O esforço de Hong Kong para fortalecer a segurança cripto acaba de dar um passo concreto e consequente. A Comissão de Valores Mobiliários e Futuros da cidade emitiu uma circular proibindo logins com senhas descartáveis (OTP) em todas as plataformas de negociação de criptomoedas e corretoras de internet — uma resposta direta a uma epidemia de phishing que está silenciosamente esvaziando contas de usuários e sobrecarregando a infraestrutura de cibersegurança da região.
Summary
Principais pontos
- A SFC de Hong Kong proibiu logins com OTP via SMS, e-mail e aplicativos para plataformas cripto e corretoras de internet, exigindo em vez disso passkeys ou outros métodos resistentes a phishing.
- Os operadores têm um prazo de 12 meses para se adequar; grandes corretoras devem agir imediatamente.
- Hong Kong registrou 15.877 incidentes de cibersegurança em 2025 — um aumento de 27% em relação ao ano anterior — com o phishing respondendo por 57% dos casos.
- A alta administração das plataformas licenciadas agora enfrenta responsabilidade pessoal direta por perdas de clientes ligadas a controles fracos de autenticação.
- Ataques recentes de phishing drenaram US$ 12.300 de um usuário da HyperSwap e cerca de US$ 400.000 de sites falsos da Uniswap, ilustrando a escala da ameaça.
Hong Kong proíbe logins com OTP para combater riscos de phishing
A circular da SFC é incomumente direta para um regulador financeiro: parem de usar senhas descartáveis e façam isso agora se vocês forem uma grande corretora. Para operadores menores, a janela é de 12 meses a partir da emissão da circular. Não há ambiguidade e nenhum mecanismo de prorrogação mencionado.
Detalhes da proibição de OTP e novos requisitos de autenticação
A proibição abrange todas as formas comuns de OTP — códigos SMS, links de verificação por e-mail e tokens gerados por aplicativos — removendo o que historicamente tem sido uma das camadas mais familiares de segurança de login em serviços financeiros. Em seu lugar, as plataformas devem implementar passkeys, dispositivos registrados com verificação criptográfica e chaves de segurança de hardware. A SFC descreveu esses elementos coletivamente como soluções resistentes a phishing, o que significa que são projetadas para serem inutilizáveis mesmo que um usuário seja enganado a visitar um site fraudulento.
“Para proteger as contas dos clientes de ataques de phishing cada vez mais sofisticados e variados, é necessária uma abordagem abrangente que combine prevenção, detecção, resposta e educação”, disse Dr. Yip Chi-hang, Diretor Executivo da Divisão de Intermediários da SFC. Ele acrescentou que as instituições licenciadas precisam fortalecer sua primeira linha de defesa por meio de autenticação robusta e responder rapidamente antes que o dano ocorra.
A lógica subjacente é simples: OTPs podem ser interceptadas ou encaminhadas em tempo real por um site de phishing. Passkeys e vinculação criptográfica de dispositivos não podem. O invasor que engana um usuário a inserir um código descartável em uma página falsa de exchange obtém tudo o que precisa. O invasor que se depara com um login vinculado a passkey não obtém nada de utilizável.
Prazos de conformidade e impacto imediato sobre grandes corretoras
A janela de 12 meses se aplica amplamente aos operadores, mas grandes corretoras de internet enfrentam escrutínio imediato, sem período de carência. A formulação da SFC — “tão logo seja praticável” — sinaliza que espera que grandes instituições tratem isso como uma emergência operacional, não como um marco de projeto futuro. Empresas que perderem o prazo correm o risco de ações de fiscalização e danos reputacionais, uma combinação que pode afetar tanto a posição regulatória quanto a confiança dos clientes em um mercado onde a credibilidade da licença é tudo.
Crescentes ataques de phishing e ameaças de cibersegurança em Hong Kong
Os números por trás dessa regulamentação são contundentes. Hong Kong registrou 15.877 incidentes de cibersegurança em 2025, marcando um aumento de 27% em relação ao ano anterior — e mais que o dobro dos 7.752 incidentes registrados em 2023. Ataques de phishing e spoofing responderam por 57% de todos os casos reportados, segundo dados do Centro de Coordenação de Incidentes de Cibersegurança de Hong Kong citados na declaração da SFC.
