Os investidores em criptomoedas em Hong Kong estão prestes a ver a forma como fazem login em plataformas de negociação mudar drasticamente. A Comissão de Valores Mobiliários e Futuros de Hong Kong emitiu novos requisitos abrangentes de regulamentação de phishing em cripto em Hong Kong, ordenando que todas as plataformas de negociação de ativos virtuais e corretores online da cidade eliminem as senhas descartáveis e as substituam por métodos de login mais fortes e resistentes a phishing — tudo isso dentro de 12 meses.
Summary
Pontos principais
- A SFC proibiu logins baseados em OTP via SMS, e-mail e métodos baseados em aplicativos para plataformas cripto e corretores online, com um prazo de implementação de 12 meses.
- Alternativas aprovadas incluem passkeys, dispositivos registrados com verificação criptográfica e chaves de segurança de hardware.
- Ataques de phishing e golpes de engenharia social causaram US$ 306 milhões em perdas em toda a indústria cripto apenas no primeiro trimestre de 2026, de um total de perdas de US$ 482 milhões.
- Ataques de falsificação e fraude representaram 57% de todos os incidentes de cibersegurança reportados ao Centro de Coordenação de Acidentes de Segurança Cibernética de Hong Kong em 2025.
- A SFC responsabilizará diretamente a alta administração das empresas licenciadas por perdas de clientes decorrentes de controles internos inadequados.
Hong Kong exige login resistente a phishing para plataformas cripto
A ação regulatória sinaliza uma mudança brusca em relação à forma de autenticação de contas mais comumente usada em serviços financeiros. Senhas descartáveis — os códigos de seis dígitos enviados por mensagem de texto, e-mail ou aplicativo autenticador — há muito tempo são o padrão do setor para login em duas etapas. A SFC agora as considera inadequadas diante das técnicas modernas de phishing e está dizendo às empresas que tratem a transição como urgente, não opcional.
Grandes corretoras de internet, em particular, foram instruídas a agir imediatamente em vez de esperar o prazo de 12 meses se encerrar.
Eliminação gradual das senhas descartáveis em 12 meses
A nova circular proíbe logins baseados em OTP em todas as plataformas licenciadas. A posição da SFC é clara: senhas descartáveis tradicionais são fáceis demais de interceptar ou replicar por meio de engenharia social, campanhas de spoofing e sites de phishing que enganam os usuários para que insiram credenciais em interfaces falsas.
O regulador também exige que as empresas implementem sistemas de detecção e vigilância para sinalizar atividades suspeitas de login, negociação e saque. As plataformas devem notificar prontamente os clientes sobre ações significativas na conta e responder a incidentes de hacking sem demora. Alertas regulares aos clientes sobre novos golpes de personificação também passam a fazer parte do quadro de conformidade.
De forma crucial, a SFC deixou claro que a alta administração tem responsabilidade final pela adequação desses controles. Empresas cujos sistemas internos forem insuficientes poderão ser responsabilizadas pelas perdas resultantes dos clientes — uma moldura de responsabilidade que dá força real a esta circular.
Métodos de autenticação aprovados e vinculação de dispositivos
A SFC especificou três categorias de soluções aceitáveis e resistentes a phishing: passkeys, dispositivos registrados usando verificação criptográfica e chaves de segurança de hardware. As três compartilham uma característica comum — vinculam a autenticação a um dispositivo físico ou a uma prova criptográfica que não pode ser facilmente interceptada ou replicada remotamente, mesmo que um usuário seja enganado a visitar um site falso.
Essa abordagem reflete como os padrões de autenticação resistente a phishing evoluíram globalmente. Diferentemente das OTPs, que podem ser coletadas em tempo real por invasores que executam ataques man-in-the-middle, passkeys e chaves de hardware exigem a posse do dispositivo realmente registrado. Não há código a ser roubado.
O aumento das perdas com phishing e fraude ameaça investidores em cripto
A SFC não emitiu essa ordem no vácuo. Os números por trás dela apresentam um quadro desconfortável.
Perdas globais com phishing em cripto e golpes recentes
Ataques de phishing e golpes de engenharia social geraram US$ 306 milhões em perdas na indústria cripto durante o primeiro trimestre de 2026 — representando a maior parte do total de US$ 482 milhões em perdas do setor nesse período. Até a primeira metade de 2026, as perdas relacionadas a phishing haviam subido para US$ 366 milhões, destacando uma tendência acelerada em vez de um pico isolado.
