Custodia de criptomonedas aprobada por la OCC: lo que las instituciones deben saber

Puntos clave: 

• La Oficina del Contralor de la Moneda (OCC) ha confirmado que los bancos nacionales pueden salvaguardar los activos digitales como parte de su autoridad de custodia existente, siempre que las actividades se lleven a cabo de manera segura y sólida.

• La claridad normativa ha aumentado, pero la preparación operativa sigue siendo desigual, ya que muchas instituciones aún carecen de la arquitectura de gestión, los procesos de gobernanza y los marcos de cumplimiento necesarios para la custodia de activos digitales.

• Los bancos que deseen ofrecer servicios de custodia de criptomonedas deben demostrar que cuentan con controles rigurosos, una alineación supervisora y una supervisión continua en materia de tecnología, gestión de riesgos y operaciones.

• La custodia de criptomonedas por parte de la OCC se considera ahora una actividad bancaria regulada según las directrices en evolución de la OCC, lo que exige a las instituciones traducir los permisos de las políticas en una ejecución defendible.

Por qué los bancos están avanzando hacia la custodia regulada de activos digitales

Los inversores institucionales buscan cada vez más la custodia de activos digitales supervisada por bancos como una alternativa más segura a las soluciones basadas en intercambios. Con la orientación de la Oficina del Contralor de la Moneda (OCC) que confirma que la custodia de activos digitales es permisible cuando está respaldada por controles sólidos, los bancos tienen un camino regulatorio claro por delante. El desafío ahora es la ejecución.

La custodia de activos digitales introduce nuevos riesgos técnicos y operativos que los sistemas tradicionales no estaban diseñados para gestionar. Los supervisores de la OCC esperan que las instituciones demuestren un dominio claro de la protección de claves privadas, la gobernanza de las transacciones y la visibilidad de las auditorías en cada paso del movimiento de activos. Para cumplir con ese requisito se necesitan marcos actualizados, controles perfeccionados e infraestructuras creadas específicamente para los activos digitales, en lugar de adaptadas a partir de modelos heredados.

Comprender cómo evalúa la OCC estos programas es la base para crear servicios de custodia que cumplan con las expectativas institucionales y normativas.

Comprensión de las directrices de la OCC sobre la custodia de criptomonedas

La OCC ha hecho hincapié en que la custodia de criptoactivos se considera una actividad de custodia en el marco de la autoridad bancaria existente, y no una nueva línea de negocio. Las cartas interpretativas 1170, 1172 y 1174 de la OCC aclaran que los bancos nacionales y las asociaciones de ahorro federales pueden custodiar activos digitales, incluso mediante la protección de claves privadas, cuando los programas funcionan de manera segura y sólida. La agencia también reconoce que los bancos pueden mantener reservas para los emisores de monedas estables si se controlan los riesgos. Las recientes directrices de la OCC sobre criptomonedas establecen que la custodia de criptomonedas es una actividad bancaria permitida cuando se apoya en una gobernanza y unos controles adecuados.

Según las expectativas actuales de la OCC, los bancos deben notificar por escrito a la OCC antes de lanzar servicios de custodia de criptomonedas y someterse a una revisión supervisora de los controles, la gobernanza y el modelo operativo que proponen. La aprobación es específica para cada actividad y depende de la capacidad de la institución para demostrar que sus operaciones son sólidas, y la OCC se reserva la autoridad para imponer condiciones o exigir controles adicionales a lo largo del tiempo.

Todas las actividades de custodia de criptomonedas se evalúan según las normas bancarias tradicionales de la OCC, en lugar de un marco regulatorio independiente o novedoso.

Estas cartas establecen los límites, pero no garantizan la aprobación automática. Las instituciones deben demostrar cómo funciona su programa de custodia, cómo se mitigan los riesgos y cómo se cumplirán las expectativas de supervisión a lo largo del tiempo. La OCC revisa la custodia de activos digitales prestando especial atención a los controles técnicos, la postura de ciberseguridad, la dotación de personal y la documentación. El permiso es solo el punto de partida. Se debe demostrar que se está preparado.

En la práctica, la retroalimentación de la supervisión puede limitar los tipos de activos respaldados o las contrapartes, y los permisos pueden evolucionar a medida que la OCC evalúa el rendimiento continuo de la institución.

Lo que los bancos deben hacer para cumplir con las expectativas de la OCC

La OCC evalúa la custodia de activos digitales basándose en la solidez de los controles de una institución. Los bancos deben demostrar que su entorno protege las claves privadas, aplica la segregación de funciones y admite una gobernanza de las transacciones predecible y trazable.

Las expectativas de la OCC van más allá de la tecnología y abarcan también la gobernanza. Se espera que los bancos adopten políticas sobre activos digitales aprobadas por el consejo de administración y respaldadas por evaluaciones de riesgos internas que aborden los riesgos legales, operativos, reputacionales y de cumplimiento asociados a la custodia de criptomonedas.

La gestión de claves es fundamental. Las instituciones necesitan entornos de firma reforzados, una estricta compartimentación del acceso y salvaguardias que impidan el movimiento unilateral de activos.

La OCC también evalúa la coherencia de los controles de las transacciones. Los bancos deben aplicar normas de aprobación, listas blancas, límites y procesos de supervisión que produzcan resultados fiables. Los registros claros ayudan a los supervisores y a los equipos de auditoría a confirmar que la gobernanza funciona según lo previsto.

Las expectativas en materia de ciberseguridad y resiliencia reflejan la naturaleza de alto riesgo de la custodia de activos digitales. Las instituciones deben mantener informes SOC, pruebas de penetración, procedimientos de respuesta a incidentes y planes de continuidad que protejan contra pérdidas irreversibles.

