De acordo com a Comissão de Valores Mobiliários e Futuros, as plataformas licenciadas de negociação de ativos virtuais e corretores de internet em Hong Kong devem eliminar a autenticação por palavra-passe única (OTP) para acessos de clientes e registo de dispositivos num prazo de 12 meses, substituindo-a por métodos mais seguros, como chaves de acesso e ligação de dispositivos.
A diretiva segue um aumento acentuado de ataques de spoofing e de apropriação de contas. A SFC observou que ataques de spoofing representaram 57% de todos os incidentes de segurança reportados em 2025, com base em dados do Centro de Coordenação de Incidentes de Cibersegurança de Hong Kong. As empresas devem também reforçar os sistemas de monitorização de fraudes, notificar rapidamente os clientes de atividades suspeitas e implementar programas de educação sobre riscos de phishing e de impersonificação. Empresas de grande dimensão no setor de corretagem por internet foram instruídas a adotar imediatamente os novos métodos de autenticação, enquanto o prazo de 12 meses aplica-se às demais entidades licenciadas.