Aperçu des lignes directrices de l'autorité monétaire de Hong Kong sur les activités de conservation d'actifs numériques
TechFlow SélectionTechFlow Sélection
Aperçu des lignes directrices de l'autorité monétaire de Hong Kong sur les activités de conservation d'actifs numériques
La Hong Kong Monetary Authority a publié des lignes directrices relatives aux activités de custody d'actifs numériques, énonçant des normes pertinentes couvrant notamment la gouvernance et la gestion des risques, l'isolement des actifs numériques des clients, la protection des actifs numériques des clients, ainsi que la délégation et l'externalisation.
Dédié à des analyses Web3 approfondiesTraduction : Bo Wen
La sécurité des actifs numériques reste l'un des sujets les plus débattus dans le secteur. À mesure que de plus en plus d'institutions traditionnelles entrent sur ce terrain, la question de la protection efficace des actifs numériques des utilisateurs dans l'univers Web3, truffé de hackers, devient cruciale pour permettre une expansion durable du secteur.
En 2024, la SEC américaine a approuvé des ETF Bitcoin au comptant, dont Coinbase est devenu le dépositaire pour huit d'entre eux, soutenant fortement sa croissance financière. La conservation d'actifs numériques n'est désormais plus seulement une question technique, mais également un domaine stratégique convoité par les grandes institutions. Si Hong Kong souhaite rattraper rapidement les États-Unis, elle doit accélérer l'amélioration de sa réglementation en matière de custody d'actifs numériques.
Le 20 février 2024, l'Autorité monétaire de Hong Kong (HKMA) a publié des orientations sur les activités de custody d'actifs numériques, définissant des normes claires, notamment en matière de gouvernance et de gestion des risques, d'isolement des actifs numériques des clients, de protection de ces actifs, ainsi que de délégation et de sous-traitance, afin d'encadrer les institutions exerçant ou souhaitant exercer des activités de custody à Hong Kong, y compris leurs filiales autorisées.
Ci-dessous figure la traduction intégrale du texte original des orientations.
Orientation sur les normes attendues des institutions autorisées fournissant des services de custody d'actifs numériques
La présente orientation s’applique aux institutions autorisées (AIs) et à leurs filiales locales autorisées qui conservent des actifs numériques pour le compte de clients (c’est-à-dire principalement des actifs reposant sur la cryptographie et la technologie des registres distribués ou similaire), à l’exclusion des jetons numériques à usage spécifique. À titre indicatif, sont inclus les actifs virtuels (VA), les titres tokenisés et autres actifs tokenisés. La présente orientation ne s’applique pas à la custody des actifs propres des AIs ou de leurs groupes, lorsqu’ils ne sont pas détenus pour le compte de clients.
(A) Gouvernance et gestion des risques
1. Avant de lancer des services de custody d’actifs numériques, l’institution autorisée doit réaliser une évaluation complète des risques afin d’identifier et comprendre les risques associés. Elle doit mettre en place des politiques, procédures et contrôles appropriés pour gérer et atténuer les risques identifiés, en tenant compte des exigences légales et réglementaires applicables. Le conseil d’administration et la direction générale doivent superviser efficacement le processus de gestion des risques, afin de garantir qu’avant et pendant l’exercice des activités de custody, les risques soient correctement identifiés, évalués, gérés et atténués.
2. L’institution autorisée doit allouer des ressources suffisantes à ses activités de custody, notamment en personnel qualifié et en expertise nécessaire, afin d’assurer une gouvernance adéquate, un fonctionnement opérationnel efficace et une gestion rigoureuse des risques. Les cadres supérieurs et employés impliqués dans les activités de custody et dans les fonctions de contrôle associées doivent posséder les connaissances, compétences et expertises requises pour remplir leurs responsabilités.
3. Compte tenu de l’évolution rapide du domaine des actifs numériques, l’institution autorisée doit veiller à ce que les cadres supérieurs et le personnel impliqués dans les activités de custody reçoivent une formation suffisante afin de maintenir continuellement leur compétence professionnelle.
4. L’institution autorisée doit mettre en place des dispositifs de responsabilisation appropriés pour ses activités de custody, incluant des rôles et responsabilités clairement définis par écrit, ainsi que des lignes hiérarchiques bien établies. Elle doit également disposer de politiques et procédures suffisantes pour identifier, gérer et atténuer tout conflit d’intérêts potentiel ou effectif, par exemple entre différentes activités menées par l’institution ou ses entités affiliées.
