De Indiase overheid heeft nieuwe maatregelen ingevoerd om de veiligheid van cryptoplatformen te verbeteren. Vanaf nu zijn cybersecurity-audits verplicht voor cryptomunt beurzen, bewaarders en andere tussenpersonen. Deze stap volgt op een sterke toename van cybercriminaliteit binnen de cryptosector in India.
Verplichte cybersecurity-audits voor cryptobedrijven
De Indiase Computer Emergency Response Team (CERT-In), onderdeel van het ministerie van IT, is verantwoordelijk voor het uitvoeren van deze audits. Een speciaal aangestelde beveiligingsauditor zal de controles uitvoeren bij cryptobedrijven. Dit is gekoppeld aan de registratie bij de Financial Intelligence Unit (FIU), de Indiase instantie die toezicht houdt op anti-witwasmaatregelen.
Cryptobedrijven die virtuele digitale activa (VDA) beheren, vallen onder de Prevention of Money Laundering Act (PMLA). Hierdoor moeten zij voldoen aan vergelijkbare compliance-eisen als banken. In een brief van 15 september 2025 heeft de FIU VDA-dienstverleners opgeroepen om direct actie te ondernemen. Dit betreft onder meer het aanstellen van compliance officers en het versterken van toezicht op directieniveau. Momenteel zijn er ongeveer 55 geregistreerde entiteiten actief in de cryptohandel en -bewaring in India. De FIU behoudt het recht om registratie te weigeren of in te trekken bij niet-naleving van de regels.
Waarom zijn deze audits noodzakelijk?
De aanleiding voor deze nieuwe regulations is de groeiende hoeveelheid cryptogerelateerde cybercriminaliteit in India. Volgens gegevens van de lokale beurs Giottus vormen cryptocrimes inmiddels 20 tot 25 procent van alle cybercriminaliteitszaken in het land. Hackers maken gebruik van kwetsbaarheden om digitale activa te stelen. Vervolgens verplaatsen zij de gestolen fondsen via complexe internationale netwerken, darknetmarkten, privacycoins en coin-mixingdiensten. Dit bemoeilijkt het opsporen van de transacties.
Daarnaast bracht het Indiase parlement onlangs een rapport uit over cybercriminaliteit. Het rapport benadrukt dat cryptocurrencies steeds vaker worden misbruikt voor financiële fraude, witwassen, ransomware-aanvallen en zelfs mensenhandel. De term ‘crypto’ komt hierin herhaaldelijk voor, vrijwel altijd in een negatieve context. Dit onderstreept de urgentie van strengere beveiligingsmaatregelen binnen de sector.
Reacties uit de sector en vooruitblik
Hoewel de invoering van cybersecurity-audits een positieve ontwikkeling is, rijzen er vragen over de effectiviteit. Traditioneel richten auditors zich op banken en financiële instellingen. Het is nog onduidelijk of zij voldoende expertise hebben om de unieke risico’s van cryptoplatformen te beoordelen. Een belangrijk aandachtspunt is de beveiliging van private keys, de digitale sleutels die toegang geven tot cryptofondsen. Auditors zullen moeten controleren hoe deze sleutels worden opgeslagen en beschermd.
Desondanks zien experts de maatregel als een stap in de goede richting. Harshal Bhuta, partner bij het accountantskantoor P. R. Bhuta & Co., stelt dat recente diefstallen waarschijnlijk de aanleiding zijn geweest. Hij wijst ook op eerdere richtlijnen van CERT-In die het bijhouden van logs en het opslaan van gebruikersdata voorschrijven. Dit maakt het voor autoriteiten makkelijker om verdachte transacties te traceren.
Daarnaast verving de FIU het oude “Fit & Proper”-certificaat door een nieuw keurmerk, “Partner Accreditation for Compliance & Trust” (PACT). Advocaat en oprichter van Crypto Legal, Purushottam Anand, verwacht dat de FIU binnenkort meer richtlijnen publiceert over de invulling van deze audits.
Tot slot blijft de cryptosector in India kampen met uitdagingen. Hoge belastingen en het ontbreken van een duidelijk regelgevingskader remmen de groei. Uit een recente enquête van Mudrex, een van de grootste Indiase crypto-investeringsplatformen, blijkt dat 93 procent van de ondervraagden voorstander is van regulering. De meningen verschillen echter over de mate en vorm van toezicht.
De Indiase overheid lijkt zich langzaam te bewegen richting een meer gesegmenteerde aanpak, waarbij verschillende typen tokens zoals Bitcoin, stablecoins en utility tokens apart worden gereguleerd. Dit kan de weg vrijmaken voor een veiliger en transparanter cryptolandschap in India.
Met deze nieuwe cybersecurity-eisen zet India een belangrijke stap om cryptocriminaliteit tegen te gaan en het vertrouwen in digitale activa te versterken. De komende periode zal duidelijk maken hoe effectief deze maatregelen zijn in de praktijk.
