Quando un regolatore ordina di eliminare le password monouso entro dodici mesi, non sta solo aggiornando una procedura tecnica: sta ammettendo che il sistema di accesso su cui milioni di investitori si affidano ogni giorno è fondamentalmente compromesso. È esattamente questo il messaggio che la Hong Kong Securities and Futures Commission (SFC) ha inviato giovedì alle piattaforme di trading di asset virtuali e ai broker online operativi nella regione amministrativa speciale, imponendo nuovi standard di autenticazione anti-phishing con un ultimatum chiaro: dodici mesi per adeguarsi o essere ritenuti responsabili delle perdite dei clienti.
Summary
Punti chiave
- La SFC di Hong Kong ha ordinato a piattaforme crypto e broker online di adottare metodi di autenticazione anti-phishing entro 12 mesi, vietando le password monouso via SMS, email o app.
- Le soluzioni accettate includono passkey, dispositivi registrati con verifica crittografica e hardware security key.
- Gli attacchi phishing e le truffe di social engineering hanno causato 306 milioni di dollari di perdite nel settore crypto nel solo primo trimestre del 2026.
- Nel 2025, il 57% degli incidenti di cybersicurezza segnalati all’Hong Kong Cyber Security Accident Coordination Center riguardava contraffazione e frodi.
- Il cofondatore di Binance, Changpeng Zhao, aveva già sollecitato misure di sicurezza wallet più robuste dopo una truffa da 50 milioni di dollari nel dicembre 2025.
Hong Kong impone il login anti-phishing per le piattaforme crypto
La mossa della SFC non arriva in un vuoto. Arriva in un momento in cui le truffe di phishing hanno smesso di essere un problema di nicchia per diventare una delle principali voci di perdita dell’intero ecosistema crypto globale. La circolare emessa giovedì impone alle piattaforme di trading di asset virtuali (VATP) e ai broker online di abbandonare le password monouso — le cosiddette OTP — per l’accesso degli utenti e per la registrazione dei dispositivi, introducendo al loro posto sistemi che resistano attivamente ai tentativi di intercettazione.
Il punto critico è proprio questo: le OTP inviate via SMS, email o generate da app di autenticazione possono essere rubate in tempo reale attraverso attacchi di phishing sofisticati. Un utente ingannato da una pagina falsa può inconsapevolmente consegnare la propria credenziale temporanea a un attaccante nel giro di secondi. I nuovi standard vogliono chiudere questa finestra.
Eliminazione delle password temporanee entro 12 mesi
La SFC ha fissato una scadenza di 12 mesi dalla data di emissione della circolare, con la precisazione che le grandi società di intermediazione online dovrebbero adottare i nuovi metodi immediatamente. Non è solo un cambio tecnologico: il regolatore ha anche chiarito che il management senior delle istituzioni licenziate porta la responsabilità ultima per l’adeguatezza dei controlli interni, e che la SFC terrà le aziende accountable per le perdite dei clienti derivanti da carenze nei loro sistemi di sicurezza.
Questo passaggio è significativo. Spostare la responsabilità sulle piattaforme — e non solo sull’utente che “ha cliccato sul link sbagliato” — rappresenta un cambio di paradigma regolatorio che altri mercati potrebbero osservare con attenzione.
Metodi di autenticazione approvati e associazione dei dispositivi
Le soluzioni che la SFC considera conformi ai nuovi requisiti comprendono passkey, dispositivi registrati con verifica crittografica e hardware security key. Tutte e tre condividono una caratteristica fondamentale: l’autenticazione avviene localmente sul dispositivo dell’utente, senza trasmettere credenziali intercettabili in rete. Un attaccante che replica una pagina di login non ottiene nulla di utile, perché non esiste una password da rubare.
Oltre alle misure preventive, le piattaforme dovranno implementare sistemi di rilevamento e sorveglianza per identificare attività sospette di login, trading e prelievo, notificare tempestivamente i clienti di operazioni significative sul proprio account e rispondere rapidamente agli incidenti di hacking.
Aumento di furti e truffe phishing: i numeri che hanno convinto il regolatore
Per capire perché Hong Kong ha deciso di agire ora, bastano i dati. Nel primo trimestre del 2026, gli attacchi di phishing e le truffe di social engineering hanno generato 306 milioni di dollari di perdite nel settore crypto globale — su un totale di 482 milioni di dollari di perdite complessive nel periodo. Più di sei dollari persi su dieci, quindi, non derivano da exploit tecnici di protocolli, ma da inganni che sfruttano la fiducia degli utenti.
Perdite globali per phishing e truffe recenti
I casi concreti degli ultimi mesi dipingono un quadro ancora più preoccupante. Un investitore ha perso quasi un milione di dollari dopo aver firmato una transazione di approvazione token malevola su Ethereum. Un altro wallet holder ha perso 1,65 milioni di dollari collegandosi a un exchange falso e firmando un contratto malevolo che ha consentito agli attaccanti di accedere illimitatamente ai fondi, secondo il ricercatore Ryan Coleman. A maggio, l’analista onchain “b-block” aveva segnalato che truffatori avevano usato Google per pubblicare annunci pubblicitari malevoli che impersonavano il DEX Uniswap, sottraendo oltre 400.000 dollari alle vittime.
