As três entidades de supervisão do sistema financeiro norte-americano — o Gabinete do Controlador da Moeda (OCC), o Conselho de Governadores do Sistema da Reserva Federal (Board) e a Federal Deposit Insurance Corporation (FDIC) — emitiram uma declaração conjunta dirigida às instituições bancárias que prestam ou pretendam prestar serviços de custódia de criptoativos.

Na referida declaração, os supervisores reconhecem que os bancos que guardam criptoativos em nome dos clientes (custódia) podem também disponibilizar outros serviços relacionados com a gestão de ativos digitais. No entanto, a presente recomendação aplica-se exclusivamente à vertente de guarda de criptoativos.

“As organizações bancárias podem prestar serviços de custódia de criptoativos numa capacidade fiduciária (gerindo ativos em nome de terceiros) ou não fiduciária (gerindo ativos por conta própria). As organizações bancárias que prestem serviços de custódia de criptoativos numa capacidade fiduciária devem cumprir as disposições constantes das normas 12 CFR 9 ou 150, que estabelecem os procedimentos de segurança e de transparência da informação a fornecer aos clientes”, refere o documento dos supervisores.

Essas diretrizes determinam que as instituições financeiras devem desenvolver e implementar programas escritos de segurança da informação que incluam medidas administrativas, técnicas e físicas de proteção. Os bancos são obrigados a identificar potenciais ameaças à informação dos clientes, avaliar a sua probabilidade e os possíveis danos, bem como analisar a eficácia das medidas de proteção existentes.

Os supervisores acrescentam ainda que as instituições financeiras devem impor contratualmente aos prestadores de serviços terceiros que tenham acesso à informação dos clientes a obrigação de proteger esses dados. Devem igualmente assegurar a eliminação de informação de consumidores considerada não relevante, de modo a prevenir o acesso ou a utilização não autorizada. Em caso de acesso indevido, as instituições devem avaliar a probabilidade de utilização abusiva e notificar o cliente afetado.

“Uma organização bancária que preste serviços de custódia de criptoativos numa capacidade fiduciária — como, por exemplo, um trustee (fiduciário), um executor testamentário, um administrador de herança ou um consultor de investimentos — tem autoridade para os gerir da mesma forma que as organizações bancárias gerem outros ativos que detêm enquanto fiduciárias”, referem as entidades.