Hong Kong SFC determina que corretores e plataformas de cripto substituam OTPs por chaves de acesso (passkeys)

MSFT0,33%

A Comissão de Valores Mobiliários e Futuros de Hong Kong (SFC) ordenou que corretores de internet e plataformas licenciadas de negociação de ativos virtuais substituam senhas de uso único por métodos de autenticação resistentes a phishing nas exigências publicadas em 9 de julho. As empresas devem implementar controles mais fortes de login e de vinculação de dispositivo em até 12 meses, com corretores maiores esperados para começar a adoção imediatamente. A diretriz aborda ataques de phishing que representaram 57% de todos os incidentes de cibersegurança reportados ao Centro de Coordenação de Resposta a Emergências de Computadores de Hong Kong durante 2025. A SFC afirmou que senhas de uso único tradicionais não são mais suficientes contra campanhas de phishing cada vez mais sofisticadas que miram contas de negociação online. A medida reforça a postura de Hong Kong de submeter as empresas de ativos digitais a padrões regulatórios semelhantes aos impostos às instituições financeiras tradicionais.

SFC Declara OTPs Não São Mais Suficientes Para Proteção de Contas

A SFC disse que corretores de internet e operadores de plataformas de negociação de ativos virtuais devem parar de usar senhas de uso único tanto para login do cliente quanto para vinculação do dispositivo, porque tecnologias de autenticação mais seguras agora estão amplamente disponíveis. O regulador citou passkeys e vinculação de dispositivo como exemplos de métodos de autenticação resistentes a phishing capazes de impedir que atacantes ganhem acesso mesmo quando os clientes são enganados para revelar suas credenciais.

A vinculação de dispositivo conecta a conta de negociação de um cliente a um computador ou dispositivo móvel registrado com segurança, usando características únicas do dispositivo, tornando significativamente mais difícil para criminosos fazerem login a partir de hardware não autorizado. A SFC primeiro alertou as empresas sobre fragilidades associadas à autenticação baseada em OTP em fevereiro de 2025, após uma revisão de cibersegurança. A mais recente circular transforma essa orientação em exigência regulatória.

Plataformas de Criptomoedas Enfrentam as Mesmas Regras de Autenticação que Corretores Tradicionais

Os novos requisitos se aplicam igualmente a corretores licenciados de valores mobiliários e a operadores de plataformas de negociação de ativos virtuais. Além de autenticação mais forte, as empresas devem introduzir sistemas efetivos de monitoramento capazes de detectar tentativas de login suspeitas, atividades incomuns de negociação e solicitações anormais de retirada. Elas também devem comunicar aos clientes rapidamente eventos significativos da conta, responder de forma ágil a incidentes de hacking e alertar regularmente os clientes sobre campanhas emergentes de phishing e outras ameaças cibernéticas.

A SFC disse que a alta administração continuará sendo, no fim, responsável por proteger os ativos dos clientes e alertou que as empresas podem ser responsabilizadas por perdas resultantes de controles de cibersegurança inadequados. Dr. Eric Yip, diretor-executivo de Intermediários da SFC, afirmou: “Proteger as contas de clientes contra ataques de phishing cada vez mais sofisticados e difíceis de rastrear exige medidas abrangentes que combinem prevenção, detecção, resposta e educação. As empresas licenciadas devem fortalecer sua primeira linha de defesa com soluções robustas de autenticação, manter-se atentas a atividades suspeitas e agir rapidamente antes que haja dano.”

Passkeys Ganham Apoio Regulatório Como Tecnologia Resistente a Phishing

Diferentemente de credenciais tradicionais, passkeys dependem de autenticação criptográfica vinculada ao dispositivo do usuário e não podem ser facilmente interceptadas ou reutilizadas por meio de sites de phishing. Empresas de tecnologia, incluindo Apple, Google e Microsoft, já incorporaram suporte a passkeys em seus sistemas operacionais, enquanto bancos e fintechs começaram a implantar a tecnologia para autenticação de clientes. Para corretores e exchanges cripto, a autenticação mais forte se tornou cada vez mais importante à medida que cibercriminosos miram contas de negociação que podem fornecer acesso imediato a dinheiro, títulos e ativos digitais.

SFC Pede Que Investidores Sigam Práticas Básicas de Cibersegurança

Juntamente com controles técnicos, a SFC pediu aos investidores que continuem seguindo práticas básicas de cibersegurança, incluindo usar senhas fortes e exclusivas, manter os dispositivos atualizados, acessar contas apenas por meio de sites e aplicativos oficiais e revisar os extratos da conta para detectar atividades não autorizadas. O regulador orientou os investidores que suspeitarem que suas credenciais foram comprometidas a contatar imediatamente seu corretor ou plataforma de ativos virtuais, proteger suas contas e reportar o incidente às autoridades relevantes.

FAQ

Quais métodos de autenticação a SFC de Hong Kong ordenou que corretores e plataformas cripto substituíssem?

A SFC ordenou que corretores de internet e plataformas licenciadas de negociação de ativos virtuais substituíssem senhas de uso único por métodos de autenticação resistentes a phishing, como passkeys e vinculação de dispositivo, nas exigências publicadas em 9 de julho.

Por que a SFC exigiu autenticação mais forte para contas de negociação?

A SFC citou ataques de phishing que responderam por 57% de todos os incidentes de cibersegurança reportados ao Centro de Coordenação de Resposta a Emergências de Computadores de Hong Kong durante 2025, afirmando que senhas de uso único tradicionais não são mais suficientes contra campanhas de phishing cada vez mais sofisticadas que miram contas de negociação online.

Qual é o prazo de implementação das novas exigências de autenticação?

As empresas devem implementar controles mais fortes de login e de vinculação de dispositivo dentro de 12 meses a partir da data de publicação de 9 de julho, enquanto corretores maiores devem começar a adotar as medidas imediatamente.

Isenção de responsabilidade: as informações nesta página podem ter origem em fontes terceiras e servem apenas como referência. Não representam as opiniões da Gate e não constituem orientação financeira, de investimentos ou jurídica. A negociação de ativos virtuais envolve alto risco. Não tome decisões baseando-se apenas nas informações desta página. Para mais detalhes, consulte a Isenção de responsabilidade.
Comentário
0/400
Sem comentários