Desde el 1 de enero de 2026, la directiva europea DAC8 refuerza la trazabilidad de las transacciones con criptomonedas, justo cuando se multiplican en Francia los secuestros y agresiones relacionados con los activos digitales. En este dossier, analizamos lo que esta nueva transparencia implica para los inversores franceses, con la ayuda de Cédric Fontaine, exmilitar y policía, director general de Lima Groupe.
Con el fin de mejorar la transparencia fiscal, Francia y sus vecinos están aplicando una normativa cada vez más estricta en materia de criptomonedas y sus titulares. Desde el 1 de enero de 2026, la directiva europea DAC8 obliga a los proveedores de servicios de criptoactivos a transmitir a las autoridades fiscales la información completa de sus clientes. Paralelamente, una enmienda francesa también prevé la obligatoriedad de una declaración anual de las carteras frías de particulares cuyo valor supere los 5000 euros. Aunque sin duda con buenas intenciones, Francia pone en peligro a los titulares de activos digitales. De hecho, esta nueva iniciativa crea una vulnerabilidad realmente crítica, a saber, una base de datos digital centralizada que los delincuentes pueden explotar.
Francia se encuentra decididamente en crisis, ya que combina una ola de fuga de datos (entre ellos, una posible fuga procedente del Ministerio del Interior), una serie de secuestros en aumento en el país y una protección del Estado considerada insuficiente. Esta situación sin precedentes convierte al país en un objetivo privilegiado para el crimen organizado, lo que lamentablemente empuja a los inversores a protegerse por su cuenta mediante servicios privados o, simplemente, a abandonar el país. ¿Se les puede culpar?
Una voluntad de transparencia a cualquier precio
Así concluye una era en Francia. De hecho, desde el 1 de enero de 2026, la directiva DAC8 transforma el panorama fiscal de los titulares de criptomonedas en Europa. Según la Comisión Europea, esta normativa obligará a los CASP (Crypto Asset Service Provider), el equivalente europeo de los PSAN (Prestataire de Services sur Actifs Numériques) en Francia, a recopilar y transmitir a las autoridades fiscales información detallada sobre las transacciones de sus clientes.
Cabe señalar que Francia ya había aplicado medidas al respecto. De hecho, la declaración obligatoria de las cuentas de criptomonedas mantenidas en el extranjero se exige a través del formulario CERFA 3916-bis, con sanciones que pueden alcanzar los 1500 euros por cuenta no declarada si los activos superan los 50 000 euros. Sin embargo, las carteras con un saldo inferior a 5000 euros quedan excluidas de esta obligación por el momento, tal y como indica Grégory Raymond en su tuit:
🟥 Información @TheBigWhale_ I Fiscalidad de las criptomonedas
El martes se aprobó una enmienda comunista en la comisión de la Asamblea Nacional
Propone obligar a los titulares de carteras de criptomonedas en autocustodia (@Ledger, @Metamask, @Rabby_io, @DeblockApp, etc.) para darles a conocer… pic.twitter.com/ywJ8ylomxZ— Grégory Raymond 🐳 (@gregory_raymond) 11 de diciembre de 2025
Según la Comisión Europea, estas medidas tienen como objetivo luchar contra el fraude fiscal y el blanqueo de capitales. Así, Francia conocerá a partir de ahora las actividades realizadas a través de las plataformas de criptomonedas, dejando fuera de alcance por el momento las carteras autogeneradas, como señala acertadamente la consultora Deloitte:
En la práctica, los Estados miembros tendrán conocimiento de las actividades con activos digitales realizadas por cada persona física, lo que permitirá a sus servicios fiscales subsanar los olvidos en las declaraciones.
Lamentablemente, esta medida centraliza toda la información sensible en bases de datos gubernamentales, un objetivo perfecto para los piratas informáticos, sabiendo que las filtraciones en Francia son cada vez más frecuentes.
Las filtraciones de datos del sector privado a las del Estado, un regalo del cielo para los delincuentes
Desde hace algunos años, Francia está experimentando un fuerte aumento de las fugas de datos, que afectan tanto a las instituciones públicas como a las empresas privadas. De hecho, según la investigación de France 2, la cadena de televisión informó:
Una explosión de fugas de datos que afecta a numerosas empresas y servicios públicos franceses.
Aún más preocupante es que, entre 2021 y 2024, los documentos de identidad de al menos 14 millones de ciudadanos franceses se vieron comprometidos tras intrusiones en las plataformas municipales.
Las empresas de criptomonedas tampoco se libran y algunas de ellas tampoco son capaces de proteger los datos sensibles de sus clientes. De hecho, en julio de 2020, la empresa francesa Ledger, fabricante de carteras de hardware, sufrió una filtración masiva que expuso alrededor de un millón de direcciones de correo electrónico de clientes, algo más de 250 000 direcciones postales y números de teléfono, de los cuales 16 000 clientes franceses se vieron directamente afectados.
