Op 15 augustus 2025 gaf de Hong Kong Securities and Futures Commission uitgebreide richtlijnen uit waarin strenge normen werden vastgesteld voor het bewaren van virtuele activa. Gelicentieerde bewaarders van digitale activa mogen geen slimme contracten opnemen in koude-walletoplossingen. De nieuwe richtlijn vereist het gebruik van gecertificeerde hardware-beveiligingsmodules, de implementatie van vooraf goedgekeurde controles voor opname-adressen en de werking van een speciaal beveiligingsoperatiecentrum dat 24 uur per dag actief is.
Het verbod op programmeercode op de blockchain binnen offline sleutelopslag weerspiegelt zorgen over kwetsbaarheden in slimme contracten. Eerdere multisignature-structuren die door institutionele bewaarders werden gebruikt, vertrouwden op blockchain-gebaseerde scripts voor transactievalidatie. De richtlijnen van de SFC vereisen dat het ondertekenen van sleutels plaatsvindt binnen fysiek beveiligde, luchtgedownscalde omgevingen om blootstelling aan externe exploitatiepogingen zoveel mogelijk te beperken.
Bewaarders moeten meerfactorauthenticatie voor fysieke toegang op beveiligde locaties handhaven. In- en uitgangsprotocollen moeten voorzien zijn van beveiligingsmechanismen die aantonen of er is geplunderd, met toeganglogs die voor auditdoeleinden worden bijgehouden. Hardware-beveiligingsmodules moeten voldoen aan internationale certificeringen zoals FIPS 140-2 en ondergaan periodieke externe beoordelingen. Strikte documentatie van alle processen voor sleutelbeheer is ook voorgeschreven.
Opnamefuncties moeten beperkt zijn tot goedgekeurde blockchain-adressen die via interne governanceprocedures op de witte lijst staan. Alle transactieaanvragen zijn onderworpen aan dubbele validatie door afzonderlijke operationele teams. Continue monitoring van netwerkverkeer, systeemgebeurtenissen en wallet-activiteiten wordt uitgevoerd door het beveiligingsoperatiecentrum, met gedefinieerde incidentresponsprotocollen voor verdachte afwijkingen.
Feedback uit de sector benadrukt mogelijke uitdagingen voor kleinere bewaarders die worden geconfronteerd met hogere nalevingskosten. Grotere aanbieders met bestaande infrastructuur kunnen zich waarschijnlijk effectiever aanpassen, wat mogelijk leidt tot consolidatie binnen de markt voor bewaardiensten. Analisten suggereren dat standaardisatie van vereisten ook een grotere interoperabiliteit tussen regionale bewaarframeworks kan bevorderen.
Het regelgevende initiatief volgt op de goedkeuring van spot Bitcoin- en Ether-exchange-traded funds in Hong Kong in april 2024 en de implementatie van een uitgebreid stablecoin-regime begin augustus 2025. De aanpak van Hong Kong contrasteert met risicogebaseerde schema’s die door andere jurisdicties worden toegepast, zoals Australië en het Verenigd Koninkrijk, waar slimme contractarchitecturen onder gedefinieerde beveiligingscontroles zijn toegestaan.
De adoptie van de richtlijnen is verplicht voor bewaarders die gemachtigd zijn onder het Virtual Asset Service Provider-licentieregiem. Handhavingsmaatregelen omvatten periodieke inspecties en mogelijke sancties bij niet-naleving. De SFC gaf aan dat toekomstige herzieningen de criteria kunnen uitbreiden om hot wallet-protocollen en grensoverschrijdende bewaaroperaties op te nemen.
Marktdeelnemers verwachten dat het verscherpte beveiligingskader het vertrouwen zal versterken bij institutionele investeerders die gereguleerde bewaaroplossingen zoeken. De richtlijnen van de SFC zullen naar verwachting mondiale beste praktijken beïnvloeden, bijdragen aan bredere adoptie van gestandaardiseerde controles en de competitieve positie van Hong Kong in markten voor virtuele activa versterken.
(0)