Incidentes individuais traçam um quadro igualmente preocupante. Poucos dias antes da circular da SFC, um investidor em cripto perdeu quase US$ 1 milhão após assinar uma transação maliciosa de aprovação de token de phishing no Ethereum. No início do mesmo mês, o titular de uma carteira perdeu US$ 1,65 milhão após se conectar a uma exchange falsa e assinar um contrato malicioso — uma transação que concedeu aos invasores acesso ilimitado aos fundos, segundo o pesquisador Ryan Coleman. Em 25 de maio, o analista on-chain “b-block” relatou que golpistas haviam veiculado anúncios maliciosos no Google se passando pela exchange descentralizada Uniswap, roubando mais de US$ 400.000 de vítimas que acreditavam estar visitando a plataforma real.
Estatísticas de incidentes de cibersegurança em Hong Kong
Localmente, o perfil de ameaça é igualmente grave. Dados do Centro de Coordenação de Acidentes de Segurança Cibernética de Hong Kong mostram que ataques de falsificação e fraude representaram 57% de todos os incidentes de segurança reportados em 2025. Essa concentração de risco em uma única categoria de ameaça — spoofing e personificação — corresponde diretamente ao que os novos requisitos da SFC foram projetados para combater.
A convergência de dados locais de incidentes com perdas globais por phishing torna o momento dessa regulamentação fácil de entender. O mercado cripto de Hong Kong vem se expandindo e, com mais usuários em plataformas licenciadas, surge uma superfície de ataque maior. A SFC parece estar se movendo antes que um grande incidente local a force a agir.
Reações da indústria e apelos por mais segurança em carteiras
Co-fundador da Binance defende proteções aprimoradas para carteiras
A pressão para elevar os padrões de segurança não veio apenas dos reguladores. Changpeng Zhao, co-fundador da Binance, pediu publicamente melhores medidas de segurança para carteiras depois que um investidor perdeu US$ 50 milhões em um golpe de address poisoning em dezembro de 2025. Address poisoning é um vetor de ataque diferente do phishing — funciona inserindo um endereço de carteira fraudulento quase idêntico no histórico de transações da vítima — mas reflete o mesmo padrão mais amplo: invasores explorando pequenos momentos de desatenção com consequências financeiras devastadoras.
A escala desse incidente, e o perfil público da pessoa que o destacou, ajudaram a manter a segurança em cripto na conversa da indústria na entrada de 2026.
Golpes notáveis de address poisoning geram alerta
Address poisoning gerou algumas das cifras de perda individual mais impressionantes da memória recente. Em maio de 2024, uma vítima perdeu US$ 71 milhões em um ataque de address poisoning — um caso incomum que acabou com o invasor devolvendo o valor total depois que investigadores afirmaram ter rastreado um possível endereço IP. Esse desfecho foi excepcional. A maioria das vítimas nesses esquemas não recupera nada.
Perspectivas de especialistas sobre o combate ao phishing em cripto
“Para proteger as contas dos clientes de ataques de falsificação e fraude cada vez mais complexos e em constante mudança, medidas abrangentes devem ser implementadas em conjunto com prevenção, detecção, resposta e educação”, disse Ye Zhiheng, Diretor Executivo do Departamento de Intermediários da Comissão Reguladora de Valores Mobiliários da China.
A forma de enquadrar o problema importa. A prevenção por meio de melhor autenticação é apenas uma camada. Sistemas de detecção, resposta rápida a incidentes e educação contínua do usuário formam o restante da abordagem que os reguladores agora consideram necessária. A circular da SFC reflete esse pensamento em camadas — ela não simplesmente exige uma tecnologia de login melhor e para por aí. Pede que as empresas construam uma postura de segurança integrada, desde a tela de login até a comunicação com o cliente.
O que a regulamentação ainda não responde é como plataformas menores de negociação de ativos virtuais absorverão o custo e a complexidade técnica de implementar chaves de segurança de hardware e vinculação criptográfica de dispositivos em escala. A janela de 12 meses dá às empresas espaço para planejar, mas a diferença entre uma grande corretora licenciada e uma VATP menor em termos de capacidade de engenharia de segurança é real. A forma como a SFC lidará com essa disparidade — e se as penalidades por não conformidade serão proporcionais — pode definir quão eficaz esse mandato realmente se mostrará.