Tras este hackeo, los datos robados se vendieron en foros de la dark web. Así, en octubre de 2024, la CNIL impuso a Ledger una multa récord de 750 000 € por medidas de seguridad insuficientes. Sin embargo, esta multa no restableció la privacidad de las víctimas ni indemnizó a las personas que sufrieron acoso por correo electrónico o phishing posteriormente.
A raíz de esta filtración, las consecuencias fueron desastrosas para los titulares de criptomonedas. Según este artículo de Le Monde de 2024, el medio informaba de que:
La CNIL declaró a la Agencia France-Presse que Ledger «no había protegido suficientemente los datos de sus clientes» tras dos violaciones de datos ocurridas en 2020 que afectaron a los datos personales de clientes y prospectos de la empresa.
Para ser más precisos, Ledger fue víctima de una filtración inequívoca en julio de 2020 en su sitio web alojado por Shopify, que expuso 270 000 datos de clientes. A esto se suma una brecha posterior en la que empleados deshonestos de Shopify exportaron datos adicionales que afectaron a otros 290 000 clientes de Ledger.
A principios de 2026, la empresa volvió a ser objeto de una filtración a través de su socio de comercio electrónico Global-e. El incidente expuso la información personal de algunos clientes que habían realizado compras a través de la plataforma.
Además, una investigación reciente reveló que los ciberdelincuentes habían creado un perfil completo de sus objetivos tras varias filtraciones a lo largo de los años, en particular la filtración de datos de Free en 2024. Clément Domingo, experto en ciberseguridad, explica en particular que:
Es muy probable que el grupo de ciberdelincuentes responsable de esta operación haya cotejado la información postal de los usuarios de criptomonedas con otras filtraciones de datos.
Más recientemente, el Ministerio del Interior sufrió un hackeo de sus datos en la noche del 11 al 12 de diciembre de 2025. De hecho, el ciberataque reivindicado por el grupo de hackers BreachForums tuvo como objetivo los servidores de correo electrónico del servicio.
A continuación, describen los detalles de su ataque en su foro, precisando que tuvieron acceso a bases de datos sensibles, en particular el tratamiento de antecedentes penales (TAJ), el fichero de personas buscadas (FPR), sin olvidar los sistemas interconectados que unen a Interpol, la Dirección General de Finanzas Públicas (DGFIP) y la Caja Nacional de Seguridad Social, lo que les dio acceso a archivos personales y expuso a más de 16 millones de personas.
Los hackers lanzaron entonces un ultimátum al Gobierno, dándole una semana para negociar, tras la cual los datos se venderían al mejor postor o se harían públicos, tal y como explica @AureaLibe en su tuit en X:
🔴🇫🇷 ALERTA INFORMATIVA | Los hackers que afirman haber pirateado el Ministerio del Interior reafirman su ultimátum al Estado francés. Si este no negocia, amenazan con vender o filtrar los supuestos datos robados.
Su mensaje:
«Hola a todos,
Nosotros… pic.twitter.com/cq85hvgDJo
— Aurea (@AureaLibe) 15 de diciembre de 2025
A pesar de este pirateo que está dando mucho que hablar, el Gobierno no parece darse cuenta de la gravedad de la situación. En este sentido, el ministro del Interior, Laurent Nuñez, ha minimizado los riesgos, declarando en RTL que, por el momento, no se ha detectado ningún «compromiso grave», mientras que ya se ha detenido a una persona en relación con el caso.
Sin embargo, esta intrusión revela una vulnerabilidad escalofriante. En efecto, si un individuo aislado ha podido penetrar en los sistemas del Ministerio del Interior, ¿qué pasaría si se tratara de ciberdelincuentes organizados o respaldados por Estados?
Para colmo, el peligro no solo proviene del exterior. El pasado mes de julio, el diario Le Parisien reveló que una agente de la Dirección General de Finanzas Públicas era sospechosa de transmitir información confidencial al crimen organizado. Si un agente de Hacienda puede ser corrupto y vender datos sensibles de los contribuyentes, ¿cómo puede el Gobierno garantizar la seguridad de las futuras bases de datos relacionadas con la DAC8?
Una ola creciente de secuestros, una realidad violenta
Desde 2023, Francia ha sido escenario de repetidos secuestros dirigidos principalmente a inversores en criptomonedas. El secuestro más mediático fue el del cofundador de Ledger, David Balland. La gendarmería nacional de la región declaró entonces:
En la mañana del 21 de enero de 2025, una pareja fue secuestrada en su domicilio de Vierzon, en el departamento de Cher, por un grupo de delincuentes. David Balland es el cofundador de Ledger, una empresa francesa especializada en criptomonedas.
