El núcleo del comercio de activos virtuales cumpliendo en Hong Kong: gestión segura de billeteras y custodia de activos

Recientemente, dos intercambios de activos digitales virtuales en Hong Kong han obtenido la licencia de proveedor de servicios de activos virtuales aprobada por la Comisión de Valores y Futuros de Hong Kong, anunciando oficialmente que pueden ofrecer servicios de intercambio de activos virtuales a los minoristas en Hong Kong. Esto significa que los minoristas de Hong Kong solo necesitan registrarse en estos dos intercambios para poder comprar directamente activos virtuales como Bitcoin y Ethereum. Sin duda, esta medida inyecta un fuerte impulso a la posición y estrategia de los intercambios en cumplimiento en el ámbito de los activos virtuales.

Desde octubre del año pasado, las autoridades regulatorias de Hong Kong han publicado una serie de medidas sobre el comercio de activos virtuales. A partir del 1 de junio de este año, más intercambios de activos virtuales podrán solicitar oficialmente una licencia de intercambio de activos virtuales cumpliendo con la Comisión de Valores y Futuros de Hong Kong.

En este entorno político, muchas bolsas de valores desean solicitar licencias en Hong Kong para convertirse en intercambios centralizados cumpliendo con las regulaciones. Una plataforma de intercambio de activos virtuales también planea presentar oficialmente su solicitud a la Comisión de Valores y Futuros a finales de este año, para ofrecer servicios de valor agregado a más profesionales e inversores provenientes del mundo financiero tradicional y de Web3.

Entonces, ¿cuáles son los requisitos específicos de la Comisión de Valores de Hong Kong para los intercambios centralizados? Además de todo un conjunto de procesos en los documentos legales, ¿qué requisitos técnicos especiales hay?

De hecho, el marco regulatorio de cumplimiento de comercio en Hong Kong tiene requisitos técnicos muy altos para el cumplimiento de hardware y software por parte de los intercambios. A nivel internacional, hay algunos proveedores que ofrecen diversos servicios técnicos a estos intercambios bajo el marco de cumplimiento. Entre ellos, la custodia de los activos del cliente es un área clave y también es el aspecto que más le preocupa a la Comisión de Valores de Hong Kong.

Diferencias en la custodia de activos entre las finanzas tradicionales y los intercambios de activos virtuales

En el sistema financiero tradicional, los usuarios suelen comprar acciones a través de corredores. Desde la perspectiva de la experiencia del usuario, parece que se depositan fondos en la cuenta del corredor, quien realiza las transacciones de acciones y las almacena en la cuenta a nombre del usuario.

Sin embargo, en realidad los fondos del usuario no se almacenan en la cuenta del corredor, ya que el corredor, como institución no bancaria, no puede custodiar directamente los fondos de los clientes. Los fondos de los usuarios se almacenan realmente en el banco. El banco tiene una gran cuenta para ese corredor, que contiene varias cuentas pequeñas para custodiar los fondos de los usuarios. Por lo tanto, el corredor, como custodio de los fondos de los usuarios, no puede realmente movilizar los fondos de los usuarios. El banco "filtra", confirmando que el corredor ha recibido la instrucción del cliente, y solo entonces le permite retirar los fondos depositados en nombre del cliente.

En general, los activos como acciones y bonos en el mundo financiero tradicional están custodiados por instituciones altamente centralizadas y con un nivel de seguridad extremadamente alto. Estas instituciones cuentan con una protección de seguridad sólida en términos de hardware y software, incluyendo regulaciones internas y de red. Los proveedores de servicios de valores en realidad solo asisten a los clientes en el proceso de gestión de custodia, siendo grandes instituciones financieras que han actualizado su tecnología a lo largo de varias generaciones las que custodian y protegen los activos de los usuarios. Esta es también la razón por la que las personas se sienten muy seguras en las transacciones financieras tradicionales.

Y bajo el marco de comercio de activos virtuales cumpliendo en Hong Kong, la custodia de los activos de los usuarios es muy diferente. Hong Kong exige que las plataformas de comercio de activos virtuales cumplan con los requisitos de regulación, asumiendo un papel similar al de los bancos, donde los activos virtuales de los clientes se custodian directamente en la Billetera fría de la plataforma. Esto equivale a la necesidad de concentrar las funciones de muchos sistemas tradicionales de custodia financiera, como bancos y custodios, en esta entidad de comercio que cumple, siendo responsable de los activos de los clientes. Por lo tanto, para cualquier plataforma de comercio que cumpla, los requisitos técnicos de software y hardware que debe poseer superan con creces los de las casas de bolsa, acercándose al nivel bancario, y además debe incorporar una dimensión criptográfica.

Problemas de seguridad en el campo del comercio de activos virtuales

Desde el punto de vista de la seguridad, la blockchain se puede dividir simplemente en en cadena y fuera de cadena. Los contratos inteligentes en cadena son programas que se ejecutan automáticamente después de condiciones preestablecidas, y pueden enfrentar varios ataques de hackers, utilizando vulnerabilidades de contratos inteligentes para transferir o filtrar fondos, entre otros. Fuera de la cadena, para la plataforma de operación, es un proyecto de ingeniería de capacidades de seguridad: desde el sistema de autenticación del lado del usuario, hasta la seguridad de la red interna de la empresa, la seguridad de los terminales, los mecanismos de respuesta a emergencias y la elección de la ruta técnica del cómplice.

