FINMA-Aufsichtsmitteilung 01/2026 zur Krypto-Verwahrung: Was Institute bei Crypto Custody jetzt nachschärfen sollten

Die FINMA hat eine neue Aufsichtsmitteilung und begleitende Guidance zur Verwahrung kryptobasierter Vermögenswerte veröffentlicht. Im Fokus stehen die Risiken der Technologie (Distributed Ledger), die Governance rund um Private Keys sowie die konkursrechtliche Einordnung – insbesondere bei Drittverwahrern und bei grenzüberschreitenden Setups. Die Kernaussage ist klar: Crypto Custody ist kein „gewöhnliches“ Depotgeschäft. Schwache Kontrollen, unklare Zuständigkeiten oder ein ungeprüfter Auslagerungspfad sind aus Sicht der Aufsicht nicht akzeptabel.

Die FINMA betont zudem, dass die Verantwortung beim bewilligten Finanzinstitut verbleibt – auch dann, wenn die Verwahrung an externe Anbieter delegiert wird. Für die Praxis heisst das: Wer Custody-Modelle betreibt oder anbietet, muss nicht nur die Technik beherrschen, sondern auch den Insolvenzszenarien standhalten.

Bei Verwahrung ausserhalb der Schweiz rücken zwei Fragen in den Vordergrund:

• Steht der ausländische Verwahrer unter einer angemessenen, prudenziellen Aufsicht?
• Gewährleistet das anwendbare Recht einen konkursfesten Schutz der Kundenvermögenswerte (insbesondere Trennbarkeit und rechtliche Durchsetzbarkeit im Konkursfall)?

Wer diese Fragen nicht sauber dokumentieren kann, trägt ein strukturelles Risiko – operativ und rechtlich.

Bei Crypto Custody ist der Private Key der kritische Vermögensanker. Entsprechend erwartet die Aufsicht robuste technische Infrastruktur, belastbare Zugriffskontrollen, klare Rollen, dokumentierte Prozesse und eine Incident-Readiness, die dem Risikoprofil entspricht. „Wir nutzen einen renommierten Provider“ ersetzt kein eigenes Kontrollsystem.

Im Kontext der individuellen Vermögensverwaltung steht die angemessene Verwahrung von Kundenvermögen im Zentrum. Wenn bestehende Konstellationen die Anforderungen nicht erfüllen (z.B. fehlende konkursrechtliche Schutzwirkung oder unklare Aufsicht über den Verwahrer), bleiben in der Regel nur zwei Wege: Remediation oder geordneter Wechsel. Wo ausnahmsweise an einem nicht optimalen Setup festgehalten wird, ist in der Praxis mit erhöhtem Dokumentationsaufwand zu rechnen (risikogerechte Information, Benennung geeigneter Alternativen, schriftliche Zustimmung).

Die Erwartungen an Kunden- und Anlegerschutz lassen sich nicht dadurch aushebeln, dass Kryptorisiken in ausländische Strukturen, Produkte oder Vehikel ausgelagert werden, die anschliessend in Kundenportfolios eingebracht werden. Der Blick der Aufsicht bleibt beim Schweizer Institut und seiner Verantwortung.

Dort, wo kryptobasierte Vermögenswerte als Sicherheiten dienen oder direkt gehalten werden, entscheidet die rechtlich belastbare Verwahrung über die Tragfähigkeit der Produktarchitektur. „Besichert“ ist nur, was im Stressfall auch effektiv geschützt und durchsetzbar ist.

Von Onboarding bis Exit: wo die Aufsicht hinschaut

Hier wird festgelegt, ob das Modell später standhält.

• Custody-Modell: in-house oder Drittverwahrer, Schweiz oder grenzüberschreitend, Sub-Custody-Kette ja/nein.
• Due Diligence: Aufsichtsstatus, Kontrollumfeld, Sub-Custody, anwendbares Recht, Ort der Schlüsselverwaltung, sowie die konkursrechtliche Trennbarkeit.
• Vertragsrahmen: Segregation, Audit- und Informationsrechte, Incident-Meldung, Exit- und Migrationsrechte, Notfallplan bei Störungen oder Insolvenz des Providers.
• Kundendokumentation: präzise Risikooffenlegung, die das konkrete Setup abbildet – nicht generische „Krypto-Risiken“.

Aufsichtsfähig ist, was belegbar ist.

• Schlüsselmanagement: Zugriff, Vier-Augen-Prinzip, Trennung kritischer Funktionen, Change-Management.
• Segregation und Nachweisfähigkeit: kundenbezogene Abgrenzung, Reconciliation (off-chain/on-chain), saubere Reporting-Linien.
• Fortlaufende Überwachung: regelmässige Neubewertung der Äquivalenz bei Auslandsverwahrung, Stresstests, Incident-Übungen, dokumentierte Entscheide.

Fehler entstehen häufig beim „Bewegen“, nicht beim „Halten“.

• Chain of authority: wer darf instruieren, wer prüft, wer final freigibt, wie wird authentisiert?
• Betrugs- und Fehladressenschutz: klare Schwellenwerte, unabhängige Kontrollen, Eskalationsregeln.
• Exit-Readiness: Migration zu einem anderen Verwahrer, Rückführung in Self-Custody des Kunden, Vorgehen im Stressfall.

Goldblum & Partners berät Banken, Wertpapierhäuser, Vermögensverwalter, Fondsakteure, FinTechs und Infrastrukturprovider zu Schweizer und grenzüberschreitender Finanzmarktregulierung – einschliesslich Digital Assets. Wir begleiten Custody-Modelle end-to-end: Strukturierung, Outsourcing-Governance, Äquivalenzprüfungen ausländischer Verwahrer, Vertrags- und Kundendokumentation sowie Remediation bestehender Setups.

Bei Fragen zur FINMA-Aufsichtsmitteilung 01/2026 und zur praktischen Umsetzung in Ihrer Custody-Architektur wenden Sie sich an Goldblum & Partners. Wir bringen über 15 Jahre Erfahrung in der Finanzmarktregulierung mit, inklusive Projekten rund um Krypto und Blockchain, und sind mit zwei Büros in Zürich und Zug präsent.

Für weitere Informationen über unsere Dienstleistungen, die aktuelle Gesetzgebung oder zur Besprechung des konkreten Falls kontaktieren Sie bitte: