Saltar para o conteúdo principal

A Divisão da Arquitetura de Custódia: Por que a Maioria dos Custodiantes de Cripto Não Consegue Atender aos Padrões Bancários dos EUA

· 15 min de leitura
Dora Noda
Dora Noda
Software Engineer

Aqui está um paradoxo que deve preocupar toda instituição que entra no setor cripto: alguns dos provedores de custódia mais proeminentes da indústria — Fireblocks e Copper entre eles — não podem legalmente atuar como custodiantes qualificados sob as regulamentações bancárias dos EUA, apesar de protegerem bilhões em ativos digitais.

O motivo? Uma escolha arquitetônica fundamental que parecia de ponta em 2018 agora cria uma barreira regulatória intransponível em 2026.

A Tecnologia que Dividiu a Indústria

O mercado de custódia institucional dividiu-se em dois campos anos atrás, cada um apostando em uma abordagem criptográfica diferente para proteger as chaves privadas.

Computação de Múltiplas Partes (MPC) divide uma chave privada em "fragmentos" criptografados distribuídos entre várias partes. Nenhum fragmento individual contém a chave completa. Quando as transações exigem assinatura, as partes coordenam-se por meio de um protocolo distribuído para gerar assinaturas válidas sem nunca reconstruir a chave completa. O apelo é óbvio: eliminar o "ponto único de falha", garantindo que nenhuma entidade jamais detenha o controle total.

Módulos de Segurança de Hardware (HSMs), por outro lado, armazenam chaves privadas completas dentro de dispositivos físicos certificados FIPS 140-2 Nível 3 ou Nível 4. Eles não são apenas resistentes a violações — eles são responsivos a violações. Quando os sensores detectam perfuração, manipulação de voltagem ou temperaturas extremas, o HSM apaga instantaneamente todo o material criptográfico antes que um invasor possa extrair as chaves. Todo o ciclo de vida criptográfico — geração, armazenamento, assinatura, destruição — ocorre dentro de um limite certificado que atende a rígidos padrões federais.

Por anos, ambas as abordagens coexistiram. Os provedores de MPC enfatizavam a impossibilidade teórica de comprometimento de chaves por meio de ataques de ponto único. Os defensores do HSM apontavam para décadas de segurança comprovada na infraestrutura bancária e conformidade regulatória inequívoca. O mercado os tratava como alternativas igualmente viáveis para a custódia institucional.

Então, os reguladores esclareceram o que "custodiante qualificado" realmente significa.

FIPS 140-3: O Padrão que Mudou Tudo

Os Padrões Federais de Processamento de Informações não existem para dificultar a vida dos engenheiros. Eles existem porque o governo dos EUA aprendeu — através de incidentes dolorosos e sigilosos — exatamente como os módulos criptográficos falham sob condições adversas.

O FIPS 140-3, que substituiu o FIPS 140-2 em março de 2019, estabelece quatro níveis de segurança para módulos criptográficos:

Nível 1 requer equipamento de nível de produção e algoritmos testados externamente. É a linha de base — necessária, mas insuficiente para proteger ativos de alto valor.

Nível 2 adiciona requisitos para evidência física de violação e autenticação baseada em funções. Os invasores podem comprometer com sucesso um módulo de Nível 2, mas deixarão rastros detectáveis.

Nível 3 exige resistência física a violações e autenticação baseada em identidade. As chaves privadas só podem entrar ou sair de forma criptografada. É aqui que os requisitos se tornam caros de implementar e impossíveis de falsificar. Os módulos de Nível 3 devem detectar e responder a tentativas de intrusão física — não apenas registrá-las para revisão posterior.

Nível 4 impõe proteções ativas contra violações: o módulo deve detectar ataques ambientais (picos de tensão, manipulação de temperatura, interferência eletromagnética) e destruir imediatamente dados sensíveis. A autenticação de múltiplos fatores torna-se obrigatória. Neste nível, o limite de segurança pode resistir a invasores de nível estatal com acesso físico ao dispositivo.

Para o status de custodiante qualificado sob as regulamentações bancárias dos EUA, a infraestrutura HSM deve demonstrar, no mínimo, a certificação FIPS 140-2 Nível 3. Isso não é uma sugestão ou uma prática recomendada. É um requisito rigoroso aplicado pelo Escritório do Controlador da Moeda (OCC), pelo Federal Reserve e pelos reguladores bancários estaduais.

