Satu lagi tonggak regulasi! Tiga lembaga utama AS bersama-sama menerbitkan pedoman baru untuk layanan kustodian enkripsi bank.

Bank menyediakan layanan enkripsi kaki tangan harus memenuhi standar yang ketat

Federal Reserve, Federal Deposit Insurance Corporation (FDIC), dan Office of the Comptroller of the Currency (OCC) baru-baru ini mengeluarkan peraturan baru yang menjelaskan persyaratan kepatuhan dan standar manajemen risiko yang harus dipatuhi bank-bank di Amerika Serikat saat menyediakan layanan penyimpanan kaki tangan enkripsi. Menurut pernyataan bersama, jika bank ingin menawarkan layanan penyimpanan kaki tangan enkripsi, mereka harus mematuhi persyaratan kepatuhan dan praktik manajemen risiko yang ada, dengan fokus pada memastikan penyimpanan aman aset digital pelanggan. Bank dapat berpartisipasi dalam penyimpanan dalam dua peran:

1. Kaki tangan pengelola (Fiduciary Role): Menanggung kewajiban hukum, mengelola aset enkripsi klien.
2. Peran Non-Kaki Tangan: Hanya menyediakan layanan penyimpanan yang aman, tidak terlibat dalam pengelolaan aset.

Jika bank memegang kunci pribadi aset enkripsi, maka harus menanggung semua tanggung jawab dan memastikan bahwa pelanggan atau pihak ketiga lainnya tidak dapat mengakses kunci tersebut. Otoritas pengatur menyebut ini sebagai patokan "kendali nyata" (true control).

Risiko Kunci dan Persyaratan Kepatuhan

Regulator menunjukkan bahwa bank harus waspada terhadap risiko berikut saat menyediakan layanan enkripsi kaki tangan:

• Kunci pribadi hilang atau dicuri (cryptographic key loss)
• Kelemahan keamanan siber (cybersecurity breaches)
• Risiko Volatilitas Pasar (market volatility)
• Kewajiban Pencucian Uang dan Pendanaan Terorisme (Kepatuhan AML/CFT)

Bank harus membangun sistem pengendalian internal yang kuat, dan terus memperhatikan perkembangan terbaru dalam industri enkripsi kaki tangan. Selain itu, perlu juga menilai apakah mereka memiliki kapasitas teknis (technical capacity) dan persiapan kepatuhan (compliance readiness), termasuk:

• Kerangka operasi yang sempurna
• Personel yang memiliki pengetahuan profesional tentang enkripsi
• Teknologi canggih yang dapat mengatasi risiko aset digital

Tanggung jawab kerjasama pengelolaan pihak ketiga

Meskipun bank dapat memilih untuk bekerja sama dengan kaki tangan enkripsi pihak ketiga, regulator menekankan bahwa bank tetap bertanggung jawab atas setiap kesalahan. Dalam memilih mitra, bank harus melakukan due diligence yang ketat, dengan fokus pada:

• Skema penyimpanan kunci pribadi
• Ketentuan darurat saat aset rusak atau penyedia layanan bangkrut

Persyaratan Anti Pencucian Uang dan Verifikasi Identitas

Bank harus mematuhi peraturan Anti Pencucian Uang (AML), Pembiayaan Terorisme (CFT), dan Kantor Pengendalian Aset Luar Negeri (OFAC), termasuk:

• Verifikasi Identitas Pelanggan (KYC)
• Pemantauan Transaksi Mencurigakan

Karena anonimitas blockchain, persyaratan ini mungkin lebih menantang di bidang enkripsi.

Kepastian Hukum dan Manajemen Kontrak Pintar

Regulator meminta bank untuk menjelaskan masalah hukum berikut saat menyediakan layanan enkripsi kaki tangan:

• Kesepakatan perusahaan yang dicapai melalui pemungutan suara di blockchain, fork, atau airdrop
• Tanggung jawab pengelolaan dompet
• Penggunaan dan risiko kontrak pintar

Audit Independen dan Dukungan Ahli

Bank harus membangun prosedur audit independen yang mencakup aspek-aspek berikut:

• enkripsi kaki tangan keamanan kontrol
• Proses pengelolaan kunci pribadi
• Kemampuan profesional sumber daya manusia

Jika di dalam tidak ada ahli, bank dapat menyewa lembaga audit pihak ketiga (third-party auditors) untuk melakukan evaluasi.

Perubahan Arah Regulasi: Pembatasan Kustodian Enkripsi Bank Dihapus

Penerbitan regulasi baru ini menandai bahwa kebijakan risiko reputasi (reputational risk factor) yang sebelumnya membatasi partisipasi bank dalam layanan penyimpanan enkripsi telah diakhiri oleh Federal Reserve. Ke depan, lebih banyak bank yang patuh mungkin akan memasuki pasar penyimpanan enkripsi, menyediakan solusi penyimpanan aset digital yang lebih aman bagi pengguna institusi dan individu.