Il 15 agosto 2025, la Hong Kong Securities and Futures Commission ha emesso una guida completa che stabilisce standard rigorosi per la custodia di asset virtuali. I custodi autorizzati di asset digitali non possono incorporare contratti intelligenti nelle soluzioni di cold wallet. La nuova direttiva obbliga all'uso di moduli di sicurezza hardware certificati, all'implementazione di controlli sui indirizzi di prelievo preapprovati e all'operazione di un centro operativo di sicurezza dedicato attivo 24 ore su 24.
Il divieto di codice programmabile on-chain all'interno dello storage offline delle chiavi riflette preoccupazioni riguardo alle vulnerabilità dei contratti intelligenti. I precedenti framework multisignature utilizzati dai custodi istituzionali si basavano su script blockchain per la validazione delle transazioni. La guida della SFC richiede che le procedure di firma delle chiavi avvengano in ambienti fisicamente protetti e isolati dalla rete per minimizzare l'esposizione a tentativi di sfruttamento remoto.
I custodi devono applicare controlli di accesso fisico multifattoriali nei siti sicuri. I protocolli di entrata e uscita devono utilizzare meccanismi a prova di manomissione, con registri di accesso mantenuti a scopo di audit. I moduli di sicurezza hardware devono essere conformi a certificazioni internazionali come FIPS 140-2 e sottoposti a revisioni esterne periodiche. Viene inoltre prescritto un rigoroso processo documentale per tutte le operazioni di gestione delle chiavi.
Le funzioni di prelievo devono essere limitate agli indirizzi blockchain inseriti in whitelist e approvati tramite procedure interne di governance. Tutte le richieste di transazione sono soggette a doppia validazione da parte di team operativi separati. Il centro operativo di sicurezza deve condurre un monitoraggio continuo del traffico di rete, degli eventi di sistema e delle attività del wallet, con protocolli di risposta agli incidenti per anomalie sospette.
I feedback del settore evidenziano potenziali sfide per i custodi di minori dimensioni che affrontano costi di conformità aumentati. I fornitori maggiori, dotati di infrastrutture esistenti, potrebbero adattarsi più efficacemente, possibilmente portando a una consolidazione nel mercato dei servizi di custodia. Gli analisti suggeriscono che la standardizzazione dei requisiti potrebbe anche favorire una maggiore interoperabilità tra i framework regionali di custodia.
L'iniziativa regolamentare segue l'approvazione da parte di Hong Kong degli exchange-traded fund spot su Bitcoin ed Ether nell'aprile 2024 e l'implementazione di un regime completo per le stablecoin all'inizio di agosto 2025. L'approccio di Hong Kong si contrappone agli schemi basati sul rischio adottati da altre giurisdizioni, come Australia e Regno Unito, che permettono architetture di smart contract sotto controlli di sicurezza definiti.
L'adozione della guida è obbligatoria per i custodi autorizzati secondo il regime di licenza Virtual Asset Service Provider. Le misure di applicazione includono ispezioni periodiche e potenziali sanzioni in caso di non conformità. La SFC ha indicato che revisioni future potrebbero estendere i criteri per includere protocolli di hot wallet e operazioni di custodia transfrontaliere.
I partecipanti al mercato prevedono che il rafforzamento del quadro di sicurezza aumenterà la fiducia tra gli investitori istituzionali alla ricerca di soluzioni di custodia regolamentate. Si prevede che la guida della SFC influenzerà le migliori pratiche globali, contribuendo a una più ampia adozione di controlli standardizzati e rafforzando la posizione competitiva di Hong Kong nei mercati degli asset virtuali.
(0)