Sistemas MPC baseados em software, por definição, não podem obter a certificação FIPS 140-2 ou 140-3 no Nível 3 ou superior. A certificação aplica-se a módulos criptográficos físicos com resistência a violações de hardware — uma categoria na qual as arquiteturas MPC fundamentalmente não se encaixam.

A Lacuna de Conformidade da Fireblocks e Copper

A Fireblocks Trust Company opera sob uma carta de confiança do Estado de Nova York regulada pelo Departamento de Serviços Financeiros de Nova York (NYDFS). A infraestrutura da empresa protege mais de US$ 10 trilhões em ativos digitais em 300 milhões de carteiras — uma conquista genuinamente impressionante que demonstra excelência operacional e confiança do mercado.

But "qualified custodian" under federal banking law is a specific term of art with precise requirements. Bancos nacionais, associações de poupança federais e bancos estaduais que são membros do sistema Federal Reserve são, presumivelmente, custodiantes qualificados. Empresas de confiança estaduais podem alcançar o status de custodiante qualificado se atenderem aos mesmos requisitos — incluindo gerenciamento de chaves apoiado por HSM que satisfaça os padrões FIPS.

A arquitetura da Fireblocks baseia-se na tecnologia MPC no backend. O modelo de segurança da empresa divide as chaves entre várias partes e usa protocolos criptográficos avançados para permitir a assinatura sem a reconstrução da chave. Para muitos casos de uso — especialmente negociação de alta velocidade, arbitragem entre corretoras e interações com protocolos DeFi — essa arquitetura oferece vantagens atraentes sobre os sistemas baseados em HSM.

Mas ela não atende ao padrão federal de custodiante qualificado para a custódia de ativos digitais.

A Copper enfrenta a mesma restrição fundamental. A plataforma destaca-se ao fornecer às empresas de fintech e corretoras uma movimentação rápida de ativos e infraestrutura de negociação. A tecnologia funciona. As operações são profissionais. O modelo de segurança é defensável para seus casos de uso pretendidos.

Nenhuma das empresas usa HSMs no backend. Ambas dependem da tecnologia MPC. Sob as interpretações regulatórias atuais, essa escolha arquitetônica as desqualifica de atuar como custodiantes qualificados para clientes institucionais sujeitos à supervisão bancária federal.

A SEC confirmou em orientações recentes que não recomendará ações de fiscalização contra consultores registrados ou fundos regulados que utilizem empresas de confiança estaduais como custodiantes qualificados para ativos cripto — mas apenas se a empresa de confiança estadual for autorizada por seu regulador a fornecer serviços de custódia e atender aos mesmos requisitos aplicáveis aos custodiantes qualificados tradicionais. Isso inclui infraestrutura HSM certificada pelo FIPS.

Não se trata de uma tecnologia ser "melhor" que a outra em termos absolutos. Trata-se de definições regulatórias que foram escritas quando a custódia criptográfica significava HSMs em instalações fisicamente protegidas, e que não foram atualizadas para acomodar alternativas baseadas em software.

O Fosso da Carta Federal da Anchorage Digital

Em janeiro de 2021, o Anchorage Digital Bank tornou-se a primeira empresa nativa de cripto a receber uma carta de banco fiduciário nacional do OCC. Cinco anos depois, continua a ser o único banco fretado federalmente focado principalmente na custódia de ativos digitais.

A carta do OCC não é apenas uma conquista regulatória. É um fosso competitivo que se torna mais valioso à medida que a adoção institucional acelera.

Os clientes que utilizam o Anchorage Digital Bank têm os seus ativos custodiados sob a mesma estrutura regulatória federal que governa o JPMorgan Chase e o Bank of New York Mellon. Isso inclui:

  • Requisitos de capital concebidos para garantir que o banco possa absorver perdas sem ameaçar os ativos dos clientes
  • Padrões de conformidade abrangentes aplicados através de exames regulares do OCC
  • Protocolos de segurança sujeitos à supervisão bancária federal, incluindo infraestrutura HSM certificada por FIPS
  • Certificação SOC 1 e SOC 2 Tipo II confirmando controlos internos eficazes

As métricas de desempenho operacional também importam. A Anchorage processa 90% das transações em menos de 20 minutos — competitiva com sistemas baseados em MPC que teoricamente deveriam ser mais rápidos devido à assinatura distribuída. A empresa construiu uma infraestrutura de custódia que instituições como a BlackRock selecionaram para operações de ETF de cripto à vista, um voto de confiança do maior gestor de ativos do mundo ao lançar produtos regulamentados.