Disparo de incidentes cibernéticos impulsionado por phishing
A aceleração é notável. Sair de aproximadamente 7.752 incidentes em 2023 para quase 16.000 dois anos depois representa um problema estrutural, não um desvio estatístico. Ataques de botnet vieram em seguida ao phishing, com 18% dos casos, e malware com 15%. Mas é o phishing que está no centro da preocupação da SFC — justamente porque é o vetor de ataque mais diretamente habilitado por sistemas de login baseados em OTP.
Globalmente, o quadro é igualmente alarmante. Ataques de phishing e golpes de engenharia social responderam por US$ 306 milhões das perdas totais de US$ 482 milhões da indústria cripto apenas no primeiro trimestre de 2026. A primeira metade do ano viu as perdas totais relacionadas a phishing chegarem a US$ 366 milhões, de acordo com dados de rastreamento do setor citados em relatórios corroborantes.
Casos notáveis de roubo de cripto ligados a golpes de phishing
Dois casos recentes ilustram exatamente o que a SFC está tentando impedir. Um golpe de phishing de airdrop falso drenou US$ 12.300 de um usuário da HyperSwap em menos de 90 segundos. Aproximadamente no mesmo período, golpistas veicularam anúncios maliciosos no Google se passando pela exchange descentralizada Uniswap, supostamente retirando cerca de US$ 400.000 de várias carteiras por meio de um site falso. Ambos os casos envolveram roubo de credenciais no momento do login — a vulnerabilidade exata que os sistemas de OTP deixam aberta.
Esses não são casos isolados de exceção. Um investidor em cripto perdeu quase US$ 1 milhão após assinar uma aprovação de token de phishing malicioso no Ethereum. Outro titular de carteira teria perdido US$ 1,65 milhão após se conectar a uma exchange falsa e assinar um contrato que deu aos invasores acesso ilimitado aos fundos. O padrão é consistente, escalável e cada vez mais difícil de distinguir de interações legítimas com plataformas.
Fiscalização regulatória e responsabilidade da gestão
Talvez o elemento mais consequente do novo arcabouço seja onde a responsabilidade recai. A SFC deixou claro que a alta administração das plataformas licenciadas tem responsabilidade final pela proteção das contas dos clientes. Controles fracos de cibersegurança deixam de ser uma lacuna de conformidade a ser corrigida discretamente — passam a ser um gatilho direto para responsabilidade da gestão quando ocorrem perdas de clientes.
Responsabilidade da alta administração por perdas de clientes
Esse é um padrão mais rigoroso do que orientações anteriores. Antes, a exposição regulatória das empresas se concentrava principalmente em penalidades institucionais. O novo arcabouço coloca executivos individuais em foco. Se os controles de autenticação de uma plataforma forem inadequados e um cliente perder fundos em um ataque de phishing, a cadeia de responsabilidade agora chega diretamente às pessoas no topo da empresa.
Essa mudança de responsabilidade altera significativamente o cálculo interno. As equipes de compliance acharão consideravelmente mais fácil garantir orçamento e priorização para atualizações de autenticação quando a alternativa for responsabilidade pessoal do CEO ou do CTO.
Consequências da não conformidade e requisitos operacionais
Além da questão da responsabilidade, as plataformas agora devem implementar sistemas contínuos de detecção e monitoramento capazes de identificar logins, negociações e saques suspeitos em tempo real. Também são obrigadas a notificar prontamente os clientes sobre atividades significativas na conta — cobrindo eventos de vinculação de dispositivos, anomalias de login e padrões incomuns de transação — e a alertar regularmente os usuários sobre novos golpes de personificação.
Empresas que perderem o prazo de 12 meses enfrentam ações de fiscalização e danos reputacionais. No ambiente cripto altamente regulado de Hong Kong, onde a credibilidade da licença é um diferencial competitivo, essa combinação tem peso real.
O que isso significa para a indústria cripto global
A proibição de Hong Kong não existe no vácuo. O FBI vem conduzindo operações globais de repressão ao cibercrime visando redes construídas sobre credenciais roubadas. A Tether, operando ao lado da unidade T3 da TRON, vem congelando criptoativos ligados a operações organizadas de roubo de credenciais. As comunidades regulatória e de fiscalização estão claramente se movendo na mesma direção — e Hong Kong simplesmente se moveu mais rápido do que a maioria.
A questão agora é se pares em Singapura, no Reino Unido e em outras grandes jurisdições regulatórias de cripto tratarão isso como um modelo ou esperarão que suas próprias estatísticas de perdas atinjam um patamar semelhante. O MiCAR, o arcabouço cripto da UE que entrou plenamente em vigor em 1º de julho de 2026, estabeleceu padrões rigorosos de governança e conformidade — mas ainda não exige passkeys especificamente. A lacuna entre requisitos gerais de cibersegurança e o tipo de mandato específico de autenticação que Hong Kong acaba de emitir pode se tornar a próxima fronteira de convergência regulatória.
Para plataformas cripto que operam globalmente, a implicação prática já é visível: a infraestrutura técnica necessária para cumprir as regras em Hong Kong — passkeys, vinculação criptográfica de dispositivos, detecção de anomalias em tempo real — é exatamente o que reguladores em outros lugares provavelmente exigirão em seguida. Construí-la agora, em vez de em uma base jurisdição por jurisdição, pode ser o caminho mais racional.
Perguntas frequentes
Quais métodos de login Hong Kong proibiu para plataformas cripto?
A Comissão de Valores Mobiliários e Futuros de Hong Kong proibiu senhas descartáveis via SMS, e-mail e aplicativos para logins em plataformas de negociação de criptomoedas e vinculação de dispositivos.
Quais métodos de autenticação são exigidos em vez de OTPs?
As plataformas devem implementar passkeys, dispositivos registrados com verificação criptográfica e chaves de segurança de hardware — métodos que a SFC descreve como soluções resistentes a phishing que não podem ser interceptadas por meio de ataques de phishing padrão.
Quais são os prazos para as plataformas cripto cumprirem as novas regras?
Os operadores têm um prazo de 12 meses para cumprir os novos requisitos de autenticação. Grandes corretoras de internet, porém, devem mudar para os novos métodos imediatamente, sem período de carência.
Quais são as consequências para empresas que não cumprirem o prazo de conformidade?
Empresas que perderem o prazo correm o risco de ações regulatórias de fiscalização e danos reputacionais. Além disso, a alta administração pode ser responsabilizada diretamente por perdas de clientes causadas por controles de cibersegurança inadequados — um padrão de responsabilidade mais rigoroso do que orientações anteriores.
{“@context”:”https://schema.org”,”@type”:”FAQPage”,”mainEntity”:[{“@type”:”Question”,”name”:”Quais métodos de login Hong Kong proibiu para plataformas cripto?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”A Comissão de Valores Mobiliários e Futuros de Hong Kong proibiu senhas descartáveis via SMS, e-mail e aplicativos para logins em plataformas de negociação de criptomoedas e vinculação de dispositivos.”}},{“@type”:”Question”,”name”:”Quais métodos de autenticação são exigidos em vez de OTPs?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”As plataformas devem implementar passkeys, dispositivos registrados com verificação criptográfica e chaves de segurança de hardware — métodos que a SFC descreve como soluções resistentes a phishing que não podem ser interceptadas por meio de ataques de phishing padrão.”}},{“@type”:”Question”,”name”:”Quais são os prazos para as plataformas cripto cumprirem as novas regras?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”Os operadores têm um prazo de 12 meses para cumprir os novos requisitos de autenticação. Grandes corretoras de internet, porém, devem mudar para os novos métodos imediatamente, sem período de carência.”}},{“@type”:”Question”,”name”:”Quais são as consequências para empresas que não cumprirem o prazo de conformidade?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”Empresas que perderem o prazo correm o risco de ações regulatórias de fiscalização e danos reputacionais. Além disso, a alta administração pode ser responsabilizada diretamente por perdas de clientes causadas por controles de cibersegurança inadequados — um padrão de responsabilidade mais rigoroso do que orientações anteriores.”}}]}
Artigo produzido com a assistência de inteligência artificial e revisado pela equipe editorial.

