

¿Listo para automatizar sus verificaciones?

Piloto gratuito con sus propios documentos. Resultados en 48h.

Artículos relacionados

Cumplimiento10 min

Verificación del origen de fondos y patrimonio: guía AML 2026

Verificación del origen de fondos (SOF) y patrimonio (SOW) en España: obligaciones bajo la Ley 10/2010, SEPBLAC, documentos requeridos, señales de alerta y herramientas de automatización.

Leer
Cumplimiento13 min

AMLA: obligaciones 2026 para sujetos obligados en España

La AMLA, nueva autoridad europea AML, transforma el marco LBC/FT desde 2026. Guía completa de obligaciones para sujetos obligados según el Reglamento 2024/1624.

Leer
Cumplimiento10 min

Enfoque Basado en Riesgo PBC/FT: Modelo de Scoring de Clientes 2026

Guía completa para implementar el enfoque basado en riesgo en prevención del blanqueo. Criterios de segmentación, matrices de riesgo, DDC simplificada/reforzada y automatización según Ley 10/2010 y AMLD6.

Leer