5. L’institution autorisée doit établir et maintenir des arrangements efficaces de plan de continuité d’activité et de reprise après sinistre, afin d’assurer la pérennité de ses activités de custody.
(B) Isolement des actifs numériques des clients
6. L’institution autorisée doit conserver les actifs numériques des clients dans des comptes clients spécifiques, séparés de ses propres actifs, afin de garantir que, en cas de faillite ou de liquidation de l’institution, les actifs des clients soient protégés contre les réclamations des créanciers de l’institution.
7. L’institution autorisée ne doit céder aucun droit, intérêt, propriété juridique ou effective, ni prêter, grever, grever à nouveau ou créer toute charge sur les actifs numériques des clients, sauf : (i) pour régler des transactions, et/ou couvrir les frais et commissions dus par le client à l’institution ; (ii) avec le consentement préalable exprès et écrit du client ; ou (iii) si requis par la loi. L’institution doit prendre des mesures pleinement efficaces pour empêcher l’utilisation des actifs numériques des clients à des fins autres que celles prévues par contrat ou convenues avec le client.
(C) Protection des actifs numériques des clients
8. Une institution autorisée doit mettre en place des systèmes et contrôles suffisants afin de garantir une comptabilisation précise et opportune des actifs numériques des clients, ainsi que leur protection adéquate. En particulier, elle doit instaurer des mesures de contrôle efficaces visant à minimiser les risques de perte d’actifs numériques des clients résultant de vols, fraudes, négligences ou autres détournements, ainsi que d’un accès retardé ou impossible à ces actifs.
9. Lors de la conception des systèmes et contrôles destinés à protéger les actifs numériques des clients, l’institution autorisée peut adopter une approche fondée sur les risques, en tenant compte de la nature, des caractéristiques et des risques associés aux actifs numériques conservés. Ces risques peuvent dépendre, par exemple, du type de réseau de registre distribué (DLT) utilisé (privé avec permission, public avec permission, public sans permission), ainsi que des mesures d’atténuation mises en œuvre. Par exemple, les actifs numériques détenus sur un réseau DLT public sans permission peuvent être exposés à des risques accrus de cybersécurité, et la récupération des actifs perdus peut être difficile en cas de vol, de piratage ou d’autres attaques informatiques, tandis que sur les réseaux DLT publics avec permission ou privés, il peut exister des mécanismes de contrôle d’accès au réseau.
10. Les systèmes et contrôles destinés à protéger les actifs numériques des clients comprennent, sans s’y limiter, des politiques et procédures écrites relatives aux aspects suivants :
-
l’autorisation et la vérification des accès aux dépôts, retraits et transferts d’actifs numériques des clients, y compris l’accès aux dispositifs stockant les seed et clés privées ;
-
la gestion et la protection des seed et clés privées des clients, incluant la génération, distribution, stockage, utilisation, destruction et sauvegarde des clés.
11. En particulier, on s’attend à ce que l’institution autorisée adopte les meilleures pratiques sectorielles pertinentes et suive les normes internationales de sécurité applicables, conformément à la nature, aux caractéristiques et aux risques des actifs détenus. Bien que les procédures et contrôles énumérés ci-dessous ne soient pas prescriptifs ni universellement applicables, ils constituent généralement des exigences pour les institutions autorisées détenant des VA pour compte de tiers. Pour d'autres types d'actifs numériques, l'institution peut adopter une approche fondée sur les risques, adaptée au niveau de risque encouru. Toutefois, si ces actifs prennent la forme de jetons sans permission sur un réseau DLT public sans permission, l'institution doit faire preuve de plus de prudence et réaliser une évaluation approfondie de la mise en œuvre :
-
génération et stockage des seed et clés privées dans un environnement et sur des dispositifs sécurisés et inviolables (tels que des modules matériels de sécurité HSM), y compris leurs sauvegardes. Dans la mesure du possible, les seed et clés privées doivent être générés hors ligne, et des limites appropriées de cycle de vie doivent être définies ;
-
génération, stockage et sauvegarde sécurisés des seed et clés privées sur le territoire de Hong Kong ;
-
limitation stricte, selon le principe du besoin d'accès, de l'accès aux dispositifs ou applications cryptographiques aux seules personnes autorisées, dûment sélectionnées et formées ; tenue à jour d'une documentation sur les méthodes d'accès et les permissions attribuées ; utilisation de méthodes d'authentification forte, telles que l'authentification multifacteur, pour accéder aux seed et clés privées ; maintien d'une traçabilité des accès aux dispositifs ou applications cryptographiques ;