Para entidades regulamentadas — fundos de pensão, dotações (endowments), companhias de seguros, consultores de investimento registados — a carta federal resolve um problema de conformidade que nenhuma quantidade de criptografia inovadora pode resolver. Quando os regulamentos exigem o estatuto de custodiante qualificado, e o estatuto de custodiante qualificado exige infraestrutura HSM validada sob os padrões FIPS, e apenas um banco nativo de cripto opera sob supervisão direta do OCC, a decisão de custódia torna-se direta.

A Oportunidade da Arquitetura Híbrida

O cenário da tecnologia de custódia não é estático. À medida que as instituições reconhecem as restrições regulatórias das soluções puras de MPC, está a surgir uma nova geração de arquiteturas híbridas.

Estes sistemas combinam HSMs validados FIPS 140-2 com protocolos MPC e controlos biométricos para proteção em várias camadas. O HSM fornece a base de conformidade regulatória e resistência física a adulterações. O MPC adiciona capacidades de assinatura distribuída e elimina pontos únicos de comprometimento. A biometria garante que, mesmo com credenciais válidas, as transações exijam verificação humana de pessoal autorizado.

Algumas plataformas de custódia avançadas operam agora como "agnósticas de temperatura" — capazes de alocar ativos dinamicamente entre armazenamento a frio (cold storage — HSMs em instalações fisicamente seguras), armazenamento morno (warm storage — HSMs com acesso mais rápido para necessidades operacionais) e carteiras quentes (hot wallets — para negociação de alta velocidade onde os milissegundos importam e os requisitos regulatórios são menos rigorosos).

Esta flexibilidade arquitetónica é importante porque diferentes tipos de ativos e casos de uso têm diferentes trocas entre segurança e acessibilidade:

  • Detenções de tesouraria de longo prazo: Segurança máxima em HSMs de armazenamento a frio em instalações FIPS Nível 4, com processos de levantamento de vários dias e múltiplas camadas de aprovação
  • Criação / resgate de ETF: HSMs de armazenamento morno que podem processar transações em escala institucional em poucas horas, mantendo a conformidade com o FIPS
  • Operações de negociação: Carteiras quentes com assinatura MPC para execução em sub-segundos, onde o provedor de custódia opera sob estruturas regulatórias diferentes dos custodiantes qualificados

A ideia fundamental é que a conformidade regulatória não é binária. Depende do contexto baseado no tipo de instituição, nos ativos detidos e no regime regulatório aplicável.

Padrões NIST e o Cenário em Evolução de 2026

Além da certificação FIPS, o National Institute of Standards and Technology (NIST) emergiu como a referência de cibersegurança para a custódia de ativos digitais em 2026.

As instituições financeiras que oferecem serviços de custódia devem, cada vez mais, cumprir requisitos operacionais alinhados com o NIST Cybersecurity Framework 2.0. Isso inclui:

  • Monitorização contínua e deteção de ameaças em toda a infraestrutura de custódia
  • Manuais de resposta a incidentes testados através de exercícios de simulação regulares
  • Segurança da cadeia de suprimentos para componentes de hardware e software em sistemas de custódia
  • Gestão de identidade e acesso com princípios de privilégio mínimo

A estrutura da Fireblocks alinha-se com o NIST CSF 2.0 e fornece um modelo para bancos que operacionalizam a governação de custódia. O desafio é que a conformidade com o NIST, embora necessária, não é suficiente para o estatuto de custodiante qualificado sob a lei bancária federal. É uma base de cibersegurança que se aplica a todos os provedores de custódia — mas não resolve o requisito subjacente de certificação FIPS para infraestrutura HSM.