La demanda de rescate se había realizado evidentemente en criptomonedas, ya que los secuestradores proporcionaron una prueba de vida del empresario en vídeo.
Unos meses más tarde, en mayo pasado, el padre de otro empresario del sector también fue secuestrado y retenido como rehén durante casi 48 horas cerca de París. Los delincuentes también exigieron una contraprestación en criptomonedas a cambio del rehén.
Otro hecho alarmante es que una mujer embarazada, hija del director general de Paymium, escapó por poco de un secuestro en el distrito 11 de París.
El pasado 18 de diciembre, una pareja de inversores afincados cerca de La Rochelle fue secuestrada en su domicilio. Fueron atados y golpeados durante casi dos horas para obtener acceso a su monedero de criptomonedas. Según fuentes policiales locales, los agresores habrían robado alrededor de 10 millones de dólares en criptomonedas y disponían de datos muy precisos sobre las cantidades que poseían las víctimas, información obtenida a través de una filtración de datos encontrada en Internet.
Desde entonces, la espiral infernal se ha acelerado: en solo tres días, Francia ha sufrido tres ataques, entre intentos de secuestro y agresiones selectivas, lo que ilustra un cambio preocupante en el que la posesión de criptomonedas puede convertirse en un factor de riesgo físico, tanto para el inversor como para sus familiares.
La crítica situación que se avecina en Francia es inapelable. Cuanto más transparentes sean los activos de los ciudadanos en criptomonedas para el Gobierno gracias a la normativa, más adaptarán los delincuentes su estrategia de selección de objetivos apostando por los datos sensibles, lo que da razón al siguiente dicho: para vivir felices, vivamos ocultos.
Una respuesta insuficiente de Francia en materia de seguridad
Ante la creciente amenaza que se cierne sobre los actores del sector de las criptomonedas, el Gobierno ha puesto en marcha una protección primaria que refleja su falta de interés en este asunto. El Ministerio del Interior ha anunciado que:
Los empresarios del sector de las criptomonedas tendrían acceso prioritario al número de emergencia 17 y recibirían información de las unidades de élite de la policía francesa.
Estas medidas son más simbólicas que tranquilizadoras. En ningún caso los empresarios del sector se sienten más seguros, ya que esto no resuelve en absoluto la vulnerabilidad de los sistemas de datos centralizados y, lo que es peor, el Gobierno parece minimizar el alcance de la amenaza, que se intensifica, como señala Cédric Fontaine, director general de Lima Protection:
Actualmente, el cálculo de costes y beneficios favorece a los delincuentes. El Estado no podrá hacer nada a su nivel mientras tengamos una justicia laxa».
Como consecuencia de la ineficacia del país a la hora de proteger a sus ciudadanos, algunos de los inversores más acaudalados en criptomonedas han recurrido a empresas de protección privada, lo que ha dado lugar a un panorama de dos velocidades en materia de seguridad en el país.
Es probable que la demanda de seguridad privada se haya disparado, especialmente entre los empresarios e inversores que gestionan carteras importantes. Jethro Pijlman, director general de Infinite Risks International, una empresa de protección especializada con sede en los Países Bajos, compartió con Bloomberg su observación:
Hemos recibido más solicitudes, firmado más contratos a largo plazo y observado un aumento de las solicitudes proactivas por parte de inversores en criptomonedas que no quieren verse sorprendidos. Entienden que las medidas de seguridad inteligentes forman ahora parte integrante de sus costes operativos.
Según Bloomberg, Coinbase habría gastado hasta 6,2 millones de dólares en la seguridad personal de su director general, Brian Armstrong, solo en 2024. Un ejemplo emblemático de que los «cripto VIP» deben ahora desembolsar un presupuesto considerable de siete cifras para su seguridad.
Más allá de los servicios de protección personal, existen soluciones menos costosas, como la que ofrece Perimeter Lab. Esta startup francesa, fundada por tres antiguos empleados de Ledger, ofrece una auditoría completa que permite a los inversores en criptomonedas identificar sus vulnerabilidades antes de que sean explotadas.
Así pues, ha llegado una era en la que la protección del Estado es insuficiente y solo los más ricos pueden permitirse una seguridad acorde con la creciente amenaza, lo que refleja un colapso de Francia en materia de seguridad pública.
La situación de Francia se agrava con estas amenazas, estamos en una pendiente ascendente. Lo vemos en nuestras solicitudes, lo vemos en el número de personas que son agredidas, añade Cédric Fontaine
De hecho, entre el posible pirateo de millones de datos del Ministerio del Interior, la impotencia del Gobierno frente a la entidad de ciberdelincuencia BreachForums y la aplicación de la DAC8 con su base centralizada, Francia parece estar colocando un objetivo evidente en la espalda de los franceses sin darse cuenta del impacto de sus acciones.
