DAC8
DAC8: alto a la vigilancia masiva de los titulares de criptoactivos
Estamos en una encrucijada.
La seguridad de millones de europeos está en juego: se está desplegando un programa de vigilancia masiva y recopilación de datos, peligroso e injustificado.
DAC8 es, hasta la fecha, la mayor amenaza para la supervivencia de los derechos fundamentales y de los principios cypherpunk de Bitcoin.
Bull Bitcoin se erige como un baluarte: nos negamos a ser cómplices de este abuso por parte de los gobiernos. Nos negamos a someternos sin luchar.
Por eso hemos emprendido una acción legal para anular esta ley.
La batalla legal de Bull Bitcoin para anular DAC8 y CARF
01
¿Qué es DAC8?
La directiva de vigilancia fiscal de los criptoactivos, en vigor desde el 1 de enero de 2026.
La directiva DAC8, en vigor desde el 1 de enero de 2026, obliga a todos los proveedores de servicios de criptoactivos (PSCA) de la UE a declarar información anual sobre las transacciones cripto declarables de sus clientes a las autoridades fiscales. Esa información se intercambia automáticamente entre los 27 Estados miembros.
Cada PSCA debe declarar, cada año:
- la identidad completa del cliente (nombre, dirección de domicilio, fecha de nacimiento, número de identificación fiscal) y su residencia fiscal;
- los tipos de criptoactivos y las categorías de transacción;
- los valores, unidades, fechas, número de transacciones y totales anuales;
- la información de transferencias, incluidas las transferencias agregadas a direcciones de registro distribuido no asociadas a un VASP cuando proceda.
El primer período de declaración abarca el año natural 2026, y el primer intercambio entre autoridades fiscales debe producirse en septiembre de 2027. En Francia, DAC8 se transpuso mediante el Decreto n.º 2025-1276, de 19 de diciembre de 2025.
Comunicado de prensa del Consejo de la UE, 17 de octubre de 2023 · Página de la Comisión Europea sobre DAC8 · Decreto n.º 2025-1276, de 19 de diciembre de 2025 · Barómetro ADAN / Deloitte / Ipsos 2026.
02
Lo que hacemos
Una acción justa y legítima, alineada con el propio objetivo declarado de DAC8.
El 24 de febrero de 2026, Bull Bitcoin presentó un recurso de urgencia (référé) ante el Conseil d’État francés contra el Decreto n.º 2025-1276, de 19 de diciembre de 2025.
Ese decreto es la principal medida de transposición de la directiva DAC8 al derecho francés. Amplía significativamente las obligaciones de declaración impuestas a los proveedores franceses de servicios de criptoactivos (PSCA), incluso más allá del alcance previsto inicialmente por la propia directiva.
Esta acción es solo el comienzo, y uno de los muchos frentes que pretendemos abrir. Utilizaremos todas las vías legítimas para suspender, retrasar, anular o modificar los efectos perjudiciales de DAC8 y CARF.
Contribuir a la lucha
La lucha contra DAC8 está financiada por BULLBITCOIN.COM y por otra plataforma de intercambio de criptoactivos francesa que, por el momento, prefiere permanecer anónima. Para contribuir, utilice BULLBITCOIN.COM como su plataforma de intercambio. Los beneficios generados por su actividad ayudan a financiar acciones legales contra DAC8 y CARF allí donde resulten útiles.
03
Por qué le concierne
El primer deber del Estado es proteger a sus ciudadanos.
DAC8 no afecta solo a los tenedores de criptoactivos. Al reunir identidades, direcciones de domicilio y datos de transacciones y transferencias cripto en una base de datos compartida por 27 administraciones fiscales, la directiva crea un objetivo de altísimo valor, justo en el momento en que los delincuentes priorizan a los familiares de los tenedores.
40-135 M
europeos en zona de riesgo físico (tenedores y sus familiares)
>50%
de las víctimas de ataques en 2026 no poseen ninguna cripto: cónyuges, hijos, padres mayores
Los criptoactivos son líquidos, transferibles y a veces visibles en blockchains públicas. Una vez que la identidad civil y la dirección de domicilio se vinculan a actividad cripto y señales de valor, los datos ya no sirven únicamente a la administración fiscal: pueden utilizarse para señalar a personas como objetivo.
