SEC atualiza silenciosamente as regras! Goldman Sachs e Morgan Stanley podem reivindicar o "controle" das chaves privadas dos usuários

A Comissão de Valores Mobiliários dos EUA (SEC) atualizou silenciosamente as perguntas frequentes sobre ativos digitais em 17 de dezembro, esclarecendo como corretores e negociantes, como Morgan Stanley, Goldman Sachs, entre outros, podem atender aos requisitos de custódia e capital para valores mobiliários de ativos digitais. A mudança chave é que: os corretores podem reivindicar “controle” sobre ativos digitais dos clientes através de “localizações de controle qualificadas” e direitos de instrução por escrito, sem precisar possuir as chaves privadas de fato. Os funcionários da SEC revogaram a dependência do status de porto seguro para os Corretores de Propósito Específico (SPBD).

Da posse real ao controle por escrito: uma revolução regulatória

(Fonte: SEC)

O núcleo desta atualização da SEC é a mudança na definição de “controle” de “posse real de chaves privadas” para “capacidade de controle demonstrada por contrato e procedimento”. Para valores mobiliários de ativos digitais, os funcionários afirmam que, mesmo que a ferramenta não possua um certificado, o corretor pode estabelecer “controle” usando localizações de controle qualificadas, de acordo com a regra 15c3-3©. Essa formulação parece uma ajustamento técnico, mas na verdade altera fundamentalmente a essência da custódia.

Na filosofia tradicional de criptografia, “Not your keys, not your coins” (Se não são suas chaves, não são suas moedas) é uma regra de ouro. Mas a nova regulamentação da SEC permite que corretores reivindiquem controle através de: chaves em módulos de segurança de hardware (HSM) que possuem, localizações de controle bancário com direitos de instrução por escrito, ou através de direitos de assinatura e procedimentos que atendam às expectativas de controle de múltiplas assinaturas.

O que isso significa na prática? Morgan Stanley ou Goldman Sachs podem assinar contratos com um banco ou instituição de custódia, estabelecendo “que temos o direito de instruir a transferência de ativos digitais dos clientes”, sem precisar possuir as chaves privadas de fato. Desde que a redação do contrato, os procedimentos internos e o rastreamento de auditoria atendam aos requisitos da SEC, o padrão de “controle” é considerado satisfeito.

Três modos de controle de chaves privadas sob a nova regulamentação da SEC

Modo de custódia própria do corretor: o corretor controla diretamente as chaves privadas (HSM ou múltiplas assinaturas), fornecendo evidências diretas compatíveis com 15c3-3©, mas assumindo riscos de controle de rede e seguros.

Modo de custódia secundária bancária: o banco mantém as chaves privadas como local de controle, enquanto o corretor possui direitos de instrução por contrato; embora conheça o escopo de custódia, os termos contratuais devem demonstrar capacidade de controle.

Modo de custódia por contrato inteligente: múltiplas assinaturas entre o corretor e o agente de transferência, controladas por código, embora a equipe de auditoria ainda não tenha clareza sobre como testar “controle”.

Essa mudança enfatiza mais a linguagem contratual, a governança-chave e a capacidade de demonstrar controle de longo prazo através de rastreamento de auditoria. Resumos de escritórios de advocacia como Sullivan & Cromwell e Sidley Austin destacam que a abordagem dos funcionários amplia as formas pelas quais corretores comuns podem demonstrar controle, sem depender do status de SPBD como padrão.

Impacto profundo da revogação do porto seguro SPBD

Os funcionários afirmam que essa abordagem reduz a dependência do porto seguro de Corretores de Propósito Específico (SPBD), que antes era o principal método para demonstrar controle sobre esses valores mobiliários. Os SPBDs são um quadro regulatório projetado especificamente para custódia de ativos digitais, com requisitos rigorosos, incluindo requisitos de capital independentes, sistemas de controle de risco dedicados e inspeções regulatórias periódicas.

