La Reserva Federal, la Corporación Federal de Seguro de Depósitos y la Oficina del Contralor de la Moneda han establecido oficialmente nuevas instrucciones sobre cómo los bancos pueden manejar los servicios de custodia de criptomonedas sin romper ningún límite regulatorio.
Las agencias, que actúan bajo la administración deldent Donald Trump, emitieron el lunes una declaración conjunta, explicando exactamente cómo los prestamistas tradicionales deberían gestionar las tenencias de criptomonedas para sus clientes.
Según el comunicado revisado por Cryptopolitan , estas nuevas instrucciones reemplazan advertencias y restricciones anteriores que dificultaban el ingreso de los bancos al mercado de criptomonedas.
La actualización llega apenas unos meses después de que los reguladores retiraran las directrices anteriores sobre los riesgos relacionados con las criptomonedas en abril y revocaran la directiva de 2022 que obligaba a los bancos a notificar a los reguladores con antelación antes de participar en cualquier actividad relacionada con las criptomonedas.
A partir de ahora, las operaciones con criptomonedas serán monitoreadas como parte de la supervisión rutinaria, al igual que cualquier otra actividad bancaria. Las agencias advirtieron que cualquier banco que asuma la custodia de criptomonedas debe comprender en qué se está metiendo y desarrollar sistemas que puedan gestionarlo.
Los reguladores exigen sistemas internos estrictos antes de que comience la custodia
Los reguladores dejaron en claro que custodiar las criptomonedas significa tener el control de las claves criptográficas que dan acceso a esos activos, y que ese control debe cumplir con todas las leyes y regulaciones pertinentes.
Antes incluso de lanzar servicios de custodia, se espera que los bancos evalúen cómo estas operaciones se integran en su perfil de riesgo y estrategia general. Necesitan conocer la tecnología, mantenerse al día con las prácticas del sector y prepararse para imprevistos.
“Una evaluación de riesgos efectiva consideraría aspectos como los riesgos financieros centrales de la organización bancaria dada la dirección estratégica y el modelo de negocios”, dijeron las agencias en su declaración conjunta.
Todo empleado, ya sea directivo o de TI, debe contar con la formación y los conocimientos operativos necesarios para gestionar correctamente los servicios de custodia de criptomonedas. El comunicado añade que todas las áreas del banco deben ser capaces de "establecer la capacidad operativa adecuada y los controles apropiados para llevar a cabo la actividad de forma segura". Sin esta base, simplemente no se les permite ofrecer estos servicios.
Las directrices también exigen planes de contingencia. Esto implica contar con un plan real en caso de fallo de los sistemas o de un de custodia de criptomonedas . Esto no es opcional. Debe integrarse en la configuración del banco desde el primer día. Las agencias indicaron que todo el marco debe ser lo suficientemente flexible como para adaptarse al cambiante panorama de las criptomonedas. Lo que funciona hoy podría no funcionar mañana.
Los bancos pueden recurrir a ayuda externa, pero siguen siendo totalmente responsables
Los bancos pueden colaborar con empresas externas para gestionar la custodia de criptomonedas, como subcustodios o proveedores de tecnología. Sin embargo, el comunicado recalcó que los bancos seguirán siendo los únicos responsables. «De acuerdo con los términos y condiciones del contrato del cliente, la entidad bancaria es responsable de las actividades realizadas por el subcustodio», declararon los reguladores.
Esa responsabilidad abarca todo, desde los criptoactivos que el banco respalda hasta el funcionamiento de la tecnología del subcustodio. Incluso si el tercero realiza la mayor parte del trabajo, el banco debe realizar la debida diligencia con antelación.
Esto implica verificar cómo se crean, almacenan y eliminan las claves, y confirmar que el subcustodio utiliza medidas de seguridadtron. También se espera que los bancos analicen qué sucedería con los activos de los clientes si el subcustodio quiebra o sufre problemas operativos.
Los reguladores también abordaron otra situación común: cuando un banco gestiona la custodia internamente, pero aún utiliza tecnología de terceros. Ya sea software, hardware o cualquier otra tecnología intermedia, se espera que los bancos evalúen los riesgos.
Esto incluye decidir si es más seguro desarrollar sus propios sistemas o confiar en las herramientas de terceros. La declaración decía: «Una gestión eficaz de riesgos… generalmente implica sopesar los riesgos de comprar software o hardware de terceros frente a mantener dicho software o hardware como servicio»
La auditoría también se incluyó en la lista de requisitos. Las agencias indicaron que los bancos deben crear programas de auditoría específicos para sus operaciones de custodia de criptomonedas. Esto incluye la revisión de los procesos de generación, almacenamiento y eliminación de claves, la verificación de los controles de transferencia y la comprobación de que los sistemas informáticos cumplan con los estándares de seguridad. Estas auditorías también deben evaluar si el personal cuenta con las habilidades necesarias para gestionar el riesgo relacionado con las criptomonedas; de no ser así, se debe recurrir a ayuda externa.
“Cuando no exista experiencia en auditoría dentro de la organización bancaria, la gerencia debe contratar recursos externos apropiados, con suficiente independencia, para evaluar las operaciones de custodia de criptoactivos”, dijeron las agencias.
