- A Canadian Investment Regulatory Organization (CIRO) lançou, de forma provisória, o Digital Asset Custody Framework para endurecer a guarda de ativos digitais e reduzir perdas com hacks e fraudes.
- O modelo estabelece quatro níveis de custodiantes, com limites proporcionais ao capital, supervisão regulatória, seguro e resiliência operacional; custodians de primeira linha podem manter até 100% dos ativos, enquanto o Tier 4 fica até 40%.
- Custodiantes que optarem por custodiar internamente ficam limitados a 20% do valor total dos ativos dos clientes.
- Exigem governança formal, controles de cibersegurança, resposta a incidentes, gestão de risco de terceiros, além de seguros, auditorias independentes, testes de penetração e relatórios de conformidade.
- As regras são temporárias e entram por meio de termos de adesão, com a CIRO podendo agir rapidamente; o movimento ocorre após histórico de fiscalização e multas do FINTRAC relacionados a plataformas de criptomoedas.
A organização reguladora de investimentos do Canadá divulgou regras de custódia de ativos digitais com o objetivo de reduzir perdas associadas a hacks, fraudes e fraqueza de governança. As normas são apresentadas como medidas intermediárias e entram em vigor por meio de termos de adesão dos membros da CIRO, permitindo resposta rápida a riscos emergentes.
A estrutura busca enfrentar riscos tecnológicos, operacionais e legais únicos dos ativos digitais, baseando-se em lições de falhas anteriores. O foco está em maior governança, seguros e auditorias, aliando proteção aos investidores com espaço para inovação.
Nova estrutura de custódia por camadas
A CIRO apresenta um modelo de quatro níveis, definido pela força de capital, supervisão regulatória, cobertura de seguros e resiliência operacional. Custodiantes de top-tier podem manter até 100% dos ativos dos clientes.
Os provedores de camadas inferiores têm limites progressivamente menores. Camada 4 é limitada a 40% dos ativos. Usuários que mantêm ativos internamente ficam limitados a 20%.
Entre os requisitos operacionais, o framework exige políticas formais de governança para gestão de chaves privadas, controles de cibersegurança, procedimentos de resposta a incidentes e gestão de riscos de terceiros.
As instituições devem manter seguro, passar por auditorias independentes, apresentar relatórios de conformidade de segurança e realizar testes de penetração regulares. Contratos de custódia devem detalhar responsabilidade em casos de negligência.
A CIRO afirma que a abordagem é proporcional, buscando equilíbrio entre proteção ao investidor e estímulo à inovação e competição. O trabalho foi feito em consulta com plataformas, custodians e participantes da indústria, comparando com práticas internacionais.
Contexto regulatório e fiscalização
A medida ocorre em um momento de maior fiscalização de conformidade no Canadá. Em outubro, a FINTRAC multou a exchange Cryptomus em cerca de 126 milhões de dólares por não reportar transações suspeitas ligadas a mercados darknet.
Antes, a FINTRAC também puniu plataformas offshore como KuCoin e Binance por falhas semelhantes. Como órgão autorregulador, a CIRO pode investigar condutas de seus membros e aplicar sanções, incluindo multas e suspensão.
Ainda, o Canadá se prepara para lançar o primeiro arcabouço abrangente para stablecoins lastreadas em fiat, previsto no orçamento federal de 2025. O Bank of Canada deve investir 10 milhões de dólares em dois anos para coordenar a implementação.
Panorama internacional
A movimentação canadense acompanha o impulso regulatório global, inspirado também pela aprovação norte-americana do GENIUS Act, em julho, que elevou o escrutínio sobre stablecoins. O objetivo em ambos os casos é reduzir riscos sistêmicos sem sufocar a inovação.
Entre na conversa da comunidade