Hong Kong proíbe logins por SMS e e-mail nas plataformas de criptomoedas
A SFC quer travar o phishing e as tomadas de conta após um ano recorde de incidentes cibernéticos. As plataformas têm de passar para passkeys e outros métodos de login resistentes ao phishing.

Pontos principais
- O regulador de Hong Kong, SFC, proíbe logins OTP via SMS, e-mail e aplicações para plataformas de criptomoedas e corretoras online.
- As plataformas têm de passar para passkeys e outros métodos resistentes ao phishing; as grandes corretoras têm de o fazer de imediato.
- A medida segue-se a 15.877 incidentes de cibersegurança em Hong Kong em 2025, dos quais o phishing representou 57%.
O regulador de Hong Kong, a SFC, passou a proibir o uso de OTP por SMS, e-mail e aplicações nos logins de plataformas de criptomoedas e corretoras online. A decisão surge como resposta ao aumento do phishing e a um ano particularmente grave em matéria de incidentes cibernéticos na região. As plataformas terão de migrar para passkeys e para outros métodos de autenticação resistentes ao phishing, enquanto as maiores corretoras ficam obrigadas a cumprir de imediato.
Regras de login mais rigorosas
A Securities and Futures Commission publicou para o efeito uma circular. No documento, o regulador determina que os prestadores devem associar os logins dos clientes ao device binding e assinalar de forma activa tentativas suspeitas de início de sessão, trades e withdrawals. Além disso, os clientes devem ser informados mais rapidamente sobre acontecimentos relevantes nas suas contas.
De acordo com a SFC, as empresas dispõem de 12 meses para cumprir os novos requisitos. As grandes corretoras, porém, ficam sujeitas a conformidade imediata. O regulador já tinha alertado em fevereiro de 2025 para os riscos associados aos logins OTP, mas torna agora essa orientação obrigatória.
O phishing impulsiona a medida
A intervenção surge na sequência de 15.877 incidentes de cibersegurança em Hong Kong em 2025, o que representa uma subida de 27% face ao ano anterior. O phishing foi responsável por 57% dos casos. Os botnets representaram 18% e o malware 15%. Em 2023, o total ainda se fixava em 7.752 incidentes.
O regulador relaciona esta evolução com uma pressão mais ampla sobre o sector das criptomoedas. A nível global, as perdas por phishing associadas a carteiras de criptomoedas no primeiro trimestre de 2026 ascenderam a cerca de 306 milhões de dólares (268 milhões de euros). A SFC afirma que os atacantes recorrem cada vez mais a credenciais de acesso roubadas, em vez de exploits técnicos.
O que isto significa para as criptomoedas
Para os leitores europeus de criptomoedas, o ponto mais relevante é que Hong Kong coloca agora a responsabilidade de forma explícita no prestador. A SFC afirma que a administração de topo pode ser responsabilizada directamente por perdas de clientes se a segurança falhar. Isto enquadra-se numa tendência internacional mais ampla, na qual os reguladores procuram reforçar o combate ao phishing e às tomadas de conta.
O regulador de Hong Kong já tinha também colocado em lista negra websites fraudulentos que se faziam passar por exchanges de criptomoedas licenciadas. Isto mostra que a abordagem não se limita à segurança dos logins, mas abrange uma camada de defesa mais ampla contra scams e abusos em torno das plataformas de negociação.