Más de la mitad de las personas atacadas en 2026 no poseen ninguna criptomoneda. ¿Nunca has comprado bitcoin? Basta con que un familiar lo tenga para convertirte en un objetivo, y tú nunca diste tu consentimiento para figurar en esta base de datos.
La posición de Bull Bitcoin es simple: las autoridades fiscales deberían poder investigar a contribuyentes concretos mediante solicitudes específicas y motivadas. No deberían crear una base de datos masiva de usuarios, domicilios, transacciones y transferencias cripto.
CertiK, Wrench Attacks Report Q1 2026 · ADAN, barómetro 2026 · Eurostat EU-SILC 2023.
04
Por qué no es razonable
Una dirección blockchain no es un número de cuenta. Es toda una vida financiera al descubierto.
01 La transparencia de la blockchain hace desproporcionada la recopilación masiva
Una dirección de blockchain no es un número de cuenta bancaria. Puede ser la puerta de entrada a un grafo financiero público y permanente. DAC8 puede así exponer mucho más que un hecho imponible.
Saber más ↓
La transparencia de la blockchain hace desproporcionada la recopilación masiva
Una dirección de blockchain no es un número de cuenta bancaria: es una llave de acceso a toda una vida financiera pública y permanente. En Bitcoin, Ethereum y en casi todas las cadenas públicas, cada transacción es pública, verificable y permanente. Cuando la actividad cripto declarada vincula una identidad civil con actividad en registros públicos, la exposición va mucho más allá de un único hecho imponible.
- Exposición total. Donde DAC2 transmite saldos, DAC8 vincula identidad y domicilio con datos de transacciones y transferencias cripto; en registros públicos, eso puede convertirse en una puerta de entrada a un historial más amplio.
- Todo, incluido lo que no tiene relevancia fiscal. Transferencias entre tus propios monederos, regalos a la familia, pagos a comercios, operaciones P2P: DAC8 captura movimientos sin ninguna relevancia tributaria.
- Una filtración que nunca se cierra. A diferencia de un saldo congelado, el historial on-chain se actualiza por sí solo, de forma perpetua, a la vista de cualquier atacante.
- Una vulneración de la proporcionalidad. El artículo 52 de la Carta de los Derechos Fundamentales exige que toda limitación de un derecho sea necesaria y proporcionada; el TJUE lo recordó en su jurisprudencia sobre FATCA y el RGPD.
02 Ninguna eficacia probada justifica este nivel de riesgo
Una medida que expone a millones de personas debería exigir pruebas sólidas de necesidad y eficacia. El argumento a favor de la comunicación masiva de datos cripto sigue siendo débil frente a su coste en seguridad.
Saber más ↓
Ninguna eficacia probada justifica este nivel de riesgo
Ningún dato público demuestra que el intercambio automático masivo genere una recaudación fiscal proporcional a su coste. Siete años después de su primera evaluación, la Comisión Europea admite que “la evaluación de los beneficios es extremadamente limitada”. Y aun así extiende ese mismo marco a los criptoactivos.
- La Comisión (SWD 2019, luego SWD 2025) reconoce que no puede cuantificar los ingresos adicionales generados por el intercambio automático.
- El Tribunal de Cuentas Europeo (informe 03/2021) constató que solo uno de los cinco Estados miembros auditados verifica la calidad de los datos, y que entre 2015 y 2017 solo el 2% de los contribuyentes cubiertos pudo vincularse a un número fiscal.
- El régimen comparable de PBC/KYC intercepta apenas el 0,1% de los fondos delictivos, con un coste anual de 136.500 millones de dólares en Europa.
- El precedente del CRS muestra sobre todo un desplazamiento hacia jurisdicciones no participantes, no una caída neta de la evasión fiscal.
03 DAC8 puede producir el efecto contrario al que declara perseguir
Al hacer que usar un CASP regulado sea sinónimo de exposición automática, DAC8 puede empujar a los usuarios prudentes hacia los mercados entre pares, las plataformas offshore, la minería o los flujos no custodiales.
Saber más ↓
DAC8 puede producir el efecto contrario al que declara perseguir
El titular informado no se pregunta si debe declarar: en el momento en que utiliza un CASP, sus datos llegan igualmente a la administración tributaria. Su verdadera pregunta pasa a ser “¿debo seguir usando un CASP regulado?”. Para un número creciente de titulares, la respuesta será no.
