India verplicht cybersecurity-audits voor cryptobedrijven onder FIU's richtlijn

Crypto Exchanges in India Krijgen Nu Verplichtingen voor Naleving op Bankniveau

India heeft naar verluidt cybersecurity-audits verplicht gesteld voor alle cryptocurrency-beurzen, bewaarnemers en tussenpersonen, waarbij de Financial Intelligence Unit (FIU) opdracht heeft gegeven dat aanbieders van virtuele digitale activa (VDA) auditors moeten inhuren die zijn geaccrediteerd door het Indian Computer Emergency Response Team (CERT-In), volgens een rapport van 17 september in de Economic Times. Cert-In, onder het Ministerie van Elektronica en Informatietechnologie, houdt toezicht op de cyberbeveiligingsinfrastructuur van het land. Het voltooien van deze audits is nu verplicht voor FIU-registratie, waardoor VDA-dienstverleners effectief onder dezelfde nalevingsverplichtingen vallen als banken, zoals gedefinieerd door de Prevention of Money Laundering Act, 2002.

Met betrekking tot de stap van de regering werd Harshal Bhuta, partner bij P. R. Bhuta & Co., geciteerd door het nieuwsmedium als zeggende:

De introductie van cyber security-audits is zeer waarschijnlijk ingegeven door recente cryptodiefstallen in enkele exchanges.

“Tegelijkertijd zou strikte naleving van de CERT-in richtlijnen van 28 april 2022, zoals logboekonderhoud en het bewaren van abonneegegevens voor de voorgeschreven periode, de opsporingsinstanties helpen bij het traceren van fondsen die zijn gelaagd en verduisterd door cryptocurrency-transacties,” voegde hij eraan toe.

Crypto-gerelateerde criminaliteit is sterk gestegen en vertegenwoordigt nu 20–25% van India’s totale cyberdelicten, toonden gegevens van het lokale platform Giottus aan. Overtreders vertrouwen doorgaans op darknetmarkten, privacybevorderende munten, mixers en exchanges met zwak toezicht om illegale financiële stromen te verbergen. Tegelijkertijd heeft de FIU het “Fit & Proper”-certificaat vervangen door het nieuwe “Partner Accreditation for Compliance & Trust”-certificaat, wat duidt op een engerer focus op naleving van de regelgeving.

Hoewel enkele juridische experts de maatregel beschouwen als een stap richting verbeterde gebruikersbescherming, blijven zorgen bestaan over of auditors die gewend zijn aan financiële instellingen zich kunnen richten op crypto-specifieke kwetsbaarheden zoals beveiliging van private keys. Brede industrieproblemen blijven onopgelost, waaronder hoge belastingen en regelgevende onzekerheid.

India heeft een voorzichtige benadering aangenomen ten aanzien van cryptocurrency-regulering, waarbij volledige juridische integratie wordt vermeden uit bezorgdheid dat het volatiele activa zou legitimeren en systeemrisico’s zou vormen. Winsten uit crypto-activa worden belast tegen 30%, met een inhoudingsbelasting van 1% op transacties. Het Inkomstenbelastingwet 2025 definieert VDAs officieel en verplicht rapportage door entiteiten die ermee omgaan. In een document van de overheid wordt voortgezette regelgevende terughoudendheid genoteerd, waarbij functionarissen waarschuwen dat een verbod gedecentraliseerde handel niet zou stoppen en dat toezicht moeilijk blijft. Het document wijst ook op zorgen dat Amerikaanse wetgeving voor stablecoins wereldwijde betalingen zou kunnen verstoren en de betalingssystemen van India zou kunnen ondermijnen.