SFC de Hong Kong lança novos padrões de custódia para plataformas cripto

A autoridade SFC de Hong Kong revelou novas diretrizes sobre como as plataformas de cripto licenciadas lidam com fundos de clientes, alertando que falhas recentes no exterior mostram os riscos de controles de custódia fracos.

Uma nova circular emitida em 15 de agosto pela SFC de Hong Kong estabeleceu padrões obrigatórios para operadores licenciados de plataformas de negociação de ativos virtuais (VATP) na região. 

As medidas abrangem infraestrutura de cold wallet, controles de transação, supervisão de carteiras de terceiros e monitoramento de ameaças em tempo real, em resposta direta à tendência de hacks e golpes do setor, que levaram a perdas de milhões de dólares nos últimos meses. 

Revisões recentes de operadores locais pela comissão descobriram que a maioria tinha apenas medidas "fundamentais" em vigor, com lacunas que poderiam deixar os ativos dos clientes expostos. À luz da descoberta, o novo quadro da SFC estabelece agora padrões mínimos que todos os VATPs devem cumprir.

Novo regime de regras da SFC de Hong Kong

• Responsabilidade da alta administração: Os provedores de serviços devem nomear um 'Oficial Responsável ou Gerente Encarregado' designado para supervisionar as operações de custódia, garantindo forte governança, controles internos, gestão de risco e conformidade geral nas operações.
• Infraestrutura robusta de cold wallet: As chaves privadas devem ser geradas offline em ambientes seguros, usando módulos de segurança de hardware certificados (HSMs) e backups adequados. A SFC espera diligência prévia completa sobre provedores de HSM, gerenciamento contínuo de patches e certificação, e evitar contratos inteligentes públicos nas configurações de cold wallet para reduzir superfícies de ataque.
• Operações seguras de carteira: As plataformas devem proteger contra roubo de ativos através de controles rigorosos de saque. Os saques devem ir apenas para endereços na lista branca, com múltiplas etapas de verificação, segregação de deveres e dispositivos de assinatura isolados para evitar manipulação ou abuso interno.
• Supervisão rigorosa de provedores de carteiras de terceiros: Se um VATP usa um provedor de custódia externo, deve aplicar os mesmos padrões de segurança e governança que usaria internamente. Soluções de custódia externas devem passar por diligência prévia rigorosa, revisões de código independentes e exercícios regulares de recuperação de desastres, com acesso administrativo rigorosamente controlado.
• Monitoramento de ameaças em tempo real: As plataformas devem operar um Centro de Operações de Segurança para monitorar incidentes em tempo real, rastrear saldos, acesso não autorizado e adaptar alertas com base em riscos emergentes.
• Treinamento de pessoal e criação de conscientização: Todo o pessoal envolvido na custódia deve passar por treinamento de segurança específico para sua função, incluindo simulações de phishing e exercícios de prevenção de assinatura cega, para fortalecer as defesas humanas.

Todos os requisitos entram em vigor imediatamente, com expectativa de que os VATPs avaliem e atualizem suas estruturas de custódia. O novo mandato surge enquanto Hong Kong continua a avançar em sua missão de se tornar um hub digital global. 

O primeiro projeto de lei de stablecoin em sua história recentemente entrou oficialmente em vigor em 1 de agosto, criando um regime de licenciamento para emissores. No início deste ano, o governo também emitiu sua declaração de política atualizada sobre ativos digitais, delineando prioridades como clareza regulatória e adoção doméstica.

Hong Kong agora se destaca como uma das regiões mais pró-cripto na Ásia e continua trabalhando para consolidar seu lugar no radar global.