Desde el punto de vista del cumplimiento, la industria de los activos virtuales ha pasado de un estado de crecimiento salvaje antes de 2018 a una mayor normalización. Aunque en las regiones de la parte continental y Hong Kong, la formulación de políticas y las políticas regulatorias son más claras en cuanto a prohibiciones y expulsiones, Japón ya había iniciado en 2017 un sistema de licencias en Asia, donde las instituciones financieras japonesas gestionan la emisión de licencias para los intercambios y han propuesto una serie de requisitos de seguridad en áreas como la ciberseguridad y la seguridad de datos.

Las políticas recientes de Singapur y Hong Kong, el sistema regulatorio de Hong Kong podría ser el más significativo. Parte de la razón por la que se implementaron estas políticas es que el evento de FTX del año pasado hizo que las personas se dieran cuenta de que el Cumplimiento y la regulación no pueden ser solo superficiales, deben ser claramente implementadas las reglas y los sistemas de gestión para realmente proteger los intereses de los inversores. Por lo tanto, Hong Kong ha publicado este año políticas de regulación de licencias de activos virtuales muy claras, comenzando con las plataformas de intercambio.

Requisitos de cumplimiento de la custodia de activos por parte de la regulación

Una empresa de seguridad tiene clientes con licencia en Hong Kong, Japón, Singapur y otros lugares. A través de una comparación horizontal de los requisitos de licencia en diferentes lugares, considera que las políticas de supervisión de la Comisión de Valores y Futuros de Hong Kong/gobierno de Hong Kong son muy fuertes en términos de lógica y exhaustividad.

Se refleja principalmente en los siguientes aspectos:

Primero, teniendo en cuenta los factores geopolíticos, el gobierno de Hong Kong exige claramente que las claves privadas detrás de los activos digitales deben estar localizadas en Hong Kong.

En segundo lugar, desde la perspectiva de la madurez del sistema regulatorio, las consideraciones regulatorias son muy completas. Actualmente, Hong Kong aún no cuenta con un sistema de regulación de custodia de terceros maduro y completo, por lo que las políticas regulatorias del gobierno de Hong Kong exigen que los solicitantes de licencias de activos virtuales deben construir su propio sistema de custodia segura de activos virtuales y enumerar muchos requisitos específicos. Por ejemplo, en la selección de la ruta técnica, uno de los principios de evaluación importantes del gobierno de Hong Kong es la madurez de la tecnología en sí.

La madurez se refleja en si los elementos clave de la ruta tecnológica utilizada son reconocidos por instituciones de certificación de seguridad autorizadas y de prestigio internacional, lo cual es un criterio de evaluación muy importante. Por lo tanto, la actitud del gobierno de Hong Kong puede describirse como "tanto conservadora como abierta". La parte conservadora se manifiesta en que el gobierno de Hong Kong ha elegido de manera relativamente conservadora rutas tecnológicas más maduras que han sido validadas repetidamente en el ámbito de la seguridad financiera tradicional; la parte abierta se manifiesta en que el gobierno de Hong Kong también ha examinado muchas soluciones tecnológicas nuevas y ha expresado una actitud de apertura.

Aunque el gobierno de Hong Kong exige que las plataformas de negociación de activos virtuales deben custodiar los activos de los clientes y ha enumerado requisitos regulatorios claros, la mera afirmación de que la bolsa cumple con los requisitos no es suficiente para obtener una licencia. También debe haber una institución de evaluación de terceros autorizada para realizar la evaluación; solo si una institución de evaluación de terceros autorizada certifica que la bolsa cumple con los requisitos, será posible solicitar la licencia.

En resumen, se puede ver que la regulación del gobierno de Hong Kong se considera muy completa en términos de lógica, métodos y detalles.

Métodos para proteger la seguridad de los activos de los usuarios

1. Los requisitos en el área de TI incluyen seguridad de red, infraestructura de TI, seguridad de terminales, respuesta a emergencias de recuperación ante desastres y sistema de custodia de Billetera, entre otros. Uno de los requisitos importantes es que el 98% de los activos debe almacenarse en una Billetera fría.

La billetera fría es una billetera completamente fuera de línea y desconectada de la red. Pero no es suficiente con estar desconectado; también se necesita utilizar dispositivos de seguridad criptográfica reconocidos internacionalmente para formar un tesoro de activos digitales que proteja los activos digitales del usuario. Al mismo tiempo, hay ciertos requisitos para el entorno físico del hardware que almacena esta información (el tesoro), como mantener la temperatura, la humedad, evitar el rastreo y la vigilancia, así como interferencia de señales.

Para prevenir pérdidas de activos de los usuarios debido a fallos en la regulación que no han sido considerados o errores operativos de la plataforma, después de definir la tecnología y las soluciones de implementación, es necesario proporcionar una protección adicional para los activos de los usuarios, es decir, exigir la creación de un fondo de compensación por riesgos o la compra de un seguro específico, que tenga la capacidad de indemnizar a los clientes.

