Los reguladores de EE. UU. Libera las reglas finales para los bancos sobre cómo ofrecer custodia criptográfica

La Reserva Federal, la Corporación Federal de Seguros de Depósitos y la Oficina del Contralor de la Moneda han establecido oficialmente nuevas instrucciones sobre cómo los bancos pueden manejar los servicios de custodia de cifrado sin romper los límites regulatorios.

Las agencias, que actúan bajo la administración deldent Donald Trump, emitieron una declaración conjunta el lunes, explicando exactamente cómo los prestamistas tradicionales deberían administrar las tenencias criptográficas para sus clientes.

Según el comunicado revisado por Cryptopolitan, estas nuevas instrucciones reemplazan las advertencias y restricciones anteriores que dificultaron que los bancos ingresen al mercado de criptografía.

La actualización se produce solo unos meses después de que los reguladores retiraran la orientación anterior sobre los riesgos relacionados con criptografía en abril y revocaron la Directiva 2022 que obligó a los bancos a notificar a los reguladores con anticipación antes de participar en cualquier actividad criptográfica.

De ahora en adelante, las operaciones de cifrado serán monitoreadas como parte de la supervisión de rutina, al igual que cualquier otro negocio bancario. Las agencias advirtieron que cualquier banco que entre en la custodia de la criptografía debe comprender en qué se está metiendo y construir sistemas que puedan manejarlo.

Los reguladores exigen sistemas internos estrictos antes de que comience la custodia

Los reguladores dejaron en claro que la criptografía de custodia significa tener el control de las claves criptográficas que dan acceso a esos activos, y que el control debe cumplir con cada ley y regulación relevantes.

Incluso antes de lanzar servicios de custodia, se espera que los bancos evalúen cómo estas operaciones se ajustan a su perfil y estrategia de riesgo general. Necesitan conocer la tecnología, mantenerse actualizado sobre las prácticas de la industria y prepararse para las sorpresas.

"Una evaluación de riesgos efectiva consideraría cosas como los riesgos financieros centrales de la organización bancaria dada la dirección estratégica y el modelo de negocio", dijeron las agencias en su declaración conjunta.

Todos los empleados, ya sea sentado en el C-suite o trabajando en ello, deben tener la capacitación y el conocimiento operativo para ejecutar los servicios de custodia criptográfica correctamente. La declaración agregó que todas las partes del banco deben poder "establecer la capacidad operativa adecuada y los controles apropiados para llevar a cabo la actividad de manera segura y sólida". Sin esta base, simplemente no se les permite ofrecer estos servicios.

Las pautas también requieren planes de contingencia. Eso significa tener un plan real cuando los sistemas se rompen o si falla un de custodia criptográfica . Esto no es opcional. Debe estar integrado en la configuración del banco desde el primer día. Las agencias dijeron que todo el marco debería ser lo suficientemente flexible como para adaptarse al panorama criptográfico que cambia rápidamente. Lo que funciona hoy podría no funcionar mañana.

Los bancos pueden usar ayuda externa, pero manténgase totalmente responsable

A los bancos pueden trabajar con compañías de terceros para manejar la seguridad criptográfica, como usar subcustodios o proveedores de tecnología. Pero la declaración enfatizó que los bancos aún conllevarán toda la responsabilidad. "Sujeto a los términos y condiciones en el acuerdo del cliente, una organización bancaria es responsable de las actividades realizadas por el subcustodiano", dijeron los reguladores.

Esa responsabilidad cubre todo, desde los cuales los activos criptográficos apoyan el banco a cómo funciona la tecnología del subcustodiano. Incluso si el tercero está haciendo la mayor parte del trabajo, el banco debe hacer la debida diligencia con anticipación.

Eso significa verificar cómo se crean, almacenan y eliminan las teclas, y confirman que el subcustodiano usa salvaguardas StronG. También se espera que los bancos analicen lo que sucedería con los activos del cliente si el subcustodiano se quiebra o sufre problemas operativos.

Los reguladores también abordaron otra configuración común: cuando un banco maneja la custodia internamente, pero aún usa tecnología de terceros. Ya sea software, hardware o algo intermedio, se espera que los bancos evalúen los riesgos. 

Eso incluye decidir si es más seguro construir sus propios sistemas o confiar en las herramientas de otra persona. El comunicado dijo: "La gestión efectiva de riesgos ... generalmente incluirá sopesar los riesgos de comprar software o hardware de terceros en lugar de mantener dicho software o hardware como un servicio".

La auditoría también hizo la lista de requisitos. Las agencias dijeron que los bancos deben crear programas de auditoría específicamente para sus operaciones de custodia de cifrado. Eso incluye revisar los procesos de generación de claves, almacenamiento y eliminación, verificar los controles de transferencia y verificar que los sistemas de TI cumplan con los estándares de seguridad. Estas auditorías también deben evaluar si el personal tiene las habilidades para gestionar el riesgo relacionado con la criptografía, y si no, se debe obtener ayuda externa.

"Cuando la experiencia en auditoría no existe dentro de la organización bancaria, la gerencia debe involucrar a los recursos externos apropiados, con suficiente independencia, para evaluar las operaciones de custodia de los activos cripto-criptomonedas", dijeron las agencias.

Tus noticias de criptografía merecen atención: Key Difference Wire te pone en más de 250 sitios superiores