- Las alternativas son legales. Monederos no custodiales, DEX, P2P, minería, staking no custodial: todo queda fuera del alcance de DAC8 y es perfectamente legal. La directiva no empuja hacia el fraude, sino a abandonar los CASP regulados.
- La contradicción con MiCA es frontal. La UE dedicó casi cinco años (2019-2024) a construir MiCA para que los europeos volvieran a plataformas reguladas, seguras y supervisadas. Seis meses antes del plazo del 1 de julio de 2026, DAC8 convierte a esas mismas plataformas en el lugar más expuesto para operar.
- La eficacia se invierte. Los titulares más sofisticados se van; solo los usuarios ordinarios permanecen dentro del perímetro, soportando en solitario el riesgo físico. Menos base imponible identificada, a costa de empleo y soberanía digital.
04 Ya existe una alternativa menos intrusiva
El derecho francés ya otorga a la administración tributaria poderes de solicitud de información dirigida. Una solicitud motivada sobre un contribuyente identificado es más segura y más proporcionada que la recopilación masiva.
Saber más ↓
Ya existe una alternativa menos intrusiva
El derecho de comunicación (artículos L. 81 y siguientes del Código de Procedimientos Fiscales francés) ya permite a la administración acceder a los datos que poseen terceros (bancos, proveedores de servicios, y ahora los CASP) de forma dirigida y motivada, para un contribuyente identificado que esté siendo investigado. Cuando una medida menos intrusiva logra el mismo objetivo, la recopilación masiva es, por construcción, desproporcionada.
Puntos clave:
- Existe una alternativa menos intrusiva. DAC8 no supera el test de proporcionalidad del artículo 52 de la Carta: no es necesaria, no es adecuada, no es proporcionada.
- El derecho de comunicación es dirigido. Se refiere a contribuyentes bajo investigación, con los datos estrictamente necesarios, en lugar de a unos 54 millones de titulares repartidos en 27 bases de datos centralizadas.
- Ya es el estándar habitual. Obras de arte, lingotes, inmuebles en el extranjero (formulario 3916), cuentas de valores: la administración los obtiene mediante solicitud motivada, nunca mediante acceso permanente. Los criptoactivos no justifican ninguna excepción.
05
Por qué hay que detenerlo
Un fichero centralizado es un objetivo.
01 Una epidemia de violencia física se ceba con los tenedores
La violencia física relacionada con las criptomonedas se ha disparado: el 82% de los ataques mundiales ocurren en Europa y el 70% en Francia (de enero a abril de 2026), y el Ministerio del Interior francés registra aproximadamente un ataque cada 2,5 días. 101 millones de dólares extorsionados en cuatro meses. Los delincuentes ya no actúan al azar: compran los datos personales de sus objetivos.
Saber más ↓
Una epidemia de violencia física se ceba con los tenedores
La violencia física vinculada a las criptomonedas se ha disparado y se concentra en Europa, con Francia a la cabeza. Los delincuentes ya no actúan al azar: compran los datos personales de sus objetivos para seleccionar, localizar y presionar a los tenedores y a sus familiares.
- El 82% de los ataques físicos mundiales relacionados con criptomonedas ocurren en Europa y el 70% en Francia (de enero a abril de 2026); 101 millones de dólares extorsionados en cuatro meses (CertiK, 2026). El Ministerio del Interior francés registra aproximadamente un ataque cada 2,5 días.
- Francia documenta un aumento constante: 18 casos en 2024, 67 en 2025, 47 en 2026 hasta el 25 de abril; 88 personas imputadas, entre ellas más de 10 menores (PNACO).
- El modus operandi ha cambiado: compra de datos, cruce de filtraciones de plataformas (caso Waltio), vigilancia de familiares, operativos reclutados a través de Telegram, orquestación desde el extranjero.
- DAC8 y CARF añadirían una base de datos estructurada que vincula identidades civiles con datos de cripto: exactamente lo que los atacantes ya buscan obtener.
02 Las familias están en primera línea
Más de la mitad de las víctimas de 2026 no son tenedores: son sus cónyuges, hijos o padres mayores. DAC8 expone así no solo a los tenedores, sino a todo su círculo familiar, entre 40 y 135 millones de europeos en zona de riesgo físico, ninguno de los cuales dio jamás su consentimiento.
