Regulator Keuangan AS Beri Panduan untuk Bank yang Menyimpan Aset Kripto

Tiga lembaga regulator utama di Amerika Serikat—OCC, Federal Reserve (The Fed), dan FDIC—mengeluarkan pernyataan bersama mengenai bagaimana aturan perbankan yang sudah ada diterapkan ketika bank menyimpan aset kripto untuk nasabah (layanan yang dikenal sebagai custody kripto). Mereka menegaskan bahwa panduan ini bukan aturan baru, melainkan penjelasan atas aturan yang sudah berlaku.

Fokus Utama: Kendali atas Private Key

Regulator menekankan bahwa layanan custody kripto sangat bergantung pada pengamanan private key, yaitu semacam kata sandi rahasia yang mengontrol akses ke aset digital. Bank harus bisa memastikan bahwa tidak ada pihak lain—termasuk nasabah—yang bisa memindahkan aset kripto secara sepihak setelah disimpan.

Bank juga harus memastikan mereka memiliki sistem, teknologi, dan staf yang cukup terlatih untuk menjaga keamanan aset tersebut. Ini termasuk jenis dompet digital (wallet), rencana darurat, dan pengawasan internal yang memadai.

Manajemen Risiko

Bank diminta untuk mempertimbangkan berbagai risiko dalam dunia kripto, seperti volatilitas harga dan perubahan teknologi yang cepat, saat memutuskan berapa banyak sumber daya (modal dan tenaga kerja) yang dialokasikan untuk layanan custody.

Bank juga harus secara berkala meninjau perangkat lunak dan sistem blockchain dari aset kripto yang mereka dukung, untuk mendeteksi potensi celah keamanan.

Kepatuhan dan Pengawasan Pihak Ketiga

Layanan custody kripto wajib mengikuti aturan hukum yang berlaku, termasuk:

• Pencegahan pencucian uang (AML)
• Pendanaan terorisme
• Identifikasi nasabah (seperti “travel rule”)
• Sanksi dari Office of Foreign Assets Control (OFAC)

Manajemen senior dan petugas kepatuhan (compliance officer) harus dilibatkan sejak awal untuk menilai potensi risiko dan memastikan adanya kontrol internal.

Jika bank menggunakan penyedia jasa pihak ketiga (sub-custodian) untuk menyimpan kripto, bank tetap bertanggung jawab atas keamanan dan kepatuhan penyedia tersebut. Bank harus meninjau cara pengelolaan private key, pemisahan aset, serta perlindungan terhadap risiko kebangkrutan sebelum menandatangani kontrak.

Bank juga harus memiliki prosedur pelaporan jika terjadi pelanggaran keamanan atau gangguan operasional.

Bahkan jika bank menyimpan aset secara langsung tapi memakai software dari pihak ketiga, maka prosedur pengawasan risiko vendor juga harus tetap diterapkan.

Audit dan Bantuan Ahli

Regulator meminta auditor internal maupun eksternal bank untuk memeriksa aspek teknis terkait kripto, seperti proses pembuatan private key, keamanan wallet, dan kontrol atas transaksi on-chain.

Jika tim internal tidak memiliki keahlian yang cukup, maka bank harus menyewa ahli independen yang dapat mengaudit sistem dan langsung melapor ke komite audit.

Kesimpulan

Regulator menegaskan bahwa aturan perbankan yang berlaku saat ini sudah cukup untuk menjadi dasar bagi bank yang ingin menyediakan layanan penyimpanan aset kripto.

Namun, bank harus mampu membuktikan bahwa mereka dapat:

• Mengendalikan private key dengan aman
• Mengelola vendor secara bertanggung jawab
• Patuh terhadap aturan kejahatan keuangan secara real-time