Komisja Papierów Wartościowych i Giełd w Hongkongu (SFC) nakazała wszystkim licencjonowanym platformom handlu kryptowalutami i brokerom internetowym w mieście wdrożenie w ciągu najbliższych 12 miesięcy wymogów logowania odpornego na phishing. Dyrektywa, opublikowana 9 lipca, wyznacza ostateczny termin zgodności na połowę 2027 roku.
Krok ten ma na celu wyeliminowanie uporczywej luki w zabezpieczeniach na rynkach aktywów cyfrowych: kradzieży danych uwierzytelniających. Ataki phishingowe – w których przestępcy nakłaniają użytkowników do przekazania haseł lub kodów dwuskładnikowych – doprowadziły do kradzieży milionów z kont giełdowych na całym świecie. Nowe przepisy SFC zmuszają platformy do przyjęcia metod uwierzytelniania, których nie można łatwo przechwycić ani ponownie wykorzystać.
Chociaż regulator nie sprecyzował dokładnej technologii, termin „odporny na phishing” zazwyczaj odnosi się do sprzętowych kluczy bezpieczeństwa (FIDO2/WebAuthn) lub weryfikacji biometrycznej powiązanej z urządzeniem użytkownika. Standardowe kody SMS i jednorazowe hasła z aplikacji, powszechne w świecie krypto, są podatne na ataki phishingowe w czasie rzeczywistym. SFC w praktyce nakazuje platformom wyeliminowanie tego słabego ogniwa.
Termin 12 miesięcy daje operatorom czas na dostosowanie swoich procesów logowania i edukację użytkowników. Hongkong zacieśnia kontrolę nad sektorem od czasu wprowadzenia obowiązkowego systemu licencjonowania dla dostawców usług w zakresie aktywów wirtualnych w 2023 roku. Kilka platform już uzyskało lub złożyło wnioski o licencje; inne zamknęły działalność lub opuściły miasto.
Dla traderów praktyczny skutek jest prosty: należy spodziewać się konieczności zarejestrowania klucza bezpieczeństwa lub włączenia rozpoznawania twarzy przed rozpoczęciem handlu. Ten dodatkowy krok, choć stanowi pewne utrudnienie, zamyka najczęstszy wektor przejmowania kont. Nakaz SFC dotyczy zarówno kont inwestorów detalicznych, jak i profesjonalnych podlegających jej nadzorowi.
Dyrektywa pojawia się w czasie, gdy globalni regulatorzy zwiększają presję na bezpieczeństwo giełd. Japońska FSA już wymaga sprzętowego uwierzytelniania wieloskładnikowego dla niektórych usług kryptowalutowych. Brytyjska FCA uznała phishing za jeden z głównych priorytetów w egzekwowaniu prawa. Przepisy Hongkongu czynią go pierwszym dużym azjatyckim centrum finansowym, które skodyfikowało konkretny standard antyphishingowy dla aktywów cyfrowych, a nie tylko ogólne zalecenie dotyczące „silnego uwierzytelniania”.
Kluczowa data dla platform to lipiec 2027 roku. Każda firma, która nie spełni tego wymogu, ryzykuje nałożeniem warunków na licencję lub, w najgorszym przypadku, jej cofnięciem. Na razie rynek odczytał tę wiadomość jako byczy oznaka – ściślejsze zabezpieczenia zmniejszają prawdopodobieństwo włamań na giełdy, które historycznie wywoływały wyprzedaże i podważały zaufanie inwestorów detalicznych. To, czy ten optymistyczny odczyt się utrzyma, będzie zależeć od tego, jak sprawnie przebiegnie wdrożenie.
Hongkong nakazuje platformom krypto wzmocnić bezpieczeństwo logowania
Regulator z Hongkongu nakazał licencjonowanym platformom kryptowalutowym wdrożenie silniejszych metod logowania w ciągu 12 miesięcy. Celem jest ograniczenie ataków phishingowych kradnących hasła i środki użytkowników.