Saber más ↓
Las familias están en primera línea
Más de la mitad de los incidentes violentos registrados en 2026 no se dirigen contra los tenedores: se dirigen contra sus cónyuges, hijos o padres mayores, ya sea como víctimas directas o como palanca de presión (CertiK, Q1 2026). DAC8 expone así no solo a los tenedores de criptoactivos, sino a todo su círculo familiar cercano.
- Un riesgo a escala masiva. Al multiplicar cada tenedor por su núcleo familiar cercano (× 2,5, cifra coherente con el tamaño medio de los hogares en la UE), se obtienen entre 40 y 135 millones de europeos en zona de riesgo físico.
- Un riesgo asimétrico. Una filtración de 50.000 tenedores se convierte en una filtración de 125.000 personas realmente expuestas; una filtración de DAC8 (54 millones) se convertiría en una filtración de 135 millones.
- Sin consentimiento. Los familiares nunca usaron una plataforma de cripto, nunca aceptaron ninguna condición de servicio y no tienen forma de excluirse.
03 DAC8 añade una base de datos a un terreno ya contaminado
En 18 meses, más de 100 millones de registros de ciudadanos franceses fueron comprometidos en bases de datos gestionadas por el Estado o sus contratistas. El vínculo entre las filtraciones y la violencia ya lo reconocen las propias autoridades: la brecha de Waltio sirvió directamente para al menos tres secuestros. DAC8 añade a este terreno una base de datos de titulares de un activo transferible bajo coacción.
Saber más ↓
DAC8 añade una base de datos a un terreno ya contaminado
Ninguna base de datos pública puede considerarse permanentemente segura. En 12 meses, la CNIL recibió 8.613 notificaciones de brechas (+45%), es decir, una filtración por hora aproximadamente, que afectaron a 12,2 millones de personas. DAC8 añade a este terreno una base de datos que cruza la identidad civil con la actividad cripto.
Puntos clave:
- La seguridad depende del eslabón más débil: basta con que falle una de las 27 administraciones. Los precedentes existen (Agencia Tributaria búlgara, 2019: hasta 7 millones de contribuyentes; Equalize en Italia; la agente de la DGFiP Ghalia C., que apuntaba a inversores en cripto).
- El riesgo no es solo el hackeo externo: los accesos abusivos internos, las malas configuraciones y los contratistas comprometidos pesan igual.
- Los datos cripto filtrados siguen siendo explotables durante mucho tiempo y pueden generar vigilancia permanente, incluso amenazas físicas.
04 Una base de datos centralizada es un objetivo por diseño
Concentrar datos sensibles crea un honeypot: un objetivo de alto valor. Los CASP regulados (MiCA, DORA, RGPD) son profesionales supervisados y sancionables, con incentivos para proteger a sus clientes. DAC8 hace justo lo contrario: 27 bases de datos compartidas, cuya seguridad global es tan fuerte como su eslabón más débil.
Saber más ↓
Una base de datos centralizada es un objetivo por diseño
Concentrar datos sensibles de cripto en una base de datos compartida crea un honeypot: un objetivo de muy alto valor. Cuanto más grande y valiosa sea la base de datos, mayor será el esfuerzo que dediquen los atacantes y más devastadora será una sola filtración. El objetivo de DAC8 será uno de los más valiosos de Europa.
Los CASP regulados (MiCA desde el 30 de diciembre de 2024, DORA desde enero de 2025, RGPD) son profesionales supervisados e incentivados: una filtración les cuesta la licencia, los clientes y la reputación, con sanciones de hasta el 4% de la facturación mundial. Una administración que pierde datos de contribuyentes, en cambio, sigue existiendo y, en el peor de los casos, incurre en una multa simbólica (Bulgaria, 2019: 2,9 millones de euros pagados por el contribuyente búlgaro al Estado búlgaro).
DAC8 hace lo contrario del reflejo de seguridad razonable:
- Modelo actual: entre 100 y 200 CASP independientes aproximadamente; una filtración se mantiene contenida (Waltio: 50.000 clientes).
- Modelo DAC8: 1 base de datos × 27 administraciones = 27 objetivos equivalentes, con millones de agentes expuestos (DGFiP: unos 100.000).
- La seguridad del conjunto es tan fuerte como su eslabón más débil.
Recursos
El dosier de referencia, en páginas legibles
Análisis, cifras, fuentes y contexto mundial de CARF sin recargar la página de inicio.
Apoye la lucha contra DAC8