2. En términos de cumplimiento, la lucha contra el lavado de dinero y la financiación del terrorismo son aspectos muy importantes para los reguladores, por lo que cada intercambio necesita contar con un "Jefe de Cumplimiento" profesional. El cumplimiento abarca todo el proceso de transacción, no solo es necesario verificar la identidad y la seguridad de los fondos del cliente (KYC) en la etapa de incorporación del usuario, sino que también se debe evaluar el origen y el destino de los fondos de cada transacción para asegurarse de que cumpla con los requisitos (Travel Rule).

3. El control de riesgos se manifiesta en múltiples aspectos, cada plataforma necesita gestionar el comportamiento de manipulación del mercado, el riesgo de fraude del usuario, el riesgo de contraparte y el riesgo de crédito, entre otros.

4. Desde la perspectiva de la gobernanza, es necesario establecer un sistema de gobernanza completo, cuyo núcleo radica en la claridad de los roles:

Primero, los roles de las entidades deben separarse. En Hong Kong, los requisitos de regulación de licencias similares exigen que la plataforma de negociación sea una entidad independiente, y además, debe haber otra entidad responsable de la seguridad de los activos de los clientes, y esta entidad debe servir al 100% a la plataforma de negociación, sin poder servir a otras entidades, es decir, la responsabilidad de las entidades debe estar clara.

En segundo lugar, desde la perspectiva de los fondos, la responsabilidad también debe estar clara. Debe haber una distinción clara entre los fondos de la plataforma de intercambio y los fondos de los usuarios, no debe haber ninguna confusión de fondos, incluso la Gas Fee que debe pagarse para completar la transacción debe ser claramente diferenciada.

En tercer lugar, el principio de que "los roles y responsabilidades son separados" también es muy importante. No debe haber riesgo de único punto en ninguna etapa del proceso comercial, ni debe haber abuso de poder, entre otros. Por ejemplo, al realizar la transferencia de fondos en la billetera fría, se debe seguir el "principio de cuatro ojos".

Soluciones que podrían introducirse en el futuro

¿Qué soluciones podría introducir una bolsa de activos virtuales de cumplimiento en Hong Kong en el futuro en términos de custodia de activos del cliente, sin afectar el nivel de seguridad existente y al mismo tiempo brindar más conveniencia a los intercambios y a los usuarios?

Desde la perspectiva de la operación de las plataformas de intercambio, realmente hay muchas tecnologías excelentes en este campo, como la muy popular tecnología MPC (Cómputo Seguro Multi-Partes). La regulación no busca rechazar estas tecnologías, sino considerar más la madurez de las mismas. Confiamos en que, con el tiempo, estas tecnologías excelentes también se volverán más maduras bajo un sistema de certificación reconocido a nivel mundial.

Por otro lado, muchas plataformas de negociación deben considerar cómo llegar a más usuarios finales. Actualmente, permitir que los usuarios finales se registren y realicen transacciones de manera centralizada satisface gran parte de las necesidades de los usuarios, quienes no necesitan gestionar sus propias claves privadas y frases de recuperación. Al mismo tiempo, también vemos que en el mundo Web3 hay muchos innovadores, y en el futuro podrían surgir muchas soluciones relacionadas con billeteras personales, que complementarán e incluso se vincularán con los intercambios centralizados.

Desde la experiencia operativa de las finanzas tradicionales, no es necesario que cada intercambio tenga su propio sistema de cómplice; se puede completar la custodia de activos del mercado entero por 1-2 instituciones de custodia. En el futuro, cuando la seguridad y la ejecutabilidad de tecnologías como MPC sean reconocidas por más instituciones de certificación de nivel internacional, el campo de la custodia podría concentrarse gradualmente en algunas de las principales instituciones de custodia para llevar a cabo toda la custodia local.

Específicamente en dos niveles:

1. Desde la perspectiva de la separación de responsabilidades y poderes: actualmente, los intercambios que solicitan licencias aún asumen el papel de cómplice, y se cree que a medida que el sistema regulatorio se perfeccione, en el futuro debería ser posible independizar y aclarar la regulación de la parte de custodia, incluyendo cómo regular la custodia y cómo los intercambios utilizan servicios de custodia de terceros para la custodia de activos de los clientes. Con una regulación clara, las responsabilidades se pueden separar.

2. Perspectiva de la ruta técnica: actualmente, se exige comúnmente una solución basada en máquinas de cifrado con un nivel de seguridad de finanzas tradicionales. En el futuro, cuando otras nuevas rutas tecnológicas maduren cada vez más y obtengan la validación de pruebas globales, la elección de la tecnología del proveedor de servicios de custodia ya no estará limitada a una sola solución, sino que habrá más opciones.

Siempre creemos que, con el continuo avance de la tecnología y el profundo entendimiento del mercado por parte de los reguladores y los actores de la industria, en el futuro habrá cada vez más personas que ingresen a este campo, y el mercado será cada vez más próspero.