Le perdite per phishing nella prima metà del 2026 hanno raggiunto complessivamente 366 milioni di dollari.
Statistiche sugli incidenti di cybersicurezza a Hong Kong
Sul fronte locale, i dati dell’Hong Kong Cyber Security Accident Coordination Center mostrano che nel 2025 la contraffazione e le frodi hanno rappresentato il 57% di tutti gli incidenti di sicurezza segnalati. Un dato che spiega la fretta del regolatore: Hong Kong non è un osservatore esterno del problema, ne è parte attiva.
«Per proteggere i conti dei clienti da attacchi di contraffazione e frode sempre più complessi e mutevoli, devono essere implementate misure complete che combinino prevenzione, rilevamento, risposta e formazione», ha dichiarato Ye Zhiheng, direttore esecutivo del Dipartimento degli Intermediari della China Securities Regulatory Commission.
Reazioni del settore e richieste di maggiore sicurezza per i wallet
Il problema non è sfuggito alle figure di spicco dell’industria. Già a dicembre 2025, dopo che un investitore aveva perso 50 milioni di dollari in una truffa di address poisoning, il cofondatore di Binance Changpeng Zhao aveva pubblicamente invocato standard di sicurezza wallet più elevati. L’address poisoning è una tecnica particolarmente insidiosa: i truffatori creano indirizzi wallet visivamente simili a quelli legittimi, sperando che le vittime copino e incollino l’indirizzo sbagliato durante una transazione.
Il cofondatore di Binance spinge per protezioni wallet più forti
L’appello di Zhao non era isolato. Quello che è cambiato ora è che il regolatore di Hong Kong ha trasformato quelle preoccupazioni in obblighi normativi vincolanti. La differenza tra un’esortazione e una circolare con scadenza e responsabilità esplicite è sostanziale: le piattaforme non possono più limitarsi a raccomandare agli utenti di “fare attenzione”.
Allarmi per truffe da avvelenamento degli indirizzi
Vale la pena ricordare che nel maggio 2024 una vittima aveva perso 71 milioni di dollari in una truffa di address poisoning in un caso insolito che si concluse con la restituzione dell’intera somma due settimane dopo, a seguito delle pressioni degli investigatori che affermavano di aver tracciato il potenziale indirizzo IP del truffatore. Un epilogo eccezionale che non può essere considerato la norma.
Cosa cambia davvero per il mercato crypto di Hong Kong
La portata strategica di questa circolare va oltre la semplice sicurezza informatica. Hong Kong si sta posizionando come hub regolamentato per le crypto in Asia, e la credibilità di quel posizionamento dipende anche dalla capacità di proteggere gli investitori retail da truffe sempre più sofisticate. Un mercato percepito come insicuro non attrae capitali istituzionali.
L’obbligo di implementare sistemi di autenticazione anti-phishing entro dodici mesi impone investimenti tecnologici reali alle piattaforme licenziate. Chi non si adegua non solo rischia sanzioni regolamentari, ma si espone direttamente alla responsabilità per le perdite dei clienti — una leva che il regolatore ha esplicitamente azionato. Per le piattaforme più strutturate, questo potrebbe tradursi in un vantaggio competitivo rispetto a operatori meno capitalizzati: la compliance diventa barriera all’ingresso.
Il modello di Hong Kong potrebbe diventare un riferimento per altri regolatori asiatici e non solo. Se i numeri del 2026 confermano la tendenza — phishing come principale vettore di perdita nell’intero settore crypto — la pressione su altri mercati per adottare standard simili è destinata ad aumentare rapidamente.
FAQ
Quali nuovi requisiti di login ha imposto la SFC di Hong Kong alle piattaforme crypto?
La SFC richiede che le piattaforme crypto e i broker online adottino metodi di autenticazione anti-phishing — come passkey, dispositivi registrati con verifica crittografica e hardware security key — vietando le password monouso entro 12 mesi dall’emissione della circolare.
Perché questi nuovi metodi di autenticazione vengono resi obbligatori proprio ora?
Gli attacchi di phishing e le truffe di social engineering hanno causato 306 milioni di dollari di perdite nel settore crypto nel primo trimestre del 2026, e nel 2025 il 57% degli incidenti di cybersicurezza segnalati a Hong Kong riguardava contraffazione e frodi.
Quali alternative alle password monouso sono accettate dal regolatore di Hong Kong?
I metodi accettati dalla SFC includono passkey, dispositivi registrati con verifica crittografica e hardware security key, considerati resistenti al phishing perché l’autenticazione avviene localmente senza trasmettere credenziali intercettabili.
Come ha reagito il settore crypto alle minacce di phishing?
Personalità del settore come il cofondatore di Binance Changpeng Zhao hanno già invocato standard di sicurezza wallet più elevati dopo la truffa da 50 milioni di dollari per address poisoning del dicembre 2025. La circolare della SFC trasforma quelle preoccupazioni in obblighi normativi vincolanti.
Contenuto realizzato con l’assistenza dell’intelligenza artificiale e con revisione editoriale umana.

