A Comissão de Valores Mobiliários e Futuros de Hong Kong (SFC) ordenou a corretores de internet e plataformas licenciadas de negociação de ativos virtuais que substituam as palavras-passe de uso único (one-time passwords) por métodos de autenticação resistentes a phishing nas exigências publicadas a 9 de julho. As empresas terão de implementar controlos mais robustos de acesso (login) e ligação ao dispositivo no prazo de 12 meses, prevendo-se que os corretores de maior dimensão comecem a adotar imediatamente. A diretiva visa ataques de phishing que corresponderam a 57% de todos os incidentes de cibersegurança comunicados ao Centro de Coordenação do Hong Kong Computer Emergency Response Team durante 2025. A SFC afirmou que as tradicionais palavras-passe de uso único já não são suficientes face a campanhas de phishing cada vez mais sofisticadas que visam contas de negociação online. A medida reforça a abordagem de Hong Kong de exigir às empresas de ativos digitais padrões regulamentares semelhantes aos impostos às instituições financeiras tradicionais.
A SFC disse que corretores de internet e operadores de plataformas de negociação de ativos virtuais devem deixar de usar palavras-passe de uso único tanto para o acesso do cliente como para a ligação ao dispositivo, porque tecnologias de autenticação mais seguras estão agora amplamente disponíveis. O regulador apontou as passkeys e a ligação ao dispositivo como exemplos de métodos de autenticação resistentes a phishing, capazes de impedir que atacantes ganhem acesso mesmo quando os clientes são enganados a revelar as suas credenciais.
A ligação ao dispositivo liga a conta de negociação de um cliente a um computador ou dispositivo móvel registado de forma segura, com características únicas do dispositivo, tornando significativamente mais difícil para criminosos iniciarem sessão a partir de hardware não autorizado. A SFC avisou pela primeira vez as empresas sobre fraquezas associadas à autenticação baseada em OTP em fevereiro de 2025, na sequência de uma análise de cibersegurança. O novo circular transforma essas orientações numa exigência regulamentar.
Os novos requisitos aplicam-se igualmente a corretores licenciados de valores mobiliários e a operadores de plataformas de negociação de ativos virtuais. Para além de uma autenticação mais forte, as empresas devem introduzir sistemas de monitorização eficazes capazes de detetar tentativas de acesso suspeitas, atividade de negociação invulgar e pedidos de levantamento anormais. Espera-se também que informem os clientes de forma atempada sobre eventos relevantes da conta, respondam rapidamente a incidentes de pirataria e façam avisos regulares aos clientes sobre campanhas de phishing emergentes e outras ameaças cibernéticas.
A SFC afirmou que a gestão de topo continuará a ser, em última análise, responsável por proteger os ativos dos clientes e alertou que as empresas podem ser responsabilizadas por perdas resultantes de controlos de cibersegurança inadequados. Dr. Eric Yip, Diretor Executivo de Intermediários da SFC, afirmou: “Proteger as contas dos clientes de ataques de phishing cada vez mais sofisticados e difíceis de detetar exige medidas abrangentes que combinem prevenção, deteção, resposta e educação. As empresas licenciadas devem reforçar a sua primeira linha de defesa com soluções robustas de autenticação, manter-se vigilantes relativamente a atividades suspeitas e responder de forma célere antes de ser causado qualquer dano.”
Ao contrário das credenciais tradicionais, as passkeys baseiam-se em autenticação criptográfica associada ao dispositivo do utilizador e não podem ser facilmente intercetadas nem reutilizadas através de websites de phishing. Empresas tecnológicas, incluindo Apple, Google e Microsoft, já incorporaram suporte a passkeys nos seus sistemas operativos, enquanto bancos e empresas de fintech começaram a adotar a tecnologia para autenticação de clientes. Para corretores e bolsas de cripto, uma autenticação mais forte tornou-se cada vez mais importante à medida que cibercriminosos visam contas de negociação que podem fornecer acesso imediato a numerário, valores mobiliários e ativos digitais.
Para além dos controlos técnicos, a SFC instou os investidores a continuarem a seguir práticas básicas de cibersegurança, incluindo o uso de palavras-passe fortes e únicas, manter os dispositivos atualizados, aceder às contas apenas através de websites e aplicações oficiais e rever os extratos da conta quanto a atividade não autorizada. O regulador aconselhou os investidores que suspeitem que as suas credenciais foram comprometidas a contactar imediatamente o seu corretor ou plataforma de ativos virtuais, a proteger as suas contas e a reportar o incidente às autoridades competentes.
Que métodos de autenticação é que a SFC de Hong Kong ordenou que os corretores e as plataformas cripto substituíssem?
A SFC ordenou a corretores de internet e a plataformas licenciadas de negociação de ativos virtuais que substituíssem palavras-passe de uso único por métodos de autenticação resistentes a phishing, como passkeys e ligação ao dispositivo, nas exigências publicadas a 9 de julho.
Porque é que a SFC exigiu uma autenticação mais forte para as contas de negociação?
A SFC apontou para ataques de phishing que corresponderam a 57% de todos os incidentes de cibersegurança comunicados ao Centro de Coordenação do Hong Kong Computer Emergency Response Team durante 2025, afirmando que as tradicionais palavras-passe de uso único já não são suficientes face a campanhas de phishing cada vez mais sofisticadas que visam contas de negociação online.
Qual é o prazo de implementação para as novas exigências de autenticação?
As empresas têm de implementar controlos mais robustos de acesso (login) e ligação ao dispositivo no prazo de 12 meses após a data de publicação de 9 de julho, enquanto se espera que os corretores de maior dimensão comecem a adotar as medidas imediatamente.
Notícias relacionadas
A FSC determina que as empresas de valores mobiliários apresentem planos de proteção dos investidores até 13 de julho
A SFC de Hong Kong ordena a eliminação do OTP em 12 meses para empresas de criptomoedas e corretoras
Centro de Políticas Hyperliquid e Phantom instam a CFTC a atualizar as regras de negociação na cadeia
A SFC de Hong Kong proíbe OTPs para plataformas de criptomoedas devido ao aumento de ataques de phishing