Revogar o SPBD como caminho obrigatório parece diminuir a barreira de entrada para corretores na custódia de criptomoedas, mas na prática cria uma zona cinzenta maior. Sob o quadro do SPBD, as regras eram claras e rigorosas, e tanto os corretores quanto os reguladores sabiam exatamente os padrões. Agora, a prova de “controle” torna-se uma questão de “linguagem contratual” e “procedimentos internos”, com espaço para interpretações muito maiores.

A declaração conjunta de 2019 da SEC e da FINRA sobre custódia de valores mobiliários digitais por corretores foi marcada como revogada na página da SEC, e a FINRA também publicou aviso semelhante. Essa declaração de 2019 era considerada uma “Estrela do Norte” para a indústria, fornecendo orientações claras de conformidade. Com sua revogação, o padrão de referência para custódia de corretores foi reduzido ao quadro de perguntas frequentes, que é muito menos vinculativo legalmente do que uma declaração formal.

O timing dessa revogação é interessante. O governo Trump promoveu políticas pró-criptomoeda, com o presidente da SEC mudando para Paul Atkins, e o Federal Reserve revogando a política de 2023 de limitar atividades bancárias com criptomoedas. Essas ações parecem todas voltadas para “baixar barreiras e incentivar participação”. Mas qual o custo de reduzir essas barreiras? Possivelmente uma diminuição no nível de proteção ao cliente.

Vácuo de proteção para criptomoedas não-seguradas

Para criptomoedas que não sejam valores mobiliários, os funcionários reafirmam que a regra 15c3-3(b) de “posse ou controle” não se aplica, deixando esses ativos fora do mecanismo de proteção ao cliente que regula a custódia de valores mobiliários. Essa afirmação é extremamente importante, mas muitas vezes negligenciada: ao armazenar Bitcoin ou Ethereum na custódia digital do Morgan Stanley, esses ativos não estão protegidos pelas regras tradicionais de proteção ao cliente de valores mobiliários.

A custódia tradicional de valores mobiliários exige isolamento rigoroso, com os ativos dos clientes separados dos ativos próprios do corretor, e em caso de falência do corretor, os ativos dos clientes não podem ser liquidados junto com os do corretor. Mas ativos digitais não-segurados estão excluídos dessas proteções. Se o corretor falir ou for hackeado, os clientes podem enfrentar perdas de ativos e sem possibilidade de ressarcimento.

A atualização de 17 de dezembro esclarece as regras para empresas voltadas ao varejo, que ainda precisam divulgar claramente quais proteções se aplicam e quais não. Mas quantos investidores de varejo irão ler cuidadosamente esses documentos de divulgação? A maioria provavelmente assumirá que “custódia do Morgan Stanley” significa proteção bancária de nível, quando na verdade pode não ser nada disso.

A especialista da SEC, Hester Peirce, descreveu as perguntas frequentes como uma abordagem gradual, apontando que o guia pode reduzir as fricções para participantes do mercado ao tentar encaixar atividades on-chain em regras existentes. Essa linguagem oficial enfatiza “reduzir fricções” e “incentivar participação”, mas minimiza o potencial enfraquecimento da proteção ao cliente.

Para corretores que dependem de custódia secundária bancária como caminho de controle, o Federal Reserve revogou, em 24 de abril de 2025, uma notificação antecipada regulatória anteriormente prevista para certos ativos digitais, movendo a participação bancária para canais regulatórios mais convencionais. Essa mudança encurta o caminho do conceito à conversa regulatória com bancos, facilitando a entrada de bancos de Wall Street no mercado de custódia de criptomoedas.

Corretores ainda precisarão demonstrar controle e registro de suas operações de acordo com o 15c3-3© de uma forma que possa ser testada por equipes de inspeção. Nos próximos 12 a 18 meses, o mercado de custódia provavelmente se concentrará naquelas estruturas capazes de gerar evidências de controle repetíveis, ao mesmo tempo em que gerenciam riscos de rede e operacionais. A questão central é: quem definirá os critérios para “evidências de controle repetíveis”? Antes que esses critérios sejam claros, os riscos aos ativos dos clientes podem estar subestimados.