Selon la Commission des valeurs mobilières et des contrats à terme, les plateformes de trading d'actifs virtuels agréées de Hong Kong et les courtiers en ligne doivent supprimer l'authentification par mot de passe à usage unique (OTP) pour les connexions clients et l'enregistrement des appareils dans un délai de douze mois, en la remplaçant par des méthodes plus sécurisées telles que les clés de passe et la liaison d'appareils.
La directive fait suite à une forte augmentation des attaques de spoofing et des prises de contrôle de comptes. La SFC a noté que les attaques de spoofing représentaient 57 % de tous les incidents de sécurité signalés en 2025, selon les données du Centre de coordination des incidents de cybersécurité de Hong Kong. Les entreprises doivent également renforcer leurs systèmes de détection de fraude, avertir rapidement les clients en cas d'activité suspecte et mettre en place des programmes d'éducation sur les risques de phishing et d'usurpation d'identité. Les grandes sociétés de courtage en ligne ont été invitées à adopter immédiatement les nouvelles méthodes d'authentification, tandis que le délai de douze mois s'applique aux autres entités agréées.