La FSA giapponese promuove una politica di sicurezza aggressiva per gli exchange di criptovalute nella nuova bozza

L'Agenzia giapponese per i servizi finanziari ha recentemente pubblicato una nuova bozza di policy quadro che definirà nuovi standard obbligatori di sicurezza informatica per gli exchange di criptovalute. Questo segna una svolta: da una sicurezza personalizzata e focalizzata sui singoli asset a protocolli di difesa per l'intero ecosistema (per exchange), mentre gli attacchi informatici continuano a intensificarsi nel settore degli asset digitali.

Le linee guida politiche sono state annunciate il 10 febbraio 2026, introducendo l'obbligo di autovalutazione della sicurezza informatica (CSSA) per tutti gli exchange di criptovalute registrati che operano in Giappone. 

L'FSA accetterà commenti pubblici fino all'11 marzo, dando così ai principali attori del settore, come le borse e gli esperti di sicurezza, tre settimane per fornire un feedback prima che i regolamenti vengano finalizzati ed entrati in vigore nell'anno fiscale 2026 del Giappone (che inizia il 1° aprile).

I cold wallet non sono più sufficienti poiché aumentano gli attacchi indiretti

L' FSA ha rilevato di recente un aumento degli attacchi indiretti più sofisticati. Con il peggioramento della situazione, l'utilizzo dei soli cold wallet potrebbe non essere più sufficiente a garantire una gestione sicura degli asset, segnalando quindi un cambiamento nell'evoluzione della filosofia normativa giapponese. 

Sebbene i cold wallet offline proteggano le risorse dall'hacking remoto diretto, l'agenzia ha riconosciuto che i moderni autori di minacce si sono adattati a questo fenomeno prendendo di mira l'infrastruttura umana e operativa che supporta la gestione delle risorse digitali.

Altri analisti hanno osservato che il framework CSSA richiederà agli exchange di valutarematicdiversi aspetti dei loro domini di sicurezza, che si tratti di infrastrutture tecniche (come la sicurezza del portafoglio e l'architettura di rete), rischi umani e operativi (tra cui la formazione dei dipendenti e i protocolli di phishing), gestione dei fornitori terzi e protezioni dell'integrità dei dati, che devono essere conformi alla legge giapponese sulla protezione delle informazioni personali.

Questo cambiamento è il risultato di diverse violazioni di alto profilo avvenute nel 2024, che hanno messo in luce queste vulnerabilità. Le linee guida si concentrano in particolare sugli attacchi che aggirano le difese tecnologiche compromettendo i dipendenti tramite campagne di phishing o infiltrandosi nei fornitori di servizi e neglitracche mantengono l'accesso ai sistemi di scambio.

Il quadro a tre pilastri richiede la partecipazione dell'intero settore

L'implementazione efficace di questa nuova politica si basa su tre pilastri che, combinati, creano un sistema di difesa multilivello. Tra questi, l'auto-aiuto, l'aiuto reciproco e l'aiuto pubblico, e questi pilastri affronteranno diversi aspetti, lavorando insieme per rafforzare il sistema di sicurezza del settore.

Il pilastro "self-help" attribuisce la responsabilità primaria ai singoli exchange di garantire la sicurezza delle proprie operazioni. Entrerà in vigore nell'anno fiscale 2026 (1° aprile) e richiederà a tutti gli exchange di criptovalute registrati di condurre le valutazioni obbligatorie menzionate in precedenza.

Il pilastro dell'"assistenza reciproca" si basa sull'intelligenza collettiva supportata dalla collaborazione del settore. La FSA contribuirà a rafforzare le funzioni del comitato di sicurezza della Japan Virtual and Crypto Assets Exchange Association (JVCEA), incoraggiando al contempo le piattaforme di scambio a partecipare attivamente alla condivisione delle informazioni, in modo che minacce, schemi di attacco e strategie di difesa possano essere comunicate in modo più efficace all'interno del settore. 

Pertanto, se uno scambiodentuna nuova strategia di ingegneria sociale o un'altra vulnerabilità, tali informazioni saranno disponibili per proteggere altri operatori prima che si verifichi qualcosa di simile.

Infine, il pilastro "aiuto pubblico" vedrà la FSA proseguire la ricerca internazionale congiunta sulla blockchain per le minacce emergenti, iniziata nell'anno fiscale 2025, oltre a coinvolgere l'intero settore degli scambi di criptovalute nel "Delta Wall", un'esercitazione congiunta sulla sicurezza informatica per le organizzazioni finanziarie, entro tre anni dall'adozione della politica. 

Quale sarà il futuro delle borse operanti in Giappone?

Nel corso dell'anno fiscale 2026, la FSA prevede di condurre veri e propri test di penetrazione su operatori specifici e potrebbe assumere hacker etici per tentare intrusioni nei sistemi di scambio live. 

Questi attacchi autorizzatidentle vulnerabilità prima che gli hacker malintenzionati possano sfruttarle, e i risultati saranno condivisi in mododentper aiutare gli exchange interessati a correggere eventuali punti deboli. Ciò contribuirà a fornire una misura oggettiva del monitoraggio che potrebbe essere stata trascurata durante le autovalutazioni.

La struttura a tre pilastri crea responsabilità a ogni livello, con gli scambi che hanno la responsabilità primaria della propria sicurezza (auto-aiuto), il settore che condivide informazioni collettive e innalza gli standard (aiuto reciproco) e la supervisione, i test e il supporto governativi (aiuto pubblico). 

La FSA ritiene che questo rappresenterà un ecosistema piùtrone adattabile, in grado di difendersi dalle minacce attuali e future.