A Comissão de Valores Mobiliários e Futuros de Hong Kong (SFC) ordenou que corretores de internet e plataformas licenciadas de negociação de ativos virtuais substituam senhas de uso único por métodos de autenticação resistentes a phishing nas exigências publicadas em 9 de julho. As empresas devem implementar controles mais fortes de login e de vinculação de dispositivo em até 12 meses, com corretores maiores esperados para começar a adoção imediatamente. A diretriz aborda ataques de phishing que representaram 57% de todos os incidentes de cibersegurança reportados ao Centro de Coordenação de Resposta a Emergências de Computadores de Hong Kong durante 2025. A SFC afirmou que senhas de uso único tradicionais não são mais suficientes contra campanhas de phishing cada vez mais sofisticadas que miram contas de negociação online. A medida reforça a postura de Hong Kong de submeter as empresas de ativos digitais a padrões regulatórios semelhantes aos impostos às instituições financeiras tradicionais.
A SFC disse que corretores de internet e operadores de plataformas de negociação de ativos virtuais devem parar de usar senhas de uso único tanto para login do cliente quanto para vinculação do dispositivo, porque tecnologias de autenticação mais seguras agora estão amplamente disponíveis. O regulador citou passkeys e vinculação de dispositivo como exemplos de métodos de autenticação resistentes a phishing capazes de impedir que atacantes ganhem acesso mesmo quando os clientes são enganados para revelar suas credenciais.
A vinculação de dispositivo conecta a conta de negociação de um cliente a um computador ou dispositivo móvel registrado com segurança, usando características únicas do dispositivo, tornando significativamente mais difícil para criminosos fazerem login a partir de hardware não autorizado. A SFC primeiro alertou as empresas sobre fragilidades associadas à autenticação baseada em OTP em fevereiro de 2025, após uma revisão de cibersegurança. A mais recente circular transforma essa orientação em exigência regulatória.
Os novos requisitos se aplicam igualmente a corretores licenciados de valores mobiliários e a operadores de plataformas de negociação de ativos virtuais. Além de autenticação mais forte, as empresas devem introduzir sistemas efetivos de monitoramento capazes de detectar tentativas de login suspeitas, atividades incomuns de negociação e solicitações anormais de retirada. Elas também devem comunicar aos clientes rapidamente eventos significativos da conta, responder de forma ágil a incidentes de hacking e alertar regularmente os clientes sobre campanhas emergentes de phishing e outras ameaças cibernéticas.
A SFC disse que a alta administração continuará sendo, no fim, responsável por proteger os ativos dos clientes e alertou que as empresas podem ser responsabilizadas por perdas resultantes de controles de cibersegurança inadequados. Dr. Eric Yip, diretor-executivo de Intermediários da SFC, afirmou: “Proteger as contas de clientes contra ataques de phishing cada vez mais sofisticados e difíceis de rastrear exige medidas abrangentes que combinem prevenção, detecção, resposta e educação. As empresas licenciadas devem fortalecer sua primeira linha de defesa com soluções robustas de autenticação, manter-se atentas a atividades suspeitas e agir rapidamente antes que haja dano.”
Diferentemente de credenciais tradicionais, passkeys dependem de autenticação criptográfica vinculada ao dispositivo do usuário e não podem ser facilmente interceptadas ou reutilizadas por meio de sites de phishing. Empresas de tecnologia, incluindo Apple, Google e Microsoft, já incorporaram suporte a passkeys em seus sistemas operacionais, enquanto bancos e fintechs começaram a implantar a tecnologia para autenticação de clientes. Para corretores e exchanges cripto, a autenticação mais forte se tornou cada vez mais importante à medida que cibercriminosos miram contas de negociação que podem fornecer acesso imediato a dinheiro, títulos e ativos digitais.
Juntamente com controles técnicos, a SFC pediu aos investidores que continuem seguindo práticas básicas de cibersegurança, incluindo usar senhas fortes e exclusivas, manter os dispositivos atualizados, acessar contas apenas por meio de sites e aplicativos oficiais e revisar os extratos da conta para detectar atividades não autorizadas. O regulador orientou os investidores que suspeitarem que suas credenciais foram comprometidas a contatar imediatamente seu corretor ou plataforma de ativos virtuais, proteger suas contas e reportar o incidente às autoridades relevantes.
Quais métodos de autenticação a SFC de Hong Kong ordenou que corretores e plataformas cripto substituíssem?
A SFC ordenou que corretores de internet e plataformas licenciadas de negociação de ativos virtuais substituíssem senhas de uso único por métodos de autenticação resistentes a phishing, como passkeys e vinculação de dispositivo, nas exigências publicadas em 9 de julho.
Por que a SFC exigiu autenticação mais forte para contas de negociação?
A SFC citou ataques de phishing que responderam por 57% de todos os incidentes de cibersegurança reportados ao Centro de Coordenação de Resposta a Emergências de Computadores de Hong Kong durante 2025, afirmando que senhas de uso único tradicionais não são mais suficientes contra campanhas de phishing cada vez mais sofisticadas que miram contas de negociação online.
Qual é o prazo de implementação das novas exigências de autenticação?
As empresas devem implementar controles mais fortes de login e de vinculação de dispositivo dentro de 12 meses a partir da data de publicação de 9 de julho, enquanto corretores maiores devem começar a adotar as medidas imediatamente.
Notícias relacionadas
FSC determina que empresas de valores mobiliários apresentem planos de proteção ao investidor até 13 de julho
SFC de Hong Kong determina a extinção do OTP para empresas de criptomoedas e corretoras em 12 meses
Centro de Políticas Hyperliquid e Phantom instam a CFTC a atualizar as regras de negociação em cadeia
SFC de Hong Kong proíbe OTPs para plataformas de cripto devido ao aumento de ataques de phishing