Bir başka düzenleyici kilometre taşı! ABD'nin üç büyük kurumu, banka şifreleme suç ortağı hizmetleri için yeni kılavuz yayınladı.

Bankaların şifreleme suç ortağı hizmeti sunması sıkı standartları karşılamalıdır

Fed, Federal Deposit Insurance Corporation (FDIC) ve Para Denetleme Ofisi (OCC) yakın zamanda birlikte yeni düzenlemeler yayımladı ve ABD bankalarının şifreleme para birimi suç ortağı hizmetleri sunarken uyması gereken uyum gereklilikleri ve risk yönetimi standartlarını belirtti. Ortak açıklamaya göre, bankalar şifreleme para birimi suç ortağı hizmetleri sunmak istediklerinde mevcut uyum gerekliliklerine ve risk yönetimi uygulamalarına uymak zorundadır ve odak noktası müşterilerin dijital varlıklarının güvenli depolanmasıdır. Bankalar, suç ortağı hizmetlerine iki farklı rol ile katılabilir:

1. Suç Ortağı Yönetici (Fiduciary Role): Yasal yükümlülükleri üstlenir, müşterinin şifreleme varlıklarını yönetir.
2. Suç Ortağı Olmayan Depolama Sağlayıcıları (Non-Fiduciary Role): Sadece güvenli depolama hizmeti sunar, varlık yönetimi ile ilgili değildir.

Eğer bankalar şifreleme varlıklarının özel anahtarını tutuyorsa, tüm sorumluluğu üstlenmeli ve müşterilerin veya diğer üçüncü şahısların anahtara erişemeyeceğinden emin olmalıdır. Düzenleyici kurumlar bunu "gerçek kontrol" (true control) ölçütü olarak adlandırmaktadır.

Ana Riskler ve Uyum Gereksinimleri

Regülatörler, bankaların şifreleme suç ortağı hizmetleri sunarken aşağıdaki risklere dikkat etmeleri gerektiğini belirtti:

• Özel anahtar kaybı veya çalınması (şifreleme anahtarı kaybı)
• Ağ güvenliği ihlalleri (cybersecurity breaches)
• Piyasa dalgalanma riski (market volatility)
• Kara Para Aklama ve Terörizmin Finansmanıyla Mücadele Yükümlülükleri (AML/CFT uyumu)

Bankaların güçlü bir iç kontrol sistemi kurması ve şifreleme suç ortağı sektöründeki en son gelişmeleri sürekli olarak izlemesi gerekmektedir. Ayrıca, kendi teknik kapasite ve uyum hazırlığı açısından yeterli olup olmadıklarını da değerlendirmeleri gerekmektedir, bunlar arasında:

• Gelişmiş işletim çerçevesi
• Şifreleme uzmanlığına sahip kişiler
• Dijital varlık risklerine karşı koyabilen gelişmiş teknolojiler

Üçüncü Taraf Suç Ortağı İşbirliği Sorumluluğu

Bankalar, üçüncü taraf şifreleme suç ortağı hizmet sağlayıcıları ile işbirliği yapmayı seçebilir, ancak düzenleyici otoriteler, bankaların herhangi bir hata için hala sorumlu olması gerektiğini vurgulamaktadır. İş ortaklarını seçerken, bankaların sıkı bir durum tespiti yapması ve aşağıdaki konulara odaklanması gerekmektedir:

• Özel anahtar depolama çözümü
• Varlıkların zarar görmesi veya hizmet sağlayıcının iflas etmesi durumunda acil durum maddeleri

Kara Para Aklama ve Kimlik Doğrulama Gereksinimleri

Bankalar, Kara Para Aklama (AML), Terörizmin Finansmanıyla Mücadele (CFT) ve Yurt Dışı Varlık Kontrol Ofisi (OFAC) düzenlemelerine uymalıdır, bunlar arasında:

• Müşteri Kimlik Doğrulama (KYC)
• Şüpheli işlem izleme

Blockchain'ın anonimliği nedeniyle, bu gereksinimler şifreleme alanında daha zorlayıcı olabilir.

Hukuk Belirginliği ve Akıllı Sözleşme Yönetimi

Regülatörler, bankaların şifreleme suç ortağı hizmetleri sunarken aşağıdaki hukuki meseleleri netleştirmelerini istemektedir:

• Zincir üzerindeki oy verme, çatallanma veya airdrop ile ulaşılmış şirket anlaşması
• Cüzdan yönetiminin sorumluluğu
• Akıllı sözleşmelerin kullanımı ve riskleri

Bağımsız Denetim ve Uzman Desteği

Bankalar, aşağıdaki alanları kapsayan bağımsız denetim prosedürleri oluşturmalıdır:

• Şifreleme suç ortağı güvenlik kontrolü
• Özel anahtar yönetim süreci
• Personel uzmanlık yetenekleri

Eğer içerde uzman yoksa, banka değerlendirme yapmak için üçüncü taraf denetim kuruluşları (third-party auditors) kiralayabilir.

Düzenleyici Rüzgarın Değişimi: Bankaların Şifreleme Suç Ortağı Kısıtlamalarının Kaldırılması

Bu yeni düzenlemenin yayınlanması, ABD Merkez Bankası'nın daha önce bankaların şifreleme suç ortağı hizmetlerine katılımını kısıtlayan itibar riski politikasının (reputational risk factor) sona erdiğini göstermektedir. Gelecekte, daha fazla uyumlu bankanın şifreleme suç ortağı pazarına girmesi ve kurumlar ile bireysel kullanıcılara daha güvenli dijital varlık depolama çözümleri sunması beklenmektedir.