-
mise en œuvre de techniques comme le partage de secret (key sharding) ou similaires afin d'éviter tout « point de défaillance unique », par exemple en divisant la clé privée et en la distribuant entre plusieurs personnes autorisées de l'institution pour un stockage distribué, garantissant ainsi qu'aucune partie unique ne détienne la totalité de la clé. Habituellement, un nombre minimum de fragments de clé doit être rassemblé pour signer une transaction, empêchant ainsi qu'une seule personne dispose d'un accès complet, tout en assurant la continuité opérationnelle en cas de perte, d'indisponibilité ou de vol d'un fragment. Pour éviter un « point de défaillance unique », on peut aussi envisager d'utiliser plusieurs portefeuilles plutôt qu'un seul portefeuille centralisé pour détenir les actifs numériques des clients ;
-
mise en place de mesures pour prévenir et atténuer les risques de collusion entre les personnels autorisés ayant accès aux phrases de récupération (mnémoniques) et aux clés privées ;
-
mise en place de plans de sauvegarde hors site et de secours adéquats pour les phrases mnémoniques et les clés privées, soumis aux mêmes contrôles de sécurité que les éléments d'origine. Les copies de sauvegarde doivent être conservées hors ligne dans des lieux physiques sécurisés, indépendants du lieu principal de stockage et non affectés par un même événement pouvant compromettre les originaux ;
-
sauf justification contraire, la majorité des actifs numériques des clients doit être conservée dans un stockage à froid non connecté à Internet ;
-
autorisation des dépôts et retraits d'actifs numériques uniquement depuis des adresses de portefeuille appartenant au client (par exemple, via un test de propriété comme une signature de message ou un micro-paiement) et préalablement inscrites sur une liste blanche ;
-
mesures garantissant que tout contrat intelligent utilisé dans le cadre de la custody soit largement protégé contre les vulnérabilités contractuelles ou les failles de sécurité ;
-
mise en place d'arrangements d'assurance ou de compensation adéquats, couvrant pleinement les pertes d'actifs numériques des clients pouvant résulter de piratages, vols ou fraudes (qu'ils soient ou non dus à une action, erreur, négligence ou faute grave de l'institution autorisée).
12. Lorsqu’une institution autorisée fournit à ses clients une interface utilisateur ou un portail pour gérer leurs actifs numériques détenus par l’institution, elle doit mettre en place des contrôles efficaces d’authentification des clients et de notification, conformément aux directives établies de temps à autre par l’Autorité monétaire de Hong Kong (HKMA).
13. L’institution autorisée doit surveiller attentivement les menaces de sécurité émergentes, les vulnérabilités, les attaques, les risques de fraude ainsi que les tendances technologiques ; évaluer régulièrement la pertinence et la robustesse de ses contrôles de sécurité face aux nouvelles menaces et progrès technologiques ; et prendre des mesures pour adopter, conformément aux meilleures pratiques du secteur et aux normes internationales applicables, les technologies appropriées pour la conservation des actifs numériques des clients. Les technologies de portefeuille utilisées pour la custody doivent être testées avant déploiement afin d’en garantir la fiabilité.
(D) Délégation et externalisation
14. En règle générale, concernant les actifs virtuels, une institution autorisée ne peut déléguer ses fonctions de custody qu’à (i) une autre institution autorisée (ou une filiale locale d’une telle institution) ; ou (ii) une plateforme d’échange d’actifs virtuels titulaire d’une licence de la SFC. Pour d'autres actifs numériques prenant la forme de jetons sans permission situés sur un réseau DLT public sans permission, l'institution doit faire preuve d'une extrême prudence et procéder à une évaluation approfondie avant de décider de déléguer ou d'externaliser ses fonctions de custody.
15. Lorsqu’une institution autorisée conclut un accord de délégation ou d’externalisation avec un mandataire ou un prestataire de services pour fournir des services de custody d’actifs numériques, elle doit effectuer une diligence raisonnable appropriée avant de sélectionner et nommer ce mandataire ou prestataire. L’institution doit notamment évaluer et s’assurer de la solidité financière, de la réputation, des compétences managériales, des capacités techniques et opérationnelles du mandataire ou prestataire, ainsi que de sa capacité à respecter les exigences du présent document et des lois et réglementations applicables, et à suivre l’évolution technologique du secteur des actifs numériques. L’évaluation de diligence raisonnable et ses résultats doivent être dûment documentés. L’institution doit mettre en place des contrôles efficaces pour surveiller continuellement la performance du mandataire ou prestataire.
