Hong Kong dá 1 ano para banir OTP em logins

Plataformas licenciadas de ativos virtuais e corretoras online que operam em Hong Kong terão até 8 de julho de 2027 para abandonar senhas de uso único, conhecidas como OTPs, nos logins de clientes e no registro ou vinculação de novos dispositivos. A medida surgiu em circular publicada em 9 de julho pela Securities and Futures Commission, a SFC, que passou a exigir métodos de autenticação resistentes a phishing nesses pontos críticos.

Segundo o regulador, as OTPs já não oferecem o nível de proteção exigido nessas duas etapas específicas. Assim, a mudança atinge o acesso inicial do cliente e a associação de novos aparelhos à conta. Os demais usos de OTP continuam permitidos, ao menos por enquanto.

A regra reforça a pressão sobre empresas que atendem investidores no mercado cripto e em ativos virtuais. Além disso, amplia a responsabilidade operacional das plataformas, já que a SFC associou a segurança de autenticação à prevenção de perdas financeiras e fraudes em larga escala.

SFC aperta exigências após onda de phishing

A decisão ganhou força após campanhas de phishing registradas em 2025. Naquele período, golpistas dispararam mensagens de texto com links que imitavam corretoras e simulavam solicitações de reguladores ou órgãos governamentais. Como resultado, muitos clientes entregaram credenciais de login e códigos temporários em páginas falsas.

Com essas informações, criminosos puderam sequestrar sessões e movimentar fundos sem autorização. Por isso, a SFC concluiu que o modelo baseado em OTP já não basta para conter ataques mais sofisticados. Nesse sentido, a autarquia determinou uma revisão imediata das camadas de defesa das plataformas licenciadas.

Além disso, a circular exige monitoramento de logins irregulares, atividade relacionada a novos dispositivos, negociações fora do padrão histórico do cliente e saques de recursos ou ativos virtuais. As empresas também devem enviar alertas rápidos após logins bem-sucedidos e depois de alterações de maior risco, como cadastro de novo aparelho e criação ou revogação de passkeys.

Linha do tempo com exigências da SFC de Hong Kong entre 9 de julho de 2026 e 8 de julho de 2027

Linha do tempo com exigências da SFC de Hong Kong entre 9 de julho de 2026 e 8 de julho de 2027.

Os controles sobre esses acessos já entraram em vigor. Dessa forma, as empresas precisam reforçar agora seus sistemas de notificação ao cliente, o monitoramento de contas, a vigilância de atividade suspeita e os procedimentos de resposta a incidentes. A SFC também determinou a suspensão ou restrição imediata de qualquer conta com indícios de fraude.

Notificações e resposta a incidentes viram prioridade

Antes de tudo, o regulador quer reduzir o tempo entre a invasão e a reação da plataforma. Afinal, fraudes de phishing costumam avançar rapidamente quando o invasor consegue registrar um novo dispositivo ou concluir um login sem barreiras adicionais. Portanto, a combinação entre alerta rápido e monitoramento contínuo passou a ocupar o centro da nova política.

Além disso, a SFC deixou claro que essas exigências não se limitam a uma atualização tecnológica. Em outras palavras, Hong Kong passou a tratar autenticação, monitoramento e resposta a incidentes como elementos integrados de gestão de risco.

Prazo até 2027 amplia dever das plataformas

A implementação não será idêntica para todos os participantes. Grandes corretoras online deverão adotar métodos mais robustos imediatamente. Por outro lado, o conjunto mais amplo de empresas licenciadas contará com um período de 12 meses para concluir a adaptação.

A autoridade também esclareceu que clientes antigos não precisarão refazer o vínculo de dispositivos já registrados. Ainda assim, novas associações e novos logins deverão obedecer ao padrão reforçado. Assim, a transição busca reduzir atritos desnecessários sem enfraquecer a proteção nas etapas mais sensíveis.

Entre as alternativas aceitas pela SFC estão as passkeys, que usam técnicas de chave pública no lugar de um segredo reutilizável. Nesse modelo, a credencial funciona apenas com o serviço legítimo. Ao mesmo tempo, a chave privada permanece no dispositivo do usuário ou sob gestão de um gerenciador de passkeys.

Conforme o entendimento do regulador, esse desenho reduz o risco de captura da credencial em sites falsos. Além disso, a SFC aceita mecanismos de vinculação de dispositivos baseados em verificação robusta, desde que tragam um fator adicional, como biometria ou senha da conta.

Por fim, a circular foi objetiva ao tratar da responsabilidade das empresas. A autoridade afirmou que uma plataforma poderá responder por perdas de clientes caso controles inadequados não previnam, detectem e interrompam transações não autorizadas em larga escala após um incidente de invasão.

Executivos seniores também entram no foco regulatório

Acima de tudo, a circular atribui responsabilidade final aos executivos seniores que supervisionam as operações gerais e a área de tecnologia da informação. Dessa maneira, a adequação em Hong Kong deixa de ser um tema restrito às equipes técnicas e passa a integrar a governança corporativa.

O teste decisivo chegará até 8 de julho de 2027. Até lá, as plataformas precisarão eliminar as OTPs nos principais pontos de login e cadastro de dispositivos. Além disso, terão de demonstrar melhorias reais na detecção de fraude, nas notificações aos clientes, no monitoramento de contas e nos protocolos de resposta a incidentes, como exigiu a Securities and Futures Commission em sua circular de 9 de julho.