Finst

Hong Kong proíbe logins por SMS e e-mail nas plataformas de criptomoedas

A SFC quer travar o phishing e as tomadas de conta após um ano recorde de incidentes cibernéticos. As plataformas têm de passar para passkeys e outros métodos de login resistentes ao phishing.

Hong Kong proíbe logins por SMS e e-mail nas plataformas de criptomoedas

Pontos principais

  • O regulador de Hong Kong, SFC, proíbe logins OTP via SMS, e-mail e aplicações para plataformas de criptomoedas e corretoras online.
  • As plataformas têm de passar para passkeys e outros métodos resistentes ao phishing; as grandes corretoras têm de o fazer de imediato.
  • A medida segue-se a 15.877 incidentes de cibersegurança em Hong Kong em 2025, dos quais o phishing representou 57%.

O regulador de Hong Kong, a SFC, passou a proibir o uso de OTP por SMS, e-mail e aplicações nos logins de plataformas de criptomoedas e corretoras online. A decisão surge como resposta ao aumento do phishing e a um ano particularmente grave em matéria de incidentes cibernéticos na região. As plataformas terão de migrar para passkeys e para outros métodos de autenticação resistentes ao phishing, enquanto as maiores corretoras ficam obrigadas a cumprir de imediato.

Regras de login mais rigorosas

A Securities and Futures Commission publicou para o efeito uma circular. No documento, o regulador determina que os prestadores devem associar os logins dos clientes ao device binding e assinalar de forma activa tentativas suspeitas de início de sessão, trades e withdrawals. Além disso, os clientes devem ser informados mais rapidamente sobre acontecimentos relevantes nas suas contas.

De acordo com a SFC, as empresas dispõem de 12 meses para cumprir os novos requisitos. As grandes corretoras, porém, ficam sujeitas a conformidade imediata. O regulador já tinha alertado em fevereiro de 2025 para os riscos associados aos logins OTP, mas torna agora essa orientação obrigatória.

O phishing impulsiona a medida

A intervenção surge na sequência de 15.877 incidentes de cibersegurança em Hong Kong em 2025, o que representa uma subida de 27% face ao ano anterior. O phishing foi responsável por 57% dos casos. Os botnets representaram 18% e o malware 15%. Em 2023, o total ainda se fixava em 7.752 incidentes.

O regulador relaciona esta evolução com uma pressão mais ampla sobre o sector das criptomoedas. A nível global, as perdas por phishing associadas a carteiras de criptomoedas no primeiro trimestre de 2026 ascenderam a cerca de 306 milhões de dólares (268 milhões de euros). A SFC afirma que os atacantes recorrem cada vez mais a credenciais de acesso roubadas, em vez de exploits técnicos.

O que isto significa para as criptomoedas

Para os leitores europeus de criptomoedas, o ponto mais relevante é que Hong Kong coloca agora a responsabilidade de forma explícita no prestador. A SFC afirma que a administração de topo pode ser responsabilizada directamente por perdas de clientes se a segurança falhar. Isto enquadra-se numa tendência internacional mais ampla, na qual os reguladores procuram reforçar o combate ao phishing e às tomadas de conta.

O regulador de Hong Kong já tinha também colocado em lista negra websites fraudulentos que se faziam passar por exchanges de criptomoedas licenciadas. Isto mostra que a abordagem não se limita à segurança dos logins, mas abrange uma camada de defesa mais ampla contra scams e abusos em torno das plataformas de negociação.


Aviso: Este conteúdo é destinado apenas para fins informativos e não constitui aconselhamento financeiro, de investimento, jurídico ou fiscal. As informações fornecidas podem estar incompletas, imprecisas ou desatualizadas e não devem ser utilizadas como aconselhamento. Nenhuma informação neste website deve ser considerada uma recomendação para comprar, vender ou manter qualquer criptomoeda. Investir em criptoativos envolve risco de perdas.