Hongkong verbiedt sms- en e-maillogins voor crypto platforms
De SFC wil phishing en accountovernames tegengaan na een recordjaar met cyberincidenten. Platforms moeten overstappen op passkeys en andere phishingbestendige logins.

Korte samenvatting
- De Hongkongse toezichthouder SFC verbiedt OTP-logins via sms, e-mail en apps voor crypto platforms en internetbrokers.
- Platforms moeten overstappen op passkeys en andere phishingbestendige methoden; grote brokers moeten dat direct doen.
- De maatregel volgt op 15.877 cybersecurityincidenten in Hongkong in 2025, waarvan phishing 57 procent uitmaakte.
De Hongkongse toezichthouder SFC verbiedt one-time password logins via sms, e-mail en apps voor crypto platforms en internetbrokers. De maatregel moet phishing terugdringen na een recordjaar met cyberincidenten in de regio. Platforms moeten overstappen op passkeys en andere phishingbestendige methoden, terwijl grote brokers dat direct moeten doen.
Strengere loginregels
De Securities and Futures Commission heeft daarvoor een circulaire uitgevaardigd. Daarin staat dat aanbieders client logins moeten koppelen aan device binding en dat zij verdachte inlogpogingen, trades en withdrawals actief moeten signaleren. Ook moeten klanten sneller worden geïnformeerd over belangrijke accountgebeurtenissen.
Volgens de toezichthouder krijgen bedrijven 12 maanden om aan de nieuwe eisen te voldoen. Grote brokers vallen onder onmiddellijke naleving. De SFC waarschuwde al in februari 2025 voor de risico’s van OTP-logins, maar maakt die lijn nu verplicht.
Phishing drijft de maatregel
De ingreep volgt op 15.877 cybersecurityincidenten in Hongkong in 2025, een stijging van 27 procent ten opzichte van een jaar eerder. Phishing was goed voor 57 procent van de gevallen. Botnets namen 18 procent voor hun rekening en malware 15 procent. In 2023 lag het totaal nog op 7.752 incidenten.
De toezichthouder koppelt die trend aan bredere druk op de cryptosector. Wereldwijd liepen phishingverliezen rond crypto wallets in het eerste kwartaal van 2026 op tot ongeveer $306 miljoen (€268 miljoen). De SFC zegt dat aanvallers steeds vaker gestolen inloggegevens gebruiken in plaats van technische exploits.
Wat dit betekent voor crypto
Voor Europese crypto-lezers is vooral relevant dat Hongkong de verantwoordelijkheid nu expliciet bij de aanbieder legt. De SFC zegt dat senior management direct aansprakelijk kan worden gehouden voor klantverlies als de beveiliging tekortschiet. Dat past in een bredere internationale trend waarin toezichthouders phishing en accountovernames strakker proberen af te dwingen.
De Hongkongse toezichthouder heeft eerder ook frauduleuze websites laten blacklisten die zich voordeden als gelicentieerde crypto exchanges. Dat laat zien dat de aanpak niet alleen draait om loginbeveiliging, maar om een bredere verdedigingslaag tegen scams en misbruik rond handelsplatformen.