La Federal Reserve, la Federal Deposit Insurance Corporation e l'Office of the Comptroller of the Currency hanno ufficialmente stabilito nuove istruzioni su come le banche possono gestire i servizi di custodia delle criptovalute senza violare alcun limite normativo.
Le agenzie, che operano sotto l'amministrazione deldent Donald Trump, hanno rilasciato lunedì una dichiarazione congiunta, spiegando esattamente come i creditori tradizionali dovrebbero gestire le partecipazioni in criptovalute per i loro clienti.
Secondo la dichiarazione esaminata da Cryptopolitan , queste nuove istruzioni sostituiscono gli avvertimenti e le restrizioni precedenti che rendevano più difficile per le banche entrare nel mercato delle criptovalute.
L'aggiornamento arriva solo pochi mesi dopo che ad aprile le autorità di regolamentazione avevano ritirato le precedenti linee guida sui rischi legati alle criptovalute e revocato la direttiva del 2022 che obbligava le banche a informare in anticipo le autorità di regolamentazione prima di intraprendere qualsiasi attività legata alle criptovalute.
D'ora in poi, le operazioni in criptovaluta saranno monitorate come parte della supervisione di routine, proprio come qualsiasi altra attività bancaria. Le agenzie hanno avvertito che qualsiasi banca che decida di investire in criptovalute deve comprendere a cosa va incontro e sviluppare sistemi in grado di gestirle.
Gli enti regolatori richiedono sistemi interni rigorosi prima che inizi la custodia
Gli enti regolatori hanno chiarito che custodire le criptovalute significa avere il controllo delle chiavi crittografiche che danno accesso a tali asset e che tale controllo deve rispettare tutte le leggi e le normative pertinenti.
Prima ancora di lanciare servizi di custodia, le banche devono valutare come queste operazioni si inseriscono nel loro profilo di rischio e nella loro strategia complessiva. Devono conoscere la tecnologia, rimanere aggiornate sulle prassi del settore e prepararsi alle sorprese.
"Una valutazione efficace del rischio dovrebbe prendere in considerazione aspetti quali i principali rischi finanziari dell'organizzazione bancaria, in base alla direzione strategica e al modello aziendale", hanno affermato le agenzie nella loro dichiarazione congiunta.
Ogni dipendente, che si tratti di dirigenti o di personale IT, deve possedere la formazione e le competenze operative necessarie per gestire correttamente i servizi di custodia di criptovalute. La dichiarazione aggiunge che tutte le divisioni della banca devono essere in grado di "stabilire un'adeguata capacità operativa e controlli appropriati per svolgere l'attività in modo sicuro e corretto". Senza queste basi, semplicemente non è consentito offrire questi servizi.
Le linee guida richiedono anche piani di emergenza. Ciò significa avere un piano concreto in caso di guasti ai sistemi o di fallimento di un di custodia di criptovalute . Questo non è facoltativo. Deve essere integrato nella struttura della banca fin dal primo giorno. Le agenzie hanno affermato che l'intero quadro normativo dovrebbe essere sufficientemente flessibile da adattarsi al panorama delle criptovalute in rapida evoluzione. Ciò che funziona oggi potrebbe non funzionare domani.
Le banche possono ricorrere ad aiuti esterni, ma restano pienamente responsabili
Le banche possono collaborare con società terze per gestire la custodia delle criptovalute, ad esempio avvalendosi di sub-depositari o fornitori di servizi tecnologici. Tuttavia, la dichiarazione ha sottolineato che le banche continueranno ad assumersi la piena responsabilità. "Nel rispetto dei termini e delle condizioni del contratto con il cliente, un'organizzazione bancaria è responsabile delle attività svolte dal sub-depositario", hanno affermato le autorità di regolamentazione.
Questa responsabilità copre tutto, dalle criptovalute supportate dalla banca al funzionamento della tecnologia del sub-custode. Anche se la maggior parte del lavoro è svolta da terze parti, la banca deve effettuare la due diligence preventiva.
Ciò significa verificare come vengono create, archiviate ed eliminate le chiavi e confermare che il sub-custode utilizzitronmisure di sicurezza. Le banche devono inoltre valutare cosa accadrebbe ai beni dei clienti in caso di fallimento o problemi operativi del sub-custode.
Le autorità di regolamentazione hanno affrontato anche un'altra situazione comune: quando una banca gestisce internamente la custodia ma utilizza comunque tecnologie di terze parti. Che si tratti di software, hardware o qualsiasi altra soluzione intermedia, le banche sono tenute a valutarne i rischi.
Ciò include decidere se sia più sicuro sviluppare i propri sistemi o affidarsi agli strumenti di qualcun altro. La dichiarazione afferma: "Una gestione efficace del rischio... includerà generalmente la valutazione dei rischi derivanti dall'acquisto di software o hardware di terze parti rispetto alla gestione di tale software o hardware come servizio"
Anche l'audit è stato incluso nell'elenco dei requisiti. Le agenzie hanno affermato che le banche devono creare programmi di audit specifici per le loro operazioni di custodia di criptovalute. Ciò include la revisione dei processi di generazione, archiviazione ed eliminazione delle chiavi, la verifica dei controlli di trasferimento e il controllo del rispetto degli standard di sicurezza dei sistemi IT. Questi audit dovrebbero anche valutare se il personale possiede le competenze necessarie per gestire i rischi legati alle criptovalute e, in caso contrario, è necessario ricorrere a un supporto esterno.
"Quando all'interno dell'organizzazione bancaria non sono presenti competenze di audit, la direzione dovrebbe coinvolgere risorse esterne appropriate, con sufficiente indipendenza, per valutare le operazioni di custodia delle criptovalute", hanno affermato le agenzie.
