Hong Kong vieta i login via SMS ed e-mail per le piattaforme crypto
La SFC vuole contrastare phishing e takeover degli account dopo un anno record di incidenti informatici. Le piattaforme dovranno passare ai passkey e ad altri sistemi di login resistenti al phishing.

In breve
- Il regolatore di Hong Kong, la SFC, vieta i login OTP via sms, e-mail e app per le piattaforme crypto e i broker online.
- Le piattaforme dovranno passare ai passkey e ad altri metodi resistenti al phishing; i grandi broker dovranno farlo subito.
- La misura arriva dopo 15.877 incidenti di cybersecurity a Hong Kong nel 2025, di cui il phishing ha rappresentato il 57 per cento.
La SFC di Hong Kong ha deciso di mettere un freno ai login con one-time password via sms, e-mail e app per piattaforme crypto e broker online. L’obiettivo è ridurre il rischio di phishing, dopo un anno particolarmente pesante sul fronte della sicurezza informatica nella regione. Al posto di questi sistemi, le società dovranno adottare passkey e altre soluzioni più resistenti al phishing, mentre i grandi broker dovranno adeguarsi da subito.
Regole di login più rigide
Per formalizzare il nuovo approccio, la Securities and Futures Commission ha pubblicato una circolare. Nel documento si legge che i fornitori dovranno legare l’accesso dei clienti al device binding e attivare sistemi di segnalazione per tentativi sospetti di login, trade e withdrawal. In più, gli utenti dovranno ricevere notifiche più rapide quando si verificano eventi rilevanti sul proprio account.
Stando a quanto indicato dal regolatore, le aziende avranno 12 mesi per mettersi in regola con i nuovi requisiti. Per i grandi broker, invece, l’obbligo scatterà subito. La SFC aveva già richiamato l’attenzione sui rischi dei login OTP a febbraio 2025, ma ora quella linea diventa vincolante.
Il phishing spinge la misura
La stretta arriva dopo 15.877 incidenti di cybersecurity a Hong Kong nel 2025, un dato in crescita del 27 per cento rispetto all’anno precedente. Il phishing da solo ha pesato per il 57 per cento dei casi. I botnet hanno inciso per il 18 per cento, mentre il malware ha rappresentato il 15 per cento. Nel 2023, il totale degli incidenti era ancora fermo a 7.752.
Secondo il regolatore, questo andamento si inserisce in una pressione più ampia che sta colpendo il settore crypto. A livello globale, le perdite da phishing legate ai crypto wallet nel primo trimestre del 2026 sono salite a circa $306 milioni (€268 milioni). La SFC osserva inoltre che gli attaccanti fanno sempre più affidamento su credenziali rubate, invece di puntare su exploit tecnici.
Cosa significa per il crypto
Per chi segue il mercato crypto in Europa, il punto centrale è che Hong Kong scarica in modo esplicito la responsabilità sui fornitori. La SFC afferma infatti che il senior management può essere ritenuto direttamente responsabile delle perdite dei clienti se la sicurezza non è adeguata. Il provvedimento si inserisce in una tendenza internazionale più ampia, con i regolatori che cercano di rafforzare le difese contro phishing e takeover degli account.
In passato, il regolatore di Hong Kong ha anche inserito in blacklist siti fraudolenti che si spacciavano per crypto exchange con licenza. Il messaggio è chiaro: l’attenzione non riguarda solo la sicurezza dei login, ma una protezione più ampia contro scam e abusi sulle piattaforme di trading.