Az Európai Értékpapír-piaci Hatóság (ESMA) összehangolt felügyeleti vizsgálatot indít annak ellenőrzésére, hogyan védik a kriptós szolgáltatók az ügyfelek náluk tartott eszközeit. A nemzeti hatóságok a privát kulcsok kezelésétől az incidensek felismerésén át a külső technológiai szolgáltatók használatáig több területet is átvilágítanak.
A vizsgálatot tegnap jelentették be, egy héttel azután, hogy véget ért az Európai Unió MiCA-rendelete alapján alkalmazható türelmi időszak. Az ESMA szerint a szabályozói figyelem a jövőben az engedélyek kiadásáról egyre inkább a szolgáltatók tényleges működésére helyeződik át.
Ellenőrzik a privát kulcsok kezelését
A most induló ellenőrzés nem terjed ki automatikusan valamennyi uniós kriptotőzsdére és letétkezelőre, az első körben a nemzeti hatóságok kockázati alapon választhatnak majd a MiCA-engedéllyel rendelkező kriptoeszköz-szolgáltatók közül.
A vizsgálat egyik kiemelt eleme a kriptoeszközök letétkezelésének ellenőrzése lesz. Ez az a szolgáltatás, aminek során egy tőzsde vagy más piaci szereplő az ügyfél helyett őrzi meg a hozzá beutalt, vagy nála megvásárolt kriptoeszközöket, illetve az azok eléréséhez szükséges adatokat, jellemzően a privát kulcsokat.
Mivel a hozzáférést a szolgáltató kezeli, egy technikai hiba, kibertámadás, hibás tranzakció-engedélyezési folyamat vagy belső visszaélés közvetlenül veszélyeztetheti az ügyfélvagyont.
A felügyeleti akció többek között azt ellenőrzi, hogy a gyakorlatban hogyan néz ki a privát kulcsok és a tárolási rendszerek kezelése, a tranzakciók jóváhagyása és ellenőrzése, a biztonsági incidensek felismerése és kezelése, a belső felügyeleti rendszer működése, az okosszerződésekből eredő kockázatok kezelése, valamint a külső informatikai és infrastrukturális szolgáltatóktól való függés.
A MiCA előírja az ügyfélvagyon elkülönítését
A MiCA külön szabályokat tartalmaz az ügyfelek kriptoeszközeinek letétkezelésére. A szolgáltatóknak ügyfelenként pontos nyilvántartást kell vezetniük, belső letétkezelési szabályzatot kell kialakítaniuk, és olyan eljárásokat kell működtetniük, amelyek csökkentik a csalásból, kibertámadásból vagy gondatlanságból eredő veszteségek kockázatát.
A rendelet azt is előírja, hogy az ügyfelek eszközeit jogilag és működési szempontból el kell különíteni a szolgáltató saját vagyonától. Ennek elsősorban egy esetleges tőzsdei fizetésképtelenség esetén van jelentősége, mert így az ügyfelek nevében őrzött kriptoeszközökre a vállalat hitelezői sem támaszthatnak követelést.
A szolgáltatóknak rendelkezniük kell az eszközök gyors visszaadását biztosító eljárásokkal is. Amennyiben egy szolgáltatónak felróható esemény veszteséget okoz az ügyfeleknek, a MiCA alapján a veszteségkori piaci értékéig felelősség terheli az elveszett eszközökért.
A jogszabályi követelmények megléte ugyanakkor önmagában nem mutatja meg, hogy egy platform technikai rendszerei mennyire ellenállók. Az ESMA vizsgálata azt szeretné feltárni, hogy az engedély megszerzéséhez benyújtott dokumentumok tartalma és a napi működési gyakorlatok között vannak-e olyan eltérések, amelyek csak egy részletes felügyeleti ellenőrzés során válnak láthatóvá.
A külső szolgáltatók is kockázatot jelenthetnek
A kriptós letétkezelés gyakran több vállalat és technológiai rendszer együttműködésére épül. Egy kereskedési platform használhat külső tárcaszolgáltatót, felhőalapú infrastruktúrát, blokkláncelemző rendszert vagy tranzakció-jóváhagyási megoldást is.
A gyakorlatban ez azt jelenti, hogy az ügyfélvagyon biztonsága nem feltétlenül kizárólag csak annak a tőzsdének a rendszereitől függ, amelynek felületén az ügyfél az egyenlegét látja. Egy külső technológiai partner hibája vagy kiesése a teljes szolgáltatási láncra hatással lehet.
Az ESMA emiatt szeretné megállapítani, hogy a szolgáltatók feltérképezték-e ezeket a kockázatokat, rendelkeznek-e alternatív megoldásokkal, és képesek-e egy ezeket érintő incidens után is helyreállítani a működésüket.
2027 második felében készülhet el az összesítés
A nemzeti felügyeleti hatóságok 2026 második felétől 2027 első feléig végzik el az ellenőrzéseket a kiválasztott szolgáltatóknál. A MiCA egységes uniós keretet hozott létre a kriptoeszköz-szolgáltatók számára, de a közvetlen felügyelet továbbra is elsősorban a tagállami hatóságok feladata. Az ESMA szerepe többek között az, hogy közelítse egymáshoz a különböző országok felügyeleti gyakorlatát.
Ez azért lényeges, mert ugyanazokat a MiCA-szabályokat az egyes tagállami hatóságok eltérő tapasztalattal, erőforrásokkal és ellenőrzési módszerekkel alkalmazhatják. A közös vizsgálat során összegyűjtött tapasztalatok segíthetnek abban, hogy az értékelések hasonló módszerek és elvek szerint történjenek az EU különböző országaiban.
Az ESMA az összesített tagállami tapasztalatokat várhatóan 2027 második felében nyújtja be a felügyeleti tanácsának. A közlemény nem részletezi, hogy az esetlegesen feltárt hiányosságok milyen intézkedéseket vonhatnak maguk után. Az ellenőrzések következményeit a nemzeti felügyeletek saját hatáskörükben kezelhetik.
A MiCA első szakaszában az volt a központi kérdés, hogy mely vállalatok kapnak engedélyt az uniós működésre. A következő időszakban viszont egyre inkább az kerül előtérbe, hogy az engedéllyel rendelkező szolgáltatók tényleg betartják-e a szabályokat, és hogy válsághelyzetben is képesek-e megvédeni az ügyfelek eszközeit.