Perguntas frequentes
Quais novos requisitos de login a Comissão de Valores Mobiliários e Futuros de Hong Kong impôs às plataformas cripto?
A SFC exige que plataformas cripto e corretores online adotem métodos de autenticação resistentes a phishing — especificamente passkeys, dispositivos registrados com verificação criptográfica e chaves de segurança de hardware — ao mesmo tempo em que proíbe senhas descartáveis entregues via SMS, e-mail ou logins baseados em aplicativos. As empresas têm 12 meses para implementar as mudanças, embora grandes corretores de internet tenham sido instruídos a agir imediatamente.
Por que esses novos métodos de login resistentes a phishing estão sendo exigidos agora?
O mandato segue um forte aumento em ataques de phishing e golpes de engenharia social que causaram US$ 306 milhões em perdas em toda a indústria cripto no primeiro trimestre de 2026, juntamente com dados que mostram que ataques de falsificação e fraude representaram 57% dos incidentes de cibersegurança reportados em Hong Kong em 2025. A SFC considera as OTPs inadequadas diante da sofisticação das técnicas de ataque atuais.
Quais alternativas às senhas descartáveis são aceitas pelo regulador de Hong Kong?
A SFC aprovou três categorias de soluções resistentes a phishing: passkeys, dispositivos registrados com verificação criptográfica e chaves de segurança de hardware. Esses métodos vinculam a autenticação a um dispositivo físico ou a uma prova criptográfica, tornando-os significativamente mais difíceis de serem interceptados, mesmo por meio de sites falsos ou engenharia social.
Qual tem sido a reação da indústria cripto a essas ameaças de phishing?
Líderes do setor, incluindo o co-fundador da Binance, Changpeng Zhao, têm pedido mais segurança para carteiras após incidentes de grande repercussão, incluindo um golpe de address poisoning de US$ 50 milhões em dezembro de 2025. A ação da SFC formaliza o que figuras proeminentes da indústria vêm defendendo informalmente há meses.
{“@context”:”https://schema.org”,”@type”:”FAQPage”,”mainEntity”:[{“@type”:”Question”,”name”:”Quais novos requisitos de login a Comissão de Valores Mobiliários e Futuros de Hong Kong impôs às plataformas cripto?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”A SFC exige que plataformas cripto e corretores online adotem métodos de autenticação resistentes a phishing — especificamente passkeys, dispositivos registrados com verificação criptográfica e chaves de segurança de hardware — ao mesmo tempo em que proíbe senhas descartáveis entregues via SMS, e-mail ou logins baseados em aplicativos. As empresas têm 12 meses para implementar as mudanças, embora grandes corretores de internet tenham sido instruídos a agir imediatamente.”}},{“@type”:”Question”,”name”:”Por que esses novos métodos de login resistentes a phishing estão sendo exigidos agora?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”O mandato segue um forte aumento em ataques de phishing e golpes de engenharia social que causaram US$ 306 milhões em perdas em toda a indústria cripto no primeiro trimestre de 2026, juntamente com dados que mostram que ataques de falsificação e fraude representaram 57% dos incidentes de cibersegurança reportados em Hong Kong em 2025. A SFC considera as OTPs inadequadas diante da sofisticação das técnicas de ataque atuais.”}},{“@type”:”Question”,”name”:”Quais alternativas às senhas descartáveis são aceitas pelo regulador de Hong Kong?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”A SFC aprovou três categorias de soluções resistentes a phishing: passkeys, dispositivos registrados com verificação criptográfica e chaves de segurança de hardware. Esses métodos vinculam a autenticação a um dispositivo físico ou a uma prova criptográfica, tornando-os significativamente mais difíceis de serem interceptados, mesmo por meio de sites falsos ou engenharia social.”}},{“@type”:”Question”,”name”:”Qual tem sido a reação da indústria cripto a essas ameaças de phishing?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”Líderes do setor, incluindo o co-fundador da Binance, Changpeng Zhao, têm pedido mais segurança para carteiras após incidentes de grande repercussão, incluindo um golpe de address poisoning de US$ 50 milhões em dezembro de 2025. A ação da SFC formaliza o que figuras proeminentes da indústria vêm defendendo informalmente há meses.”}}]}
Artigo produzido com a assistência de inteligência artificial e revisado pela equipe editorial.

