A Comissão de Valores Mobiliários de Hong Kong ordenou às plataformas licenciadas de negociação de ativos virtuais e às empresas de corretagem na internet que eliminem progressivamente as palavras-passe de uso único para login de clientes e registo de dispositivos no prazo de 12 meses. A orientação surge após um aumento nos ataques de spoofing, que representaram 57% de todos os incidentes de segurança reportados em 2025, segundo dados do Centro de Coordenação de Incidentes de Cibersegurança de Hong Kong. O regulador afirmou que a autenticação baseada em OTP já não é suficiente contra operações de phishing, impersonação e fraude que enganam os utilizadores para entregarem códigos de login, permitindo aos atacantes aceder às contas, registar novos dispositivos, realizar negociações ou tentar levantamentos antes que as empresas detectem o compromisso.
SFC Exige Passkeys e Ligação de Dispositivos para Autenticação
A circular exige que as empresas deixem de usar OTPs para login de clientes e ligação de dispositivos, passando a métodos de autenticação mais robustos, como passkeys e ligação de dispositivos. O regulador afirmou que a implementação deve ocorrer "assim que for praticável", com um prazo final de 12 meses a partir da data de emissão da circular. As grandes empresas de corretagem na internet foram instruídas a adotar imediatamente os novos métodos de autenticação. As passkeys reduzem a dependência de códigos que podem ser roubados através de páginas de phishing, enquanto a ligação de dispositivos associa o acesso à conta a dispositivos confiáveis, dificultando tentativas de login não autorizadas.
Empresas Licenciadas Devem Reforçar Vigilância e Alertar Clientes
As empresas licenciadas devem reforçar os sistemas de vigilância para detectar atividades suspeitas de login, negociação e levantamento de fundos. Isso inclui monitorizar padrões de acesso incomuns, atividade de novos dispositivos, comportamentos anormais em ordens e pedidos de levantamento que possam indicar que uma conta foi comprometida. O regulador também exige que as empresas notifiquem rapidamente os clientes sobre atividades relevantes nas contas e respondam de forma célere a incidentes de hacking. A educação dos clientes faz parte da obrigatoriedade, com as empresas a serem esperadas a alertar regularmente os utilizadores sobre fraudes de impersonação, tentativas de phishing e riscos emergentes de cibersegurança.
O Dr. Yip Chi-hang, Diretor Executivo da Divisão de Intermediários da SFC, afirmou: "Para proteger as contas dos clientes contra ataques de phishing cada vez mais sofisticados e variados, é necessária uma abordagem abrangente que combine prevenção, deteção, resposta e educação. As instituições licenciadas devem reforçar a sua primeira linha de defesa através de soluções de autenticação robustas, manter-se vigilantes contra atividades suspeitas e responder rapidamente antes que ocorram danos."
Alta Direção Tem Responsabilidade Final pela Proteção das Contas
A SFC lembrou à alta direção das empresas licenciadas que eles assumem a responsabilidade final por controles adequados para proteger as contas e ativos dos clientes. O regulador afirmou que as empresas podem ser responsabilizadas por perdas dos clientes resultantes de deficiências nos controles internos. A política aplica-se tanto às corretoras na internet como às plataformas de negociação de ativos virtuais, estabelecendo uma base comum para o acesso financeiro online nos mercados tradicionais de valores mobiliários e de criptomoedas.
FAQ
Que métodos de autenticação as plataformas de criptomoedas e corretoras de Hong Kong devem adotar para substituir os OTPs?
As empresas devem adotar métodos de autenticação mais fortes, como passkeys e ligação de dispositivos. As passkeys reduzem a dependência de códigos que podem ser roubados através de páginas de phishing, enquanto a ligação de dispositivos associa o acesso à conta a dispositivos confiáveis.
Por que razão a SFC ordenou a eliminação progressiva dos logins por OTP?
A orientação surge devido ao aumento dos ataques de spoofing, que representaram 57% de todos os incidentes de segurança reportados em 2025, segundo o Centro de Coordenação de Incidentes de Cibersegurança de Hong Kong. O regulador afirmou que a autenticação baseada em OTP já não é suficiente contra operações de phishing, impersonação e fraude.
Qual é o prazo para as empresas cumprirem os novos requisitos de autenticação da SFC?
As empresas têm 12 meses a partir da data de emissão da circular para eliminar progressivamente os OTPs para login de clientes e registo de dispositivos. As grandes corretoras na internet foram instruídas a adotar imediatamente os novos métodos de autenticação.