A Comissão de Valores Mobiliários de Hong Kong emitiu um circular exigindo que plataformas de negociação de ativos virtuais e corretoras na internet substituam a autenticação por senha única (OTP) por métodos de segurança mais robustos. O regulador citou ataques de phishing e spoofing, responsáveis por 57% de todos os incidentes de segurança reportados ao Centro de Resposta a Incidentes de Cibersegurança de Hong Kong em 2025, como motivo para a imposição da medida. As empresas devem adotar alternativas mais fortes, como chaves de acesso e autenticação vinculada ao dispositivo, em 12 meses, sendo que grandes corretoras na internet devem implementar as medidas imediatamente. O circular representa uma intensificação da supervisão regulatória no setor de ativos digitais de Hong Kong, onde métodos tradicionais de autenticação agora são considerados insuficientes contra ameaças cibernéticas sofisticadas.
A SFC está exigindo que as plataformas eliminem o uso de OTPs tanto para login de clientes quanto para processos de vinculação de dispositivos. As entidades abrangidas devem cumprir dentro de 12 meses após a emissão do circular, enquanto grandes corretoras na internet devem implementar as novas medidas imediatamente. O regulador descreve chaves de acesso e autenticação vinculada ao dispositivo como métodos de verificação mais resistentes e resistentes a fraudes em comparação com OTPs.
SFC Exige Segurança Aprimorada e Responsabilidade na Gestão
O circular detalha obrigações relacionadas à detecção, resposta e educação dos clientes. Plataformas de negociação de ativos virtuais e corretoras devem implementar sistemas de vigilância capazes de identificar atividades suspeitas de login, negociação e retirada. As empresas precisam notificar rapidamente os clientes sobre eventos significativos na conta e responder prontamente a incidentes de hacking. Espera-se também avisos contínuos aos clientes sobre ameaças cibernéticas emergentes e golpes de impersonificação.
A SFC afirmou que a alta gestão dessas empresas é a responsável final pela adequação dos controles de proteção das contas. Instituições consideradas com salvaguardas internas inadequadas serão responsabilizadas por quaisquer perdas sofridas pelos clientes.
Cronograma Regulatório: De Monitoramento a Exigência
Desde o final de 2024, a SFC vinha monitorando os riscos relacionados à OTP. Em um circular de fevereiro de 2025, o regulador incentivou fortemente as empresas licenciadas a abandonarem o uso de OTPs. O circular atual transforma esse incentivo em um prazo regulatório firme, tornando a exigência de hoje uma obrigação vinculante, e não uma recomendação voluntária.
FAQ
O que a SFC de Hong Kong exigiu que as plataformas de criptomoedas façam?
A Comissão de Valores Mobiliários de Hong Kong emitiu um circular exigindo que plataformas de negociação de ativos virtuais e corretoras na internet substituam a autenticação por senha única (OTP) por métodos de segurança mais robustos, como chaves de acesso e autenticação vinculada ao dispositivo.
Por que a SFC proibiu OTPs para plataformas de criptomoedas?
O regulador citou ataques de phishing e spoofing, responsáveis por 57% de todos os incidentes de segurança reportados ao Centro de Resposta a Incidentes de Cibersegurança de Hong Kong em 2025, observando que a autenticação por OTP tornou-se inadequada contra ataques sofisticados modernos.
Qual é o prazo para que as plataformas de criptomoedas cumpram os novos requisitos de autenticação?
As entidades abrangidas devem cumprir dentro de 12 meses após a emissão do circular, enquanto grandes corretoras na internet devem implementar as novas medidas imediatamente.