SFC de Hong Kong determina a extinção do OTP para empresas de criptomoedas e corretoras em 12 meses

A Comissão de Valores Mobiliários de Hong Kong ordenou que plataformas licenciadas de negociação de ativos virtuais e corretoras na internet eliminassem o uso de senhas de uso único (OTP) para login de clientes e registro de dispositivos em até 12 meses. A medida acompanha um aumento nos ataques de spoofing, que representaram 57% de todos os incidentes de segurança relatados em 2025, segundo dados do Centro de Coordenação de Incidentes de Cibersegurança de Hong Kong. O regulador afirmou que a autenticação baseada em OTP não é mais suficiente contra operações de phishing, impersonificação e fraudes que enganam usuários para entregarem códigos de login, permitindo que atacantes acessem contas, registrem novos dispositivos, façam negociações ou tentem saques antes que as empresas detectem o comprometimento.

SFC Exige Passkeys e Vinculação de Dispositivos para Autenticação

A circular exige que as empresas parem de usar OTPs para login de clientes e vinculação de dispositivos, adotando métodos de autenticação mais seguros, como passkeys e vinculação de dispositivos. O regulador afirmou que a implementação deve ocorrer "o mais rápido possível", com prazo final de 12 meses a partir da data de emissão da circular. Grandes corretoras de internet foram orientadas a adotar imediatamente os novos métodos de autenticação. Passkeys reduzem a dependência de códigos que podem ser roubados por páginas de phishing, enquanto a vinculação de dispositivos conecta o acesso à conta a dispositivos confiáveis, dificultando tentativas de login não autorizadas.

Empresas Licenciadas Devem Reforçar Monitoramento e Alertas aos Clientes

As empresas licenciadas devem fortalecer seus sistemas de monitoramento para detectar atividades suspeitas de login, negociação e saque. Isso inclui acompanhar padrões de acesso incomuns, atividade de novos dispositivos, comportamentos anormais em ordens e solicitações de saque que possam indicar comprometimento da conta. O regulador também exige que as empresas notifiquem rapidamente os clientes sobre atividades relevantes na conta e respondam prontamente a incidentes de hacking. A educação do cliente faz parte da orientação, com as empresas esperando alertar regularmente os usuários sobre golpes de impersonificação, tentativas de phishing e riscos emergentes de cibersegurança.

Dr. Yip Chi-hang, Diretor Executivo da Divisão de Intermediários da SFC, afirmou: "Para proteger as contas dos clientes contra ataques de phishing cada vez mais sofisticados e variados, é necessária uma abordagem abrangente que combine prevenção, detecção, resposta e educação. As instituições licenciadas devem fortalecer sua primeira linha de defesa com soluções de autenticação robustas, manter vigilância contra atividades suspeitas e responder rapidamente antes que danos ocorram."

Alta Gestão Tem Responsabilidade Final pela Proteção das Contas

A SFC lembrou que a alta gestão das empresas licenciadas é a responsável final por controles adequados para proteger as contas e ativos dos clientes. O regulador afirmou que as empresas podem ser responsabilizadas por perdas de clientes decorrentes de deficiências nos controles internos. A política se aplica tanto a corretoras de internet quanto às plataformas de negociação de ativos virtuais, estabelecendo uma base comum para o acesso financeiro online nos mercados tradicionais de valores mobiliários e criptoativos.

FAQ

Quais métodos de autenticação as plataformas de criptomoedas e corretoras de Hong Kong devem adotar para substituir OTPs?

As empresas devem adotar métodos de autenticação mais seguros, como passkeys e vinculação de dispositivos. Passkeys reduzem a dependência de códigos que podem ser roubados por páginas de phishing, enquanto a vinculação de dispositivos conecta o acesso à conta a dispositivos confiáveis.

Por que a SFC ordenou a eliminação do login por OTP?

A medida acompanha um aumento nos ataques de spoofing, que representaram 57% de todos os incidentes de segurança relatados em 2025, segundo o Centro de Coordenação de Incidentes de Cibersegurança de Hong Kong. O regulador afirmou que a autenticação baseada em OTP não é mais suficiente contra operações de phishing, impersonificação e fraudes.

Qual o prazo para as empresas cumprirem os novos requisitos de autenticação da SFC?

As empresas têm 12 meses a partir da data de emissão da circular para eliminar o uso de OTPs no login de clientes e registro de dispositivos. Grandes corretoras de internet foram orientadas a adotar imediatamente os novos métodos de autenticação.

Isenção de responsabilidade: as informações nesta página podem ter origem em fontes terceiras e servem apenas como referência. Não representam as opiniões da Gate e não constituem orientação financeira, de investimentos ou jurídica. A negociação de ativos virtuais envolve alto risco. Não tome decisões baseando-se apenas nas informações desta página. Para mais detalhes, consulte a Isenção de responsabilidade.
Comentário
0/400
Sem comentários