Hongkong zakazuje logowania SMS i e-mail na platformach krypto
SFC chce ograniczyć phishing i przejęcia kont po rekordowym roku incydentów cybernetycznych. Platformy mają przejść na passkeys i inne metody logowania odporne na phishing.

Najważniejsze informacje
- Hongkoński organ nadzoru SFC zakazuje logowania OTP przez SMS, e-mail i aplikacje na platformach krypto oraz u brokerów internetowych.
- Platformy muszą przejść na passkeys i inne metody odporne na phishing, a duzi brokerzy muszą zrobić to natychmiast.
- Środek następuje po 15.877 incydentach cyberbezpieczeństwa w Hongkongu w 2025 roku, z czego phishing stanowił 57%.
Hongkoński organ nadzoru SFC wprowadza zakaz logowania z użyciem jednorazowych haseł OTP wysyłanych przez SMS, e-mail i aplikacje na platformach krypto oraz u brokerów internetowych. Celem nowych zasad jest ograniczenie phishingu po rekordowym roku incydentów cybernetycznych w regionie. Firmy mają przejść na passkeys i inne metody logowania odporne na phishing, a duzi brokerzy muszą wdrożyć te rozwiązania bez zwłoki.
Surowsze zasady logowania
Securities and Futures Commission opublikowała w tej sprawie okrężnik. Z dokumentu wynika, że dostawcy usług muszą powiązać logowanie klientów z device binding, a także aktywnie oznaczać podejrzane próby logowania, transakcje i wypłaty. Klienci mają być również szybciej informowani o istotnych zdarzeniach na koncie.
Według regulatora firmy mają 12 miesięcy na dostosowanie się do nowych wymogów. W przypadku dużych brokerów obowiązek wdrożenia działa od razu. SFC już w lutym 2025 roku ostrzegała przed ryzykiem związanym z logowaniem OTP, ale teraz to podejście staje się obowiązkowe.
Phishing napędza decyzję
Decyzja zapada po 15.877 incydentach cyberbezpieczeństwa w Hongkongu w 2025 roku, czyli o 27% więcej niż rok wcześniej. Phishing odpowiadał za 57% wszystkich przypadków. Botnety stanowiły 18%, a malware 15%. Dla porównania, w 2023 roku łączna liczba incydentów wynosiła jeszcze 7.752.
Regulator łączy ten wzrost z szerszą presją na sektor krypto. Globalne straty z phishingu dotyczące crypto wallets w pierwszym kwartale 2026 roku wzrosły do około 306 $ milionów (268 € milionów). SFC podkreśla, że atakujący coraz częściej sięgają po skradzione dane logowania zamiast po techniczne exploity.
Co to oznacza dla rynku krypto
Dla europejskich czytelników krypto najważniejsze jest to, że Hongkong wyraźnie przenosi większą odpowiedzialność na dostawców usług. SFC wskazuje, że wyższe kierownictwo może ponosić bezpośrednią odpowiedzialność za straty klientów, jeśli bezpieczeństwo okaże się niewystarczające. To wpisuje się w szerszy międzynarodowy trend, w którym organy nadzoru próbują skuteczniej egzekwować ochronę przed phishingiem i przejęciami kont.
Hongkoński organ nadzoru wcześniej trafiał też na czarną listę fałszywe strony podszywające się pod licencjonowane crypto exchanges. Pokazuje to, że działania nie ograniczają się wyłącznie do zabezpieczenia logowania, lecz obejmują także szerszą ochronę przed scams i nadużyciami wokół platform handlowych.