香港证券及期货事务监察委员会(SFC)于2026年7月9日发布新规,要求所有持牌虚拟资产交易平台(VATP)及互联网券商在12个月内,彻底停用短信、电邮或APP生成的一次性密码(OTP)进行客户登录及设备绑定。新规旨在以抗钓鱼能力更强的认证方式,全面提升客户账户安全。

新规核心要点

· 过渡期限:所有平台须在12个月内(即不迟于2027年7月8日)完成过渡。大型互联网经纪行则须立即采用新认证方法。

· 禁用方式:停止使用通过短信、电子邮件或应用程序生成的一次性密码(OTP)。

· 替代方案:须采用通行密钥(Passkey)、经加密验证的注册设备及硬件安全密钥等防钓鱼认证方法。

· 设备限制:一般情况下,客户绑定或注册的通行密钥及/或设备不得超过三个。

· 额外要求:平台须建立系统以侦测可疑的登录、交易及提款活动,并及时通知客户。

为何弃用短信验证码?

· 诈骗猖獗:2025年香港网络安全事故中,57% 涉及伪造和欺诈。骗徒常通过含恶意链接的短信诱导客户在假网站输入包括OTP在内的登录信息。

· 损失惨重:2026年第一季度,网络钓鱼攻击就造成了3.06亿美元的加密货币损失。仅2026年上半年,相关损失已达3.66亿美元。

对行业与投资者的影响

· 强化问责:证监会强调,高级管理层对保障客户账户负有最终责任。若因内控缺失导致客户损失,将追究相关人员责任。

· 投资者须知:证监会提醒投资者应使用高强度且独特的密码,仅通过官方渠道登录,并定期监察账户。如发现可疑交易,应立即联系平台并举报。

来源:网络