La SEC actualiza las reglas en secreto! Goldman Sachs y Morgan Stanley pueden reclamar el «control» de las claves privadas de los usuarios

La Comisión de Bolsa y Valores de EE. UU. (SEC) actualizó discretamente el 17 de diciembre las preguntas frecuentes sobre activos criptográficos, aclarando cómo los corredores y dealers como Morgan Stanley, Goldman Sachs y otros cumplen con los requisitos de custodia y capital para valores de activos criptográficos. La transformación clave radica en que los corredores pueden reivindicar «control» sobre los activos criptográficos de los clientes mediante «lugares de control calificados» y derechos de instrucciones escritas, sin necesidad de poseer las claves privadas en realidad. El personal de la SEC retiró la dependencia de la protección de puerto seguro para los corredores de propósito especial (SPBD).

De la posesión real al control por escrito: una revolución regulatoria

(Fuente: SEC)

El núcleo de esta actualización de la SEC es cambiar la definición de «control» de «posesión real de la clave privada» a «demostrar capacidad de control mediante contratos y procedimientos». Para los valores de activos criptográficos, el personal indica que, incluso si la herramienta no tiene certificado, los corredores pueden establecer «control» mediante el uso de lugares de control calificados, según la regla 15c3-3©. Aunque esta formulación parece un ajuste técnico, en realidad cambia radicalmente la naturaleza de la custodia.

En la filosofía criptográfica tradicional, «Not your keys, not your coins» (si no tienes tus claves, no son tus monedas) es una regla de oro. Pero la nueva regulación de la SEC permite a los corredores reivindicar control a través de los siguientes medios: claves en módulos de seguridad hardware (HSM) que poseen, lugares de control bancarios con derechos de instrucciones escritas, o derechos de firma y procedimientos diseñados para cumplir con arreglos de múltiples firmas que satisfagan las expectativas de control.

¿Qué significa esto? En la práctica, Morgan Stanley o Goldman Sachs pueden firmar contratos con un banco o una institución de custodia, acordando «que tenemos el derecho de indicar transferencias de activos criptográficos de los clientes», sin poseer en realidad las claves privadas. Siempre que el lenguaje contractual sea conforme a los requisitos de la SEC, los procedimientos internos sean adecuados y la trazabilidad de auditoría sea clara, se puede cumplir con el estándar de «control».

Tres modos de control de claves en la nueva regulación de la SEC

Modo de custodia propia del corredor: control directo de las claves (HSM o firmas múltiples), proporcionando evidencia directa comparable a 15c3-3©, pero con riesgos de control en red y seguros.

Modo de subcustodia bancaria: el banco como lugar de control mantiene las claves, el corredor tiene derechos de instrucciones mediante contrato, con un alcance de custodia familiar, pero los términos contractuales deben demostrar capacidad de control.

Modo de custodia mediante contratos inteligentes: firmas múltiples entre el corredor y el agente de transferencia, control programático, aunque aún no está claro cómo el equipo de revisión prueba el «control».

Este cambio pone más énfasis en el lenguaje contractual, la gobernanza clave y la capacidad de demostrar control a largo plazo mediante trazabilidad de auditoría. Resúmenes de firmas como Sullivan & Cromwell y Sidley Austin destacan que las prácticas del personal amplían las vías para que los corredores demuestren control sin depender del estatus de SPBD como predeterminado.

Impacto profundo de la eliminación del puerto seguro SPBD

El personal indica que este enfoque reduce la dependencia del puerto seguro para corredores de propósito especial (SPBD), que anteriormente era la principal vía para demostrar control sobre estos valores. Los SPBD son un marco regulatorio diseñado específicamente para la custodia de activos digitales, con requisitos estrictos, incluyendo requisitos de capital independientes, sistemas de control de riesgos especializados y auditorías periódicas.

Eliminar a los SPBD como vía necesaria, superficialmente, reduce la barrera de entrada para los corredores en la custodia de criptomonedas, pero en realidad crea un área gris mayor. Bajo el marco SPBD, las reglas eran claras y estrictas, y tanto los corredores como los reguladores sabían qué esperar. Ahora, la demostración de «control» se convierte en un arte de «lenguaje contractual» y «procedimientos internos», con un margen de interpretación mucho mayor.

La declaración conjunta de la SEC y FINRA de 2019 sobre la custodia de valores digitales por parte de corredores ya fue marcada como retirada en la página de la SEC, y FINRA emitió una notificación similar. Esa declaración de 2019 fue la «estrella polar» de la industria, proporcionando directrices claras de cumplimiento. Tras su retirada, el «norte» para la custodia de corredores se reduce a las preguntas frecuentes, que carecen de la fuerza legal de una declaración formal.

El momento de esta retirada es interesante. La administración Trump promovió políticas amigables con las criptomonedas, la SEC cambió a su presidente a Paul Atkins, y la Reserva Federal retiró en 2023 las políticas que limitaban las operaciones bancarias con criptomonedas. Todas estas acciones apuntan a «bajar barreras y fomentar la participación». Pero, ¿a qué costo? Posiblemente, a una menor protección para los clientes.

Vacío de protección para criptomonedas no valoradas como valores

Para las criptomonedas que no son valores, el personal reafirmó que la regla 15c3-3(b) de «posesión o control» no se aplica, dejando a estas criptomonedas fuera del alcance de los mecanismos de protección al cliente que rigen los valores. Esto es sumamente importante y fácil de pasar por alto: cuando almacenas Bitcoin o Ethereum en los servicios de custodia criptográfica de Morgan Stanley, no están protegidos por las reglas tradicionales de protección al cliente de la custodia de valores.

La custodia tradicional de valores requiere estrictas separaciones, donde los activos de los clientes se mantienen separados de los activos propios del corredor, y en caso de quiebra del corredor, los activos de los clientes no se liquidan. Pero las criptomonedas no valoradas como valores están excluidas de estas protecciones. Si el corredor quiebra o es hackeado, los clientes podrían perder sus activos sin posibilidad de reclamación.

La actualización del 17 de diciembre aclara las cosas para las empresas orientadas al retail, que aún deben divulgar claramente qué protecciones aplican y cuáles no. Sin embargo, ¿cuántos inversores minoristas leerán cuidadosamente estos avisos? La mayoría asumirá que «custodia de Morgan Stanley» implica protección bancaria de nivel, cuando en realidad puede no ser así.

La comisionada de la SEC, Hester Peirce, describió las preguntas frecuentes del personal como un enfoque progresivo, señalando que la guía puede reducir las fricciones para que los participantes del mercado intenten incorporar actividades en cadena en el marco regulatorio existente. Esta formulación oficial enfatiza «reducir fricciones» y «fomentar la participación», pero minimiza la posible debilitación de la protección al cliente.

Para los corredores que dependen de la subcustodia bancaria como vía de control, la Reserva Federal en abril de 2025 retiró una notificación previa sobre ciertos activos criptográficos, trasladando la participación bancaria a canales regulatorios más convencionales. Este cambio acorta el camino desde la conceptualización hasta el diálogo regulatorio con los bancos, facilitando la entrada de bancos de Wall Street en el mercado de custodia de criptomonedas.

Los corredores aún deben demostrar control y registro sobre 15c3-3© mediante controles que puedan ser auditados. En los próximos 12 a 18 meses, el mercado de custodia probablemente se agrupará en torno a estructuras capaces de generar evidencia de control repetible, mientras gestionan riesgos de red y operativos. La pregunta clave es: ¿quién define los estándares de «evidencia de control repetible»? Hasta que se clarifiquen estos estándares, los riesgos para los activos de los clientes podrían estar subestimados en gran medida.