
SFC de Hong Kong proíbe logins OTP em plataformas cripto
O regulador está promovendo chaves de acesso, verificações criptográficas vinculadas a dispositivos e chaves de hardware como alternativas resistentes a phishing.
A Comissão de Valores Mobiliários e Futuros de Hong Kong ordenou que plataformas de negociação de ativos virtuais e corretores online adotem autenticação resistente a phishing e vinculação de dispositivos dentro de 12 meses. O novo padrão proíbe explicitamente senhas de uso único entregues via SMS, e-mail ou fluxos de login baseados em aplicativos, forçando os locais a reestruturar padrões de acesso comuns para traders de varejo.
Principais Conclusões
- A SFC de Hong Kong estabeleceu um prazo de 12 meses para a implementação de novos requisitos de login resistentes a phishing que abrangem o virtualativoplataformas de negociação e corretores online.
- Senhas de uso único entregues via SMS, e-mail ou fluxos de login baseados em aplicativos são proibidas sob o novo padrão.
- As chaves de acesso, dispositivos registrados verificados criptograficamente e chaves de segurança de hardware foram listados como caminhos aceitáveis resistentes a phishing.
- O phishing e a engenharia social foram responsáveis por $306 milhões dos $482 milhões em perdas totais da indústria de criptomoedas no primeiro trimestre de 2026.
SFC Inicia uma Contagem Regressiva de 12 Meses para Logins Resistentes a Phishing
Os Valores Mobiliários de Hong Kong eFuturosA Comissão de Valores Mobiliários (SFC) emitiu novos requisitos na quinta-feira, 9 de julho de 2026, direcionando plataformas de negociação de ativos virtuais (VATPs) e corretores online na cidade a adotarem autenticação resistente a phishing e controles de vinculação de dispositivos nos próximos 12 meses.
Para os participantes do mercado, a manchete diz menos respeito a um novo recurso e mais a uma linha de base obrigatória para acesso à conta. A SFC está tratando a segurança de login como uma superfície de controle central para locais regulamentados, não como uma preferência do usuário.
O trecho do pacote não inclui o documento completo da SFC, deixando questões em aberto sobre quais plataformas específicas estão cobertas e como a aplicação será realizada.
OTP via SMS/Email/App Está Fora: O que o Novo Padrão Exige
O padrão proíbe senhas de uso único (OTPs) entregues via SMS, e-mail ou logins baseados em aplicativos. Isso é um golpe direto nos padrões de autenticação de dois fatores mais comuns usados em aplicativos de negociação de varejo, e efetivamente força uma migração longe da verificação baseada em código que pode ser interceptada ou manipulada socialmente.
O requisito da SFC combina "autenticação resistente a phishing" com "vinculação de dispositivos". Na prática, isso significa que o acesso deve estar vinculado a um dispositivo registrado específico usando verificações criptográficas, em vez de depender de um código que pode ser digitado em um site falso ou entregue a um atacante.
A implicação operacional é direta. Ao longo da janela de 12 meses, os traders devem esperar mudanças em etapas, como novos prompts de registro de dispositivos, etapas modificadas de recuperação de contas e maior fricção em logins pela primeira vez e mudanças de dispositivos à medida que os locais desmantelam fluxos baseados em OTP.
Chaves de Acesso, Verificação Criptográfica de Dispositivos e Chaves de Hardware: Os Caminhos Aprovados
A SFC citou chaves de acesso, dispositivos registrados com verificação criptográfica e chaves de segurança de hardware como alternativas resistentes a phishing.
As chaves de acesso geralmente transferem a autenticação para chaves criptográficas armazenadas em um dispositivo e desbloqueadas por biometria ou um PIN do dispositivo, reduzindo o valor de senhas roubadas e eliminando o momento de "digitar o código" que kits de phishing exploram.
A verificação criptográfica de dispositivos registrados aponta para um modelo onde o local verifica o próprio dispositivo, não apenas o conhecimento do usuário sobre uma senha. As chaves de segurança de hardware estendem esse conceito com um fator físico que prova a posse.
Tomados em conjunto, o menu sinaliza uma preferência por métodos de autenticação que são materialmente mais difíceis de phishing do que os OTPs, mesmo quando os atacantes podem se passar de forma convincente pela página de login de um local.
O Impacto da Negociação é Operacional—Observe Lançamentos, Bloqueios e Atritos de Local
A SFC enquadrou a medida contra um pano de fundo de ameaça mensurável. Ataques de phishing e fraudes de engenharia social representaram $306 milhões das perdas totais de $482 milhões da indústria cripto no primeiro trimestre de 2026. O pacote também cita perdas relacionadas a fraudes de phishing totalizando $366 milhões na primeira metade de 2026.
Localmente, ataques de falsificação e fraude representaram 57% dos incidentes de segurança relatados ao Centro de Coordenação de Acidentes de Cibersegurança de Hong Kong em 2025. O Dr.
Ye Zhiheng disse: “Para proteger as contas dos clientes contra ataques de falsificação e fraude cada vez mais complexos e em mudança, medidas abrangentes devem ser implementadas em conjunto com prevenção, detecção, resposta e educação,” posicionando a mudança de login como uma camada em um controle mais amplo.
Para os traders, o risco de curto prazo não é a descoberta de preços. É o acesso. Lançamentos plataforma por plataforma podem criar bloqueios, recuperações atrasadas e atrito ao se mover entre locais, especialmente se o suporte a chaves de hardware ou o registro de dispositivos for desigual.
Como Estou Lendo os Mandatos da SFC de Hong Kong para Logins Resistentes a Phishing
Eu vejo isso como uma mudança na estrutura de mercado na infraestrutura, não como um catalisador narrativo. Ao proibir OTPs via SMS, e-mail ou fluxos de login baseados em aplicativos, a SFC está forçando os locais de Hong Kong a tratar a autenticação resistente a phishing vinculada a dispositivos como um requisito básico, e isso tende a se manifestar primeiro como rotatividade operacional em vez de impacto imediato nas negociações.
O limiar que importa é se os locais podem migrar usuários sem criar atrito persistente de acesso. Se o suporte a chaves de acesso, o registro vinculado a dispositivos e os fluxos de recuperação de contas forem implementados de forma limpa entre plataformas dentro da janela de 12 meses, a configuração começa a parecer estrutural em vez de impulsionada por narrativas, e o retorno prático é menos eventos de tomada de conta sem degradar a continuidade da execução.