La documentación es igualmente importante. Los bancos también deben proporcionar análisis de actividades permitidas, mapas de control de riesgos, descripciones de flujos de trabajo y pruebas de que cada componente del programa respalda operaciones seguras y sólidas.

Estos programas también deben garantizar que las obligaciones de la BSA y la AML se extiendan plenamente a los activos digitales, incluyendo la supervisión de los SAR, el control de sanciones y la diligencia debida con respecto a los clientes específica para la actividad en cadena.

Por último, la gestión de proveedores desempeña un papel fundamental. Las instituciones deben aplicar una rigurosa supervisión de los riesgos de terceros a cualquier infraestructura externa que respalde las funciones de custodia.

Un camino práctico hacia la preparación de los activos digitales

Los bancos que tienen éxito en la custodia de activos digitales siguen un proceso de preparación que alinea los procesos internos con las expectativas de los organismos supervisores. El proceso suele comenzar con una evaluación de riesgos que identifica los activos admitidos, los segmentos de clientes y el modelo de custodia que la institución pretende aplicar. Este análisis sirve de marco tanto para el diseño interno del programa como para el diálogo inicial con los organismos supervisores.

A continuación, las instituciones preparan su base normativa. Esto incluye redactar memorandos sobre actividades permitidas, documentar marcos de control y recopilar los materiales que demuestran la alineación con las expectativas de la OCC.

La planificación de la infraestructura define cómo funcionarán la gestión clave, los flujos de trabajo de firma, los controles de políticas, las herramientas de supervisión y los procesos de conciliación. Estas decisiones determinan los modelos de dotación de personal, los requisitos de formación y los flujos de trabajo de auditoría.

Los equipos de riesgo y cumplimiento amplían sus marcos para incorporar análisis de blockchain, detección de sanciones, supervisión de eventos y respuesta a incidentes. Los activos digitales introducen nuevas señales que requieren procedimientos actualizados y una supervisión especializada.

Los flujos de trabajo operativos ponen en práctica el diseño. Los bancos documentan la incorporación, las aprobaciones, las liquidaciones, las conciliaciones y la gestión de excepciones. Estos flujos de trabajo deben ser medibles, repetibles y auditables.

El proceso de preparación concluye con estructuras de ciberseguridad, recuperación ante desastres y seguros que demuestran a los supervisores que la institución puede proteger los activos de los clientes en condiciones adversas.

Por qué los bancos eligen BitGo para la custodia alineada con la OCC

La OCC ha hecho que la custodia de activos digitales sea accesible para determinadas instituciones que pueden demostrar control, disciplina y resiliencia operativa. Los bancos que se basan en sólidos fundamentos técnicos y procesos transparentes avanzarán más rápido, se enfrentarán a menos retos de supervisión y se ganarán la confianza duradera de los clientes. BitGo proporciona la infraestructura que ayuda a las instituciones a cumplir estas expectativas con claridad, confianza y rapidez.

En 2025, la OCC emitió una autorización para que BitGo operara bajo una carta fiduciaria nacional, sujeta a condiciones y requisitos de supervisión continuos. Esta condición coloca a BitGo bajo la supervisión federal directa y alinea su infraestructura de custodia con el mismo marco regulatorio y las mismas normas de supervisión descritas en las directrices de la OCC.

En ese marco, BitGo proporciona una infraestructura de nivel institucional diseñada para cumplir con las expectativas de la OCC, que incluye la gestión de claves basada en MPC, que elimina los puntos únicos de fallo, controles de políticas granulares que respaldan una gobernanza coherente de las transacciones y un entorno operativo auditado creado para garantizar la transparencia y la resiliencia.

Las instituciones utilizan BitGo para reforzar la gestión de claves, respaldar la documentación de supervisión e integrar la aplicación de políticas con los sistemas de cumplimiento normativo. La madurez operativa y la presencia global de BitGo en materia de licencias proporcionan a los bancos una base fiable para poner en marcha programas de custodia que se ajustan a las normas de supervisión y los requisitos institucionales, lo que ayuda a las instituciones a adentrarse con rapidez y confianza en el ámbito de los activos digitales.

Preguntas frecuentes

¿Qué ha dicho la OCC sobre los bancos que ofrecen servicios de custodia de criptomonedas?

La OCC ha confirmado que los bancos nacionales pueden ofrecer servicios de custodia de activos digitales si demuestran una sólida gestión de riesgos, controles internos y el cumplimiento de prácticas seguras y sólidas.

¿Qué tipos de bancos pueden ofrecer servicios de custodia de criptomonedas supervisados por la OCC?

Los bancos nacionales y las asociaciones federales de ahorro pueden ofrecer servicios de custodia de activos digitales cuando sus operaciones se ajusten a las expectativas de la OCC.

¿Qué medidas operativas deben adoptar los bancos para poner en marcha la custodia de criptomonedas?

Los bancos deben desarrollar una gestión segura de claves, gobernanza de transacciones, protecciones de ciberseguridad, documentación de supervisión y flujos de trabajo operativos adaptados a los activos digitales.

¿Cómo deben abordar los bancos la gestión de riesgos para la custodia de activos digitales?

Las instituciones deben integrar el análisis de cadenas de bloques, la detección de sanciones, las herramientas de supervisión y la documentación preparada para auditorías en marcos más amplios de riesgo y cumplimiento.

¿Cómo pueden los bancos asociarse con proveedores de infraestructura para cumplir con las expectativas de la OCC?

Los bancos suelen trabajar con proveedores de infraestructura de activos digitales regulados para acceder a la gestión de claves, la aplicación de políticas, las integraciones de cumplimiento normativo y los entornos técnicos resilientes que respaldan la preparación a nivel de la OCC.