Europa zet de vinger op de plek waar cryptorisico begint: wie heeft de sleutels?
ESMA start een gezamenlijke toezichtactie op cryptoaanbieders die klanttegoeden bewaren.
De
nieuwe Common Supervisory Action richt zich op digitale weerbaarheid bij custodydiensten. Daarmee schuift
MiCA door van vergunning naar praktijk.
Niet de brochure telt nu. De kluis telt.
Sleutelbeheer wordt toezichtrisico
Custody is de bewaarkant van
crypto. Een aanbieder houdt dan cryptoassets voor klanten aan en beheert direct of indirect de toegang tot
wallets, private keys en transactiesystemen.
Dat maakt de dienst gevoelig. Eén fout in toegang, opslag of controle kan klanttegoeden raken.
ESMA noemt daarom governance, key management, opslagbeheer, transactieregels, incidentdetectie en incidentrespons. Ook smartcontractrisico’s en afhankelijkheden van derde partijen vallen onder de controle.
Een smart contract is code die automatisch uitvoert wat vooraf is vastgelegd. Als die code of de koppeling eromheen faalt, kan dat direct geld raken.
Nationale toezichthouders voeren het uit
De actie wordt niet alleen vanuit Parijs bekeken. Nationale toezichthouders voeren de controles uit.
Zij kiezen een risicogebaseerde steekproef van geautoriseerde crypto-asset service providers. De controle loopt vanaf de tweede helft van 2026 tot en met de eerste helft van 2027.
Daarna bundelt ESMA de bevindingen in een eindrapport. Dat rapport gaat in de tweede helft van 2027 naar de Board of Supervisors.
Dat tijdpad laat zien dat
MiCA een nieuwe fase ingaat. Eerst draaide veel om aanvragen, overgangsperiodes en papieren toelating. Nu komt de vraag hoe bedrijven dagelijks met klantactiva omgaan.
Vergunning is geen veiligheidsbewijs
Voor cryptoaanbieders is dit ongemakkelijk. Een vergunning betekent niet automatisch dat elke interne controle sterk genoeg is.
Een platform kan formeel door de poort zijn, maar alsnog zwak staan bij sleutelbeheer, personele toegang, uitbesteding of incidentrespons.
Dat is precies het gat waar ESMA naar kijkt.
De vraag is niet alleen of een aanbieder mag bewaren. De vraag is hoe snel klantgeld veilig blijft wanneer iets misgaat.
Voor gebruikers is die lijn belangrijk. MiCA maakt de markt overzichtelijker, maar neemt technische fouten niet weg.
De veiligheid zit niet alleen in de blockchain. Ze zit ook in wie toegang heeft, welke controles gelden en hoe snel verdachte bewegingen worden gestopt.
Benelux-aanbieders voelen dit direct
Voor Nederland, België en Luxemburg is de timing relevant. Cryptoaanbieders werken onder MiCA steeds vaker grensoverschrijdend.
Een partij met een vergunning in één EU-land kan klanten in andere lidstaten bedienen. Daardoor wordt toezicht op custody niet alleen een lokale kwestie.
ESMA publiceert onder MiCA een centraal
interim-register met onder meer geautoriseerde cryptoaanbieders en niet-conforme entiteiten. De meest recente versie op de ESMA-pagina is bijgewerkt op 3 juli 2026.
De toezichthouder meldt dat het register wekelijks wordt bijgewerkt. Informatie uit nationale registers verschijnt dus niet altijd meteen in de Europese lijst.
Voor klanten blijft checken nodig. Niet één keer, maar opnieuw wanneer een aanbieder claimt onder MiCA te werken.
Derde partijen komen onder het vergrootglas
Custody is zelden alleen een eigen server in een afgesloten kamer. Veel aanbieders gebruiken externe partijen voor opslag, beveiliging, cloud, monitoring of transactieverwerking.
ESMA noemt die afhankelijkheden expliciet. Dat is logisch.
Als een derde partij uitvalt, wordt gehackt of fouten maakt, kan de cryptoaanbieder zelf alsnog verantwoordelijk worden geraakt. Uitbesteding verplaatst werk, maar niet het risico voor klanten.
Dat kan lastig worden voor snel gegroeide platforms. Veel processen zijn gebouwd onder tijdsdruk. MiCA-toezicht vraagt nu om bewijs, logging en controleerbare afspraken.
Van compliance-map naar technische test
De toezichtactie laat zien hoe Europees cryptotoezicht verandert. Whitepapers en vergunningen zijn niet meer genoeg.
Toezichthouders willen weten wie klanttegoeden kan verplaatsen, hoe sleutels worden opgeslagen, welke transacties worden geblokkeerd en wat er gebeurt na een incident.
Voor exchanges en custodians wordt custody daarmee een reputatietest. Sleutelbeheer is geen backoffice-detail meer.
Wie crypto voor klanten bewaart, moet kunnen bewijzen dat toegang, herstel en noodprocedures werken. Niet alleen op papier, maar in de operatie.
ESMA legt de lat daarmee precies waar de sector vaak het meest kwetsbaar is: niet bij de munt zelf, maar bij de mensen, systemen en rechten rond de sleutel.