Le 15 août 2025, la Securities and Futures Commission de Hong Kong a émis des directives complètes établissant des normes strictes pour la conservation des actifs virtuels. Les dépositaires agréés d'actifs numériques sont interdits d'incorporer des contrats intelligents dans les solutions de portefeuilles froids. La nouvelle directive impose l'utilisation de modules matériels de sécurité certifiés, la mise en œuvre de contrôles d'adresses de retrait préapprouvées et l'exploitation d'un centre d'opérations de sécurité dédié, actif vingt-quatre heures sur vingt-quatre.
L'interdiction des codes programmables en chaîne dans le stockage hors ligne des clés reflète les préoccupations liées aux vulnérabilités des contrats intelligents. Les cadres multisignatures précédemment déployés par les dépositaires institutionnels s'appuyaient sur des scripts basés sur la blockchain pour la validation des transactions. Les directives de la SFC exigent que les procédures de signature des clés se déroulent dans des environnements physiquement sécurisés et isolés pour minimiser l'exposition aux tentatives d'exploitation à distance.
Les dépositaires doivent appliquer des contrôles d'accès physique multi-facteurs sur les sites sécurisés. Les protocoles d'entrée et de sortie doivent utiliser des mécanismes inviolables, avec des registres d'accès maintenus à des fins d'audit. Les modules matériels de sécurité doivent être conformes aux certifications internationales telles que FIPS 140-2 et faire l'objet de revues externes périodiques. Une documentation rigoureuse de tous les processus de gestion des clés est également prescrite.
Les fonctions de retrait doivent être limitées aux adresses blockchain blanchies et approuvées via des procédures de gouvernance interne. Toutes les demandes de transaction sont soumises à une double validation par des équipes opérationnelles distinctes. La surveillance continue du trafic réseau, des événements système et de l'activité des portefeuilles doit être assurée par le centre d'opérations de sécurité, avec des protocoles de réponse aux incidents définis en cas d'anomalies suspectes.
Les retours de l'industrie soulignent les défis potentiels pour les petits dépositaires confrontés à des coûts de conformité accrus. Les grands fournisseurs disposant d'une infrastructure existante pourraient s'adapter plus efficacement, ce qui pourrait conduire à une consolidation du marché des services de conservation. Les analystes suggèrent que la normalisation des exigences pourrait également favoriser une plus grande interopérabilité entre les cadres de conservation régionaux.
Cette initiative réglementaire suit l'approbation par Hong Kong des fonds négociés en bourse sur Bitcoin et Ether au comptant en avril 2024 et la mise en œuvre d'un régime complet de stablecoins début août 2025. L'approche de Hong Kong contraste avec les schémas basés sur les risques adoptés par d'autres juridictions, comme l'Australie et le Royaume-Uni, qui autorisent les architectures de contrats intelligents sous des contrôles de sécurité définis.
L'adoption des directives est obligatoire pour les dépositaires autorisés sous le régime de licence des fournisseurs de services d'actifs virtuels. Les mesures d'application comprennent des inspections périodiques et des sanctions potentielles en cas de non-conformité. La SFC a indiqué que des révisions futures pourraient étendre les critères pour inclure les protocoles de portefeuilles chauds et les opérations de conservation transfrontalières.
Les acteurs du marché anticipent que le cadre de sécurité renforcé renforcera la confiance des investisseurs institutionnels recherchant des solutions de conservation réglementées. Les directives de la SFC devraient influencer les meilleures pratiques mondiales, contribuer à une adoption plus large de contrôles standardisés et renforcer la position concurrentielle de Hong Kong sur les marchés des actifs virtuels.
(0)