De Securities and Futures Commission (SFC) van Hongkong heeft een circulaire uitgebracht waarin uitgebreide bewaarnormen worden beschreven voor gelicentieerde handelsplatforms voor virtuele activa. De richtlijnen richten zich op de verantwoordelijkheid van het senior management, veilige cold wallet-procedures en voortdurende dreigingsbewaking.
De bijgewerkte standaarden vormen de pijlers Infrastructuur en Beveiliging van de ASPIRe-strategie van de SFC, die in februari werd gepresenteerd tijdens Consensus 2025. Het raamwerk streeft ernaar de bescherming van activa te versterken en tegelijkertijd marktuitbreiding onder streng toezicht mogelijk te maken.
Belangrijke bepalingen vereisen de scheiding van hot- en cold wallet-operaties, waarbij platforms gebruik moeten maken van multisignature cold storage onder directe controle van senior functionarissen. Systemen voor realtime monitoring moeten ongeautoriseerde toegangspogingen of abnormale transacties detecteren en melden.
Het senior management is verantwoordelijk voor het opstellen van governancebeleid, het uitvoeren van regelmatige cybersecurity-oefeningen en het waarborgen dat derde partijen voor bewaring voldoen aan strikte beveiligingsnormen. Schriftelijke verantwoordingsverklaringen moeten elk kwartaal bij de SFC worden ingediend.
Het nieuwe regime volgt op een gerichte beoordeling eerder dit jaar waarin “tekortkomingen” in de cyberverdediging van bepaalde beurzen werden vastgesteld. De actie van de toezichthouder is gericht op het voorkomen van vermogensverlies dat het vertrouwen van beleggers en de financiële stabiliteit zou kunnen ondermijnen.
Door uniforme bewaarnormen in te voeren, positioneert Hongkong zich als een toonaangevend digitaal activa-knooppunt in Azië. Deze stap onderscheidt zijn aanpak van naburige rechtsgebieden en legt zowel nadruk op innovatie als investeerdersbescherming.
De reactie uit de industrie is voorzichtig positief, waarbij gelicentieerde beurzen het belang van sterkere waarborgen erkennen en tegelijkertijd pleiten voor duidelijke implementatierichtlijnen. De SFC plant workshops met belanghebbenden om verwachtingen te verduidelijken en technische ondersteuning te bieden.
De nalevingstermijnen vereisen dat gelicentieerde platforms binnen drie maanden na de datum van uitgifte van de circulaire certificeren dat zij voldoen. Niet-nalevende entiteiten riskeren schorsing, boetes of intrekking van hun vergunning, wat de toewijding van de toezichthouder aan strenge standaarden onderstreept.
(0)