За да съхранявате криптоактиви в България, следвайте разпоредбите на Закона за пазарите на финансови инструменти (ЗПФИ), който прилага Регламент (ЕС) 2022/858 (MiCA). Правила за съхранение на дигитални пари и токени изискват използването на лицензирани депозитарни институции. Директното държане в частни портфейли носи пълен правен и пазарен риск за собственика, докато професионалните услуги на депозитари гарантират съответствие с регулаторните стандарти.
Регулаторните изисквания включват строг надзор и оперативен контрол върху дейностите на депозитарите. За компании, предлагащи услуги с криптоактиви, е задължително да получат лицензиране от Български народен банк (БНБ). Този процес гарантира, че методите за съхранение на активи отговарят на строги критерии за безопасност и отчетност, защитавайки инвеститорите от потенциални измами или загуби.
Правните разпоредби за дигитални активи насочват бизнесите към изграждането на прозрачни и сигурни процеси. Институционалните инвеститори трябва да изискват от своите доставчици на услуги доказателство за регулаторно съответствие. Неспазването на тези правила води до административни наказания и ограничаване на дейността. Следователно, разбирането на правни аспекти е не само задължение, но и стратегическо предимство за устойчивост на пазара.
Правни разпоредби и лицензиране за депозитарни услуги за криптоактиви
За да предлагате професионални услуги за съхранение на цифрови активи в България, задължителна стъпка е получаването на лиценз за депозитарна дейност от Комисията за финансов надзор (КФН). Правните разпоредби изискват депозитарите да поддържат капиталова адекватност от минимум 1 милион лева и да внедрят системи за управление на оперативния риск. Процедурата по лицензиране включва подаване на детайлно бизнес описание, правила за вътрешен контрол и документация за политиките за безопасност на портфейли.
Съответствие с Регламентацията за пазарите на криптоактиви (MiCA) на ЕС е задължително за всички депозитари, работещи в рамките на Съюза. Ключови изисквания към депозитарите са:
- Разделяне на активите на клиентите от собствените активи на дружеството.
- Поддържане на 98% от средствата в студено съхранение (cold storage) с многофакторен контрол на достъпа.
- Годишен вътрешен одит и предоставяне на отчети на надзорния орган.
- Внедряване на планове за възстановяване при кибератаки или технически повреди.
Надзорът върху дейността на депозитарите включва регулярни проверки от КФН за спазване на правилата за сигурност и отчетност. Нарушенията на тези правни изисквания водят до административни глоби, които могат да достигнат до 500 000 лева, както и до отнемане на лиценза. Затова организациите трябва да имат назначен вътрешен отдел за съответствие, който да следи промените в регулаторния фреймуърк и да гарантира, че всички операции с криптоактиви са в рамките на закона.
Класификация на цифрови активи
Разграничете криптоактиви според тяхната функция и правната им природа, за да определите приложимите правила и изисквания за съхранение. Правните разпоредби разпределят активи на три основни категории: платежни инструменти (биткойн), полезни токени (управление в мрежа) и инструменти на пазара на капитали (акции, облигации в цифрова форма). Това разделение директно влияе на необходимостта от лицензиране на депозитарите, отговарящи за тяхното съхранение.
Правни критерии за категоризиране
Фокусът при класификацията трябва да бъде върху икономическата същност на активите, а не само върху технологията. Цифровите портфейли за стойностни книжа попадат под строг надзор на Комисията за финансов надзор и изискват работа с лицензирани депозитарни институции. За разлика от тях, портфейли за криптоактиви като NFT-та може да са с по-ниски регулаторни бариери, но задължително изискват вътрешен контрол за сигурност и съответствие с правилата за борба с изпирането на пари.
Оперативни последици от класификацията
Изборът на услуги за съхранение зависи изцяло от правилната класификация. Депозитарните услуги за регулирани активи задължават към използване на лицензирани депозитари, които отговарят на строги изисквания за капитал и отчетност. За нерегулирани криптоактиви, компаниите трябва да прилагат собствени политики за сигурност, включително многофакторно удостоверяване и холодно съхранение на средства, за да намалят оперативния риск. Контролът върху целия животен цикъл на активите – от придобиване до съхранение и прехвърляне – е задължителен за всички категории.
Депозитарни задължения и отговорности
Депозитарите на криптоактиви трябва да притежават лиценз, издаден от Комиссията за финансов надзор, който улеснява пряко наблюдение върху дейностите по съхранение. Тези лицензирани субекти са задължени да поддържат строг контрол върху цифровите портфейли, като осигуряват съответствие с приетите правила за сигурност. Основен фокус е физическото и логическо разделение на клиентските активи от собствените активи на депозитария.
Оперативни мерки за сигурност и отчетност
Внедрете многофакторно удостоверяване и техники за разпределение на тайните (Shamir’s Secret Sharing) за достъп до ключове за криптоактиви. Депозитарните услуги изискват редовни независими одити на системите за съхранение, като резултатите се предоставят на регулаторните органи. Правните разпоредби задължават депозитарите да поддържат пълна проследимост на всички транзакции, включително timestamp и идентификационни данни на контрагентите.
Депозитарите носят отговорност за загуби, произтичащи от хакерски атаки, измами или оперативни грешки в тяхната инфраструктура. За да се минимизира този риск, се налага използването на студени портфейли за дългосрочно съхранение на основните активи, докато топлите портфейли се управляват с лимитирани баланси за оперативни нужди. Постоянният надзор включва мониторинг на необичайна активност и незабавно съобщаване към регулаторите при инциденти.
Технически стандарти за сигурност
Внедрете многофакторно удостоверяване (MFA) за всички видове достъп до системите, включително и за генериране на транзакции. Използвайте хардуерни сигурни модули (HSM) от ниво FIPS 140-2 Level 3 или по-високо за съхранение на частните ключове, като ги съхранявате във физически защитени центрове за данни с 24/7 видеонаблюдение и контрол на достъпа. За криптоактиви с висока стойност приоритет е „студеното съхранение“ в офлайн портфейли, като частните ключове никога не се излагат в мрежата.
Процедурите за контрол трябва да включват разделение на задълженията (Segregation of Duties): служител, който инициира транзакция, не трябва да има права за нейното одобряване. Въведете автоматизирани системи за наблюдение в реално време, които откриват аномална активност, като необичайни IP адреси за вход или големи суми за превод. Тези системи трябва да генерират незабавни сигнали към специален екип за реагиране на инциденти.
Регулаторните изисквания често мандират годишни одити от независима трета страна и пенетрейшън тестове за проверка на ефективността на мерките за безопасност. Документирайте всички политики и процедури за съхранение и контрол. Това документиране е критично за доказване на съответствие пред надзорните органи по време на проверки и е задължително за процеса на лицензиране на депозитарни услуги за дигитални активи.
Създайте ясни протоколи за възстановяване при бедствие (Disaster Recovery Plan). Тествайте плана редовно, като симулирате сценарии за загуба на ключове или системна повреда, за да гарантирате, че крипто активите на клиентите могат да бъдат безопасно възстановени в рамките на предварително определени срокове. Тази практика не е само техническа необходимост, но и изискване от много правни разпоредби.