À medida que as regulamentações de custódia de cripto amadurecem em 2026, estamos a ver uma delineação mais clara entre diferentes níveis regulatórios:

  • Bancos fretados pelo OCC: Supervisão bancária federal completa, estatuto de custodiante qualificado, requisitos de HSM
  • Empresas fiduciárias fretadas pelo estado: Regulação do NYDFS ou equivalente estadual, potencial estatuto de custodiante qualificado se apoiado por HSM
  • Provedores de custódia licenciados: Cumprem os requisitos de licenciamento estadual, mas não reivindicam o estatuto de custodiante qualificado
  • Plataformas tecnológicas: Fornecem infraestrutura de custódia sem deter diretamente os ativos dos clientes em seu próprio nome

A evolução regulatória não está a tornar a custódia mais simples. Está a criar categorias mais especializadas que correspondem aos requisitos de segurança aos perfis de risco institucional.

O que Isso Significa para a Adoção Institucional

A divisão na arquitetura de custódia tem implicações diretas para as instituições que alocam em ativos digitais em 2026:

Para consultores de investimentos registrados (RIAs), a regra de custódia da SEC exige que os ativos dos clientes sejam mantidos por custodiantes qualificados. Se a estrutura do seu fundo exigir o status de custodiante qualificado, os provedores baseados em MPC — independentemente de suas propriedades de segurança ou histórico operacional — não podem atender a esse requisito regulatório.

Para fundos de pensão públicos e dotações, os padrões fiduciários geralmente exigem custódia em instituições que atendam aos mesmos padrões de segurança e supervisão que os custodiantes de ativos tradicionais. Cartas bancárias estaduais ou cartas federais da OCC tornam-se pré-requisitos, o que estreita dramaticamente o campo de provedores viáveis.

Para tesourarias corporativas que acumulam Bitcoin ou stablecoins, o requisito de custodiante qualificado pode não se aplicar — mas a cobertura de seguro sim. Muitas apólices de seguro de custódia de nível institucional agora exigem infraestrutura HSM com certificação FIPS como condição de cobertura. O mercado de seguros está efetivamente impondo requisitos de módulos de segurança de hardware, mesmo onde os reguladores não os tornaram obrigatórios.

Para empresas nativas de cripto — exchanges, protocolos DeFi, mesas de negociação — o cálculo difere. A velocidade importa mais do que a classificação regulatória. A capacidade de mover ativos entre cadeias e integrar-se com contratos inteligentes importa mais do que a certificação FIPS. As plataformas de custódia baseadas em MPC se destacam nesses ambientes.

O erro é tratar a custódia como uma decisão única para todos. A arquitetura correta depende inteiramente de quem você é, do que você está mantendo e de qual estrutura regulatória se aplica.

O Caminho a Seguir

Até 2030, o mercado de custódia provavelmente terá se bifurcado em categorias distintas:

Custodiantes qualificados operando sob cartas federais da OCC ou cartas de confiança estaduais equivalentes, usando infraestrutura HSM, atendendo a instituições sujeitas a padrões fiduciários e regulamentações de custódia rigorosas.

Plataformas de tecnologia aproveitando MPC e outras técnicas criptográficas avançadas, atendendo a casos de uso onde a velocidade e a flexibilidade importam mais do que o status de custodiante qualificado, operando sob estruturas de licença de transmissão de dinheiro ou outras.

Provedores híbridos oferecendo tanto custódia qualificada apoiada por HSM para produtos regulamentados quanto soluções baseadas em MPC para necessidades operacionais, permitindo que as instituições aloquem ativos entre modelos de segurança com base em requisitos específicos.

A pergunta para as instituições que entrarem no mercado cripto em 2026 não é "qual provedor de custódia é o melhor?". É "qual arquitetura de custódia corresponde às nossas obrigações regulatórias, tolerância ao risco e necessidades operacionais?".

Para muitas instituições, essa resposta aponta para custodiantes regulamentados federalmente com infraestrutura HSM com certificação FIPS. Para outras, a flexibilidade e a velocidade das plataformas baseadas em MPC superam a classificação de custodiante qualificado.

O amadurecimento da indústria significa reconhecer essas compensações em vez de fingir que elas não existem.

À medida que a infraestrutura de blockchain continua evoluindo em direção aos padrões institucionais, o acesso confiável a APIs para diversas redes torna-se essencial para os construtores. BlockEden.xyz fornece endpoints RPC de nível empresarial em todas as principais cadeias, permitindo que os desenvolvedores se concentrem em aplicações em vez de operações de nós.

Fontes

Share on Twitter