Menurut Komisi Sekuritas dan Futures, platform perdagangan aset virtual berlisensi dan broker internet di Hong Kong harus menghentikan penggunaan otentikasi kata sandi satu kali (OTP) untuk login pelanggan dan pendaftaran perangkat dalam waktu 12 bulan, menggantinya dengan metode yang lebih kuat seperti passkey dan pengikatan perangkat.
Instruksi ini mengikuti peningkatan tajam dalam serangan spoofing dan pengambilalihan akun. SFC mencatat bahwa serangan spoofing menyumbang 57% dari semua insiden keamanan yang dilaporkan pada tahun 2025, berdasarkan data dari Pusat Koordinasi Insiden Keamanan Siber Hong Kong. Perusahaan juga harus memperkuat sistem pemantauan penipuan, segera memberi tahu pelanggan tentang aktivitas mencurigakan, dan menerapkan program edukasi pelanggan tentang risiko phishing dan impersonasi. Perusahaan broker internet besar diminta untuk langsung mengadopsi metode otentikasi baru, sementara tenggat waktu 12 bulan berlaku untuk entitas berlisensi lainnya.