La Oficina del Contralor de la Moneda (OCC), la Junta de la Reserva Federal (Fed) y la Corporación Federal de Seguros de Depósitos (FDIC) publicaron una declaración conjunta que explica cómo se aplican las reglas bancarias existentes cuando las instituciones de custodia de la criptomonía para los clientes.
La guía describe la “custodia” como el acto de mantener un activo digital en nombre de un cliente y enfatiza que no crea nuevas demandas de supervisión.
El control de riesgos se centra en claves criptográficas
Los reguladores instruyeron a las juntas y ejecutivos que vieran la custodia de criptografía como un servicio que se basa en el control exclusivo de las claves privadas y otros datos confidenciales. Señalan que un banco debe probar que ninguna otra parte, incluso el cliente, puede mover unilateralmente un activo una vez que ingrese a la custodia.
La gerencia debe evaluar cómo las herramientas de generación clave, los tipos de billeteras y los planes de contingencia se alinean con el entorno de control más amplio de la institución y garantizar que el personal posee las habilidades técnicas necesarias para mantener estas salvaguardas.
La declaración también le dijo a los bancos que sopesaran la volatilidad de la clase de activos y el ritmo rápido del cambio tecnológico al asignar capital y personal para las operaciones de custodia.
Las agencias dijeron que los programas de sonido incluyen revisiones continuas de las dependencias de software de cada token compatible y el diseño de contabilidad para detectar vulnerabilidades que podrían amenazar la seguridad y la solidez.
Cumplimiento, gobernanza y supervisión de terceros
Las tres agencias recordaron a las instituciones que la custodia de criptográfico debe satisfacer la Ley de secreto bancario, el lavado de dinero, el financiamiento antiterrorista y la Oficina de Reglas de Control de Activos Extranjeros, incluida la “regla de viaje” que adjunta información de identificación a las transferencias.
Las juntas deben involucrar al oficial de la BSA y los gerentes superiores temprano en cualquier despliegue de custodia para medir la exposición a las finanzas ilícitas y los controles de documentos.
Además, los bancos que delegan el almacenamiento a los subcustodios siguen siendo responsables del desempeño de esos proveedores. La orientación instruyó a las empresas para que examinaran los métodos de gestión clave de un subcustodiano, la segregación de activos y las protecciones de insolvencia antes de firmar los contratos.
También se requerirá que las empresas generen requisitos de notificación para cualquier incumplimiento o evento operativo. Las instituciones que mantienen activos internos pero compran software de terceros deben aplicar las mismas disciplinas de riesgo de proveedores.
Finalmente, las agencias solicitaron que los auditores amplíen sus pruebas para incluir elementos de criptográfico específicos, como la generación de claves, la seguridad de la billetera y los controles de liquidación en la cadena.
Cuando los equipos internos carecen de experiencia, la gerencia debe contratar especialistas independientes para validar salvaguardas e informar directamente al comité de auditoría.
La declaración conjunta concluyó que las regulaciones de seguridad fiduciarias, de custodia y de la información existentes ya proporcionan un marco para los bancos que desean salvaguardar su criptografía.
Sin embargo, esos bancos deben demostrar que pueden controlar las claves, administrar proveedores y cumplir con los estatutos federales de delitos financieros en tiempo real.