De Securities and Futures Commission (SFC) van Hongkong heeft alle gelicentieerde cryptohandelsplatforms en online brokers in de stad bevolen om binnen de komende 12 maanden phishing-bestendige inlogvereisten te implementeren. De richtlijn, gepubliceerd op 9 juli, stelt de deadline voor naleving op medio 2027.
De maatregel richt zich op een hardnekkige kwetsbaarheid in de markten voor digitale activa: diefstal van inloggegevens. Phishingaanvallen โ waarbij kwaadwillenden gebruikers verleiden om wachtwoorden of twee-factor-authenticatiecodes af te geven โ hebben wereldwijd miljoenen van exchange-accounts gehaald. De nieuwe regels van de SFC dwingen platforms om authenticatiemethoden te gebruiken die niet gemakkelijk kunnen worden onderschept of hergebruikt.
Hoewel de toezichthouder geen exacte technologie specificeerde, verwijst de term "phishing-bestendig" doorgaans naar hardwarematige beveiligingssleutels (FIDO2/WebAuthn) of biometrische verificatie die aan het apparaat van een gebruiker is gekoppeld. Standaard sms-codes en op apps gebaseerde eenmalige wachtwoorden, beide gebruikelijk in de cryptowereld, zijn kwetsbaar voor real-time phishing-proxies. De SFC geeft platforms in feite de opdracht om deze zwakke schakel te elimineren.
De termijn van 12 maanden geeft exploitanten de ruimte om hun inlogprocessen aan te passen en gebruikers voor te lichten. Hongkong heeft zijn greep op de sector verscherpt sinds de invoering van zijn verplichte licentieregime voor dienstverleners van virtuele activa in 2023. Een handvol platforms heeft al een licentie verkregen of aangevraagd; andere zijn gestopt of hebben de stad verlaten.
Voor handelaren is het praktische effect duidelijk: verwacht dat je een beveiligingssleutel moet registreren of gezichtsherkenning moet inschakelen voordat je kunt handelen. Die extra stap, hoewel het voor wat frictie zorgt, sluit de meest voorkomende methode voor accountovername uit. De opdracht van de SFC is van toepassing op zowel particuliere als professionele beleggersrekeningen die onder haar toezicht vallen.
De richtlijn komt op een moment dat wereldwijde toezichthouders de druk op de beveiliging van exchanges opvoeren. De Japanse FSA verplicht al hardware-gebaseerde MFA voor bepaalde cryptodiensten. De Britse FCA heeft phishing aangemerkt als een topprioriteit voor handhaving. De regel van Hongkong maakt het de eerste grote Aziatische hub die een specifieke anti-phishingstandaard voor digitale activa vastlegt, en niet slechts een algemene aanbeveling voor "sterke authenticatie".
De belangrijkste datum voor platforms is juli 2027. Elk bedrijf dat niet aan de eis voldoet, riskeert licentievoorwaarden of, in het ergste geval, intrekking van de licentie. Voorlopig reageerde de markt positief op het nieuws โ strengere beveiliging verlaagt de kans op inbreuken bij exchanges, die historisch gezien verkoopgolven veroorzaken en het vertrouwen van particuliere beleggers ondermijnen. Of die positieve reactie standhoudt, zal afhangen van hoe soepel de uitrol verloopt.
Hongkong eist betere loginbeveiliging van cryptoplatforms
De toezichthouder in Hongkong heeft cryptohandelsplatforms met een licentie bevolen om binnen 12 maanden sterkere inlogmethoden in te voeren. Dit moet phishingaanvallen, waarbij wachtwoorden van gebruikers worden gestolen, voorkomen en de algehele veiligheid van de markt voor digitale activa verbeteren.