Hong Kong SFC lança novos padrões de custódia para plataformas de criptografia

A Autoridade de Hong Kong SFC revelou novas diretrizes sobre como as plataformas de criptografia licenciadas lidam com os fundos dos clientes, alertando que falhas recentes no exterior mostram os riscos de controles fracos de custódia.

Uma nova circular emitida em 15 de agosto pelo Hong Kong SFC estabeleceu padrões obrigatórios para operadores de plataforma de negociação de ativos virtuais licenciados (VATP) na região.

As medidas cobrem infraestrutura de carteira fria, controles de transação, supervisão de carteira de terceiros e monitoramento de ameaças em tempo real, em resposta direta à tendência dos hackers e golpes da indústria, que levaram a perdas de vários milhões de dólares nos últimos meses.

“O SFC vê a necessidade de o VATPS revisar e fortalecer criticamente suas práticas de custódia em um momento em que vários casos de vulnerabilidades de custódia surgiram no exterior e a própria revisão direcionada do regulador destinou -se a avaliar a resiliência dos VATPs contra as ameaças de segurança cibernética”, dizia o anúncio.

Revisões recentes dos operadores locais pela Comissão descobriram que a maioria tinha apenas medidas “fundamentais”, com lacunas que poderiam deixar os ativos do cliente expostos. À luz da descoberta, a nova estrutura do SFC agora estabelece padrões mínimos que todos os VATPs devem atender.

Hong Kong SFC Novo regime de regras

• Responsabilidade da gerência sênior: Os prestadores de serviços devem nomear um ‘oficial responsável ou gerente responsável’ designado para supervisionar operações de custódia, garantindo forte governança, controles internos, gerenciamento de riscos e conformidade geral nas operações.
• Infraestrutura robusta da carteira fria: As chaves privadas devem ser geradas offline em ambientes seguros, usando módulos de segurança de hardware certificados (HSMS) e backups adequados. O SFC espera uma due diligence completa nos provedores de HSM, gerenciamento contínuo de patches e certificação e evitação de contratos inteligentes públicos em configurações de carteira a frio para reduzir as superfícies de ataque.
• Operações de carteira segura: As plataformas devem se proteger contra roubo de ativos por meio de controles estritos de retirada. Os saques devem ir apenas para endereços de permissões, com várias etapas de verificação, segregação de tarefas e dispositivos de assinatura com abas de ar para evitar adulteração ou abuso privilegiado.
• Supervisão estrita de provedores de carteira de terceiros: Se um VATP usar um provedor de custódia externa, ele deve aplicar os mesmos padrões de segurança e governança que seria internamente. As soluções de custódia externa devem passar por due diligence rigorosa, revisões de código independentes e exercícios regulares de recuperação de desastres, com o acesso do administrador com força controlada.
• Monitoramento de ameaças em tempo real: As plataformas devem executar um centro de operações de segurança para monitorar incidentes em tempo real, acompanhar os saldos, acesso não autorizado e adaptar alertas com base em riscos emergentes.
• Treinamento da equipe e criação de consciência: Todos os funcionários envolvidos na custódia devem passar por treinamento de segurança específico para função, incluindo simulações de phishing e exercícios de prevenção de assinatura cega, para fortalecer as defesas humanas.

Todos os requisitos são efetivos imediatamente, com os VATPs que avaliam e atualizam suas estruturas de custódia. O novo mandato ocorre quando Hong Kong continua a avançar em sua missão de se tornar um hub digital global.

O primeiro projeto de lei Stablecoin em sua história recentemente entrou em vigor oficialmente em 1º de agosto, criando um regime de licenciamento para emissores. No início deste ano, o governo também emitiu sua declaração de política atualizada sobre ativos digitais, descrevendo prioridades como clareza regulatória e adoção doméstica.

Hong Kong agora se destaca como uma das regiões mais pró-Cripto da Ásia e continua trabalhando para consolidar seu lugar no radar global.