La SFC de Hong Kong implementa nuevos estándares de custodia para plataformas cripto

La autoridad SFC de Hong Kong ha revelado nuevas directrices sobre cómo las plataformas cripto con licencia manejan los fondos de los clientes, advirtiendo que los recientes fracasos en el extranjero muestran los riesgos de controles de custodia débiles.

Una nueva circular emitida el 15 de agosto por el SFC de Hong Kong estableció estándares obligatorios para los operadores de plataformas de trading de activos virtuales (VATP) con licencia en la región. 

Las medidas cubren infraestructura de cold wallet, controles de transacciones, supervisión de billeteras de terceros y monitoreo de amenazas en tiempo real, como respuesta directa a la tendencia de hackeos y estafas en la industria, que han llevado a pérdidas de millones de dólares en los últimos meses. 

Revisiones recientes de operadores locales por parte de la comisión encontraron que la mayoría solo tenía medidas "fundamentales" implementadas, con brechas que podrían dejar expuestos los activos de los clientes. A la luz del descubrimiento, el nuevo marco del SFC ahora establece estándares mínimos que todos los VATP deben cumplir.

Nuevo régimen de reglas del SFC de Hong Kong

• Responsabilidad de la alta dirección: Los proveedores de servicios deben designar un 'Oficial Responsable o Gerente a Cargo' para supervisar las operaciones de custodia, asegurando una fuerte gobernanza, controles internos, gestión de riesgos y cumplimiento general en las operaciones.
• Infraestructura robusta de cold wallet: Las claves privadas deben generarse offline en entornos seguros, utilizando módulos de seguridad de hardware certificados (HSMs) y copias de seguridad adecuadas. El SFC espera una diligencia debida exhaustiva sobre los proveedores de HSM, gestión continua de parches y certificaciones, y evitar contratos inteligentes públicos en configuraciones de cold wallet para reducir superficies de ataque.
• Operaciones seguras de billetera: Las plataformas deben protegerse contra el robo de activos mediante controles estrictos de retiro. Los retiros deben ir solo a direcciones en lista blanca, con múltiples pasos de verificación, segregación de deberes y dispositivos de firma aislados para prevenir manipulaciones o abusos internos.
• Supervisión estricta de proveedores de billeteras de terceros: Si un VATP utiliza un proveedor de custodia externo, debe aplicar los mismos estándares de seguridad y gobernanza que aplicaría internamente. Las soluciones de custodia externas deben pasar una diligencia debida rigurosa, revisiones de código independientes y simulacros regulares de recuperación de desastres, con acceso administrativo estrictamente controlado.
• Monitoreo de amenazas en tiempo real: Las plataformas deben ejecutar un Centro de Operaciones de Seguridad para monitorear incidentes en tiempo real, rastrear saldos, accesos no autorizados y adaptar alertas basadas en riesgos emergentes.
• Capacitación del personal y creación de conciencia: Todo el personal involucrado en la custodia debe someterse a capacitación de seguridad específica para su rol, incluyendo simulaciones de phishing y ejercicios de prevención de firma a ciegas, para fortalecer las defensas humanas.

Todos los requisitos son efectivos de inmediato, y se espera que los VATP evalúen y actualicen sus marcos de custodia. El nuevo mandato llega mientras Hong Kong continúa avanzando en su misión de convertirse en un centro digital global. 

El primer proyecto de ley de las criptomonedas estables en su historia entró oficialmente en vigor el 1 de agosto, creando un régimen de licencias para emisores. A principios de este año, el gobierno también emitió su declaración de política actualizada sobre activos digitales, delineando prioridades como la claridad regulatoria y la adopción doméstica.

Hong Kong se posiciona ahora como una de las regiones más pro-cripto en Asia y continúa trabajando para cimentar su lugar en el radar global.