16. Lorsqu’elle collabore avec un mandataire ou un prestataire de services pour fournir des services de custody d’actifs numériques, l’institution autorisée doit disposer de l’expertise technique nécessaire pour évaluer l’efficacité de la solution déployée dans la protection des actifs numériques des clients, et déterminer si celle-ci introduit un quelconque point de défaillance unique. Elle doit également parfaitement comprendre les modalités et conditions selon lesquelles le mandataire ou prestataire détient les actifs numériques des clients, et évaluer si cela pourrait avoir un impact significatif sur les droits légaux des clients en cas de faillite du mandataire ou prestataire. L’institution reste responsable du respect par le mandataire ou prestataire des obligations d’isolement des actifs des clients stipulées aux points 6 et 7 du présent document.
17. Les plans d’urgence et de reprise après sinistre de l’institution autorisée doivent couvrir les interruptions causées par la délégation ou l’externalisation des services de custody. L’institution doit également évaluer la résilience du mandataire ou prestataire, notamment son plan d’urgence et ses procédures, afin de garantir la disponibilité des services de custody.
18. Il est rappelé aux institutions autorisées qu’elles doivent, dans le cadre de la délégation ou de l’externalisation des services de custody d’actifs numériques, maintenir des systèmes et contrôles comparables à ceux exigés pour les activités financières traditionnelles.
19. La responsabilité finale et l’obligation de rendre compte de toute activité déléguée ou externalisée incombent à l’institution autorisée.
(E) Divulgation des risques
20.L’institution autorisée doit divulguer pleinement, de manière claire et compréhensible, à ses clients les modalités de la custody, notamment :
-
les droits et obligations respectifs de l’institution et des clients, y compris les droits de propriété des clients sur leurs actifs en cas de faillite ou de liquidation de l’institution ;
-
les modalités de custody, notamment la manière dont les actifs numériques des clients sont stockés et isolés, les procédures et délais d’accès aux actifs, ainsi que les frais et coûts éventuels ;
-
les arrangements de compensation prévus pour couvrir les pertes d’actifs numériques des clients pouvant résulter d’incidents de sécurité ou de détournements ;
-
les cas où les actifs numériques des clients pourraient être mélangés avec ceux d’autres clients, et les risques associés ;
-
les situations et arrangements selon lesquels l’institution pourrait acquérir la propriété légale et/ou bénéficiaire des actifs numériques des clients, ou les céder, prêter, grever, grever à nouveau ou créer toute charge sur ces actifs, ainsi que les risques associés ;
-
la manière dont seront traités les actifs numériques des clients lors d’événements tels que les votes, les hard forks ou les airdrops, ainsi que les droits et intérêts correspondants ;
-
l’institution autorisée doit divulguer pleinement et équitablement à ses clients toute existence et nature de conflits d’intérêts potentiels ou effectifs liés à ses activités de custody.
(F) Conservation des documents et rapprochement des actifs numériques des clients
21. L’institution autorisée doit tenir des registres et comptes appropriés pour chaque client afin de suivre et enregistrer la propriété des actifs numériques, y compris le montant et le type d’actifs dus au client, ainsi que les mouvements d’actifs entre les comptes clients. Des rapprochements réguliers et fréquents des actifs numériques des clients doivent être effectués par client, en tenant compte des enregistrements hors chaîne et sur chaîne. Toute divergence doit être résolue rapidement et signalée en temps utile à la direction générale.
22. L’institution autorisée doit mettre en place des systèmes et contrôles pour conserver et protéger tous les documents relatifs aux activités de custody, et doit pouvoir les fournir rapidement à l’Autorité monétaire de Hong Kong (HKMA) sur demande.
(G) Lutte contre le blanchiment d’argent et le financement du terrorisme
23. L’institution autorisée doit s’assurer que ses politiques, procédures et contrôles relatifs à la lutte contre le blanchiment d’argent et le financement du terrorisme (LCB-FT) sont efficaces pour gérer et atténuer les risques de blanchiment d’argent et de financement du terrorisme liés aux activités de custody d’actifs numériques. Elle doit se conformer à la « Ligne directrice sur la LCB-FT (applicable aux institutions autorisées) » et aux documents d’orientation de l’HKMA relatifs à la LCB-FT pour les activités de custody d’actifs numériques.
(H) Exigences en matière de surveillance continue
24. L’institution autorisée doit examiner régulièrement ses politiques et procédures, et faire auditer de manière indépendante ses systèmes, contrôles et conformité aux exigences applicables en matière de custody des actifs numériques des clients.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News
