A Comissão de Valores Mobiliários e Futuros de Hong Kong (SFC) ordenou que todas as plataformas de negociação de criptomoedas e corretoras online licenciadas na cidade implementem requisitos de login resistentes a phishing nos próximos 12 meses. A diretiva, publicada em 9 de julho, estabelece um prazo de conformidade para meados de 2027.
A medida visa uma vulnerabilidade persistente nos mercados de ativos digitais: o roubo de credenciais. Ataques de phishing – onde agentes mal-intencionados enganam os usuários para que entreguem senhas ou códigos de dois fatores – drenaram milhões de contas de exchanges em todo o mundo. As novas regras da SFC pressionam as plataformas a adotar métodos de autenticação que não possam ser facilmente interceptados ou reproduzidos.
Embora o regulador não tenha especificado a tecnologia exata, o termo "resistente a phishing" normalmente se refere a chaves de segurança baseadas em hardware (FIDO2/WebAuthn) ou verificação biométrica vinculada ao dispositivo do usuário. Códigos SMS padrão e senhas de uso único baseadas em aplicativos, ambos comuns no universo cripto, são vulneráveis a proxies de phishing em tempo real. A SFC está efetivamente dizendo às plataformas para eliminarem esse elo fraco.
O prazo de 12 meses dá aos operadores espaço para reestruturar seus fluxos de login e educar os usuários. Hong Kong tem apertado o cerco ao setor desde a introdução de seu regime de licenciamento obrigatório para provedores de serviços de ativos virtuais em 2023. Algumas plataformas já garantiram ou solicitaram licenças; outras fecharam ou deixaram a cidade.
Para os traders, o efeito prático é direto: espere ter que registrar uma chave de segurança ou cadastrar o reconhecimento facial antes de poder negociar. Esse passo extra, embora crie um atrito, fecha o vetor mais comum de tomada de controle de contas. A ordem da SFC se aplica tanto a contas de investidores de varejo quanto profissionais sob sua supervisão.
A diretiva surge enquanto reguladores globais aumentam a pressão sobre a segurança das exchanges. A FSA do Japão já exige MFA baseada em hardware para certos serviços de criptomoedas. A FCA do Reino Unido indica o phishing como uma das principais prioridades de fiscalização. A regra de Hong Kong o torna o primeiro grande centro asiático a codificar um padrão anti-phishing específico para ativos digitais, e não apenas uma recomendação geral de "autenticação forte".
A data-chave para as plataformas: julho de 2027. Qualquer empresa que não cumprir o requisito arrisca condições na licença ou, no pior caso, a revogação. Por enquanto, o mercado interpretou a notícia como otimista – uma segurança mais rígida diminui a probabilidade de violações em exchanges, que historicamente desencadeiam vendas massivas e corroem a confiança do varejo. Se essa leitura otimista se manterá, dependerá de quão tranquila será a implementação.
Hong Kong exige que plataformas cripto reforcem segurança de login
O regulador de Hong Kong ordenou que as plataformas de negociação de criptomoedas licenciadas adotem métodos de login mais fortes dentro de 12 meses para impedir ataques de phishing que roubam senhas de usuários. A medida visa proteger os investidores e melhorar a segurança geral no mercado de ativos digitais.