Conformément à la circulaire de la Securities and Futures Commission publiée le 9 juillet, les courtiers Internet et les plateformes de négociation d’actifs virtuels autorisées doivent remplacer les mots de passe à usage unique par des méthodes d’authentification résistantes au phishing, telles que les passkeys et la liaison à un appareil, dans un délai de 12 mois. Les courtiers de plus grande taille devraient mettre en œuvre ces mesures immédiatement. La direction restera responsable de la protection des actifs des clients, et les entreprises doivent mettre en place des systèmes de surveillance pour détecter les tentatives de connexion suspectes et répondre rapidement aux incidents de piratage.
La directive fait suite à une inquiétude croissante selon laquelle les OTP traditionnels n’offrent plus une protection suffisante face à des campagnes de phishing de plus en plus sophistiquées. Les attaques par phishing ont représenté 57 % de tous les incidents de cybersécurité signalés au Hong Kong Computer Emergency Response Team Coordination Centre en 2025, selon la SFC.