HomeBlockchainSicurezzaSicurezza crypto a Hong Kong, OTP fuori legge: i manager rispondono dei...

Sicurezza crypto a Hong Kong, OTP fuori legge: i manager rispondono dei danni

Una password monouso via SMS o email è bastata per anni come scudo contro i furti di conto. Per le piattaforme crypto che operano a Hong Kong, quella protezione è ora ufficialmente fuori legge. La Securities and Futures Commission (SFC) ha emesso una circolare che vieta l’uso degli OTP — one-time password — per l’accesso ai servizi di trading di asset digitali e per il binding dei dispositivi, imponendo il passaggio a metodi di autenticazione resistenti al phishing. È una mossa che ridisegna gli standard di sicurezza crypto a Hong Kong e che altri regolatori mondiali stanno già osservando con attenzione.

Punti chiave

  • La SFC di Hong Kong ha vietato SMS, email e app-based OTP per login e device binding sulle piattaforme crypto e sui broker online.
  • I gestori hanno 12 mesi per adeguarsi; i grandi broker devono passare ai nuovi metodi immediatamente.
  • Hong Kong ha registrato 15.877 incidenti di cybersecurity nel 2025, il 57% dei quali causato da attacchi di spoofing e phishing, con un aumento del 27% rispetto all’anno precedente.
  • Il senior management delle piattaforme è ora direttamente responsabile per le perdite dei clienti derivanti da controlli di sicurezza inadeguati.
  • Furti recenti legati al phishing includono $12.300 sottratti a un utente HyperSwap e circa $400.000 da siti falsi che imitavano Uniswap.

Hong Kong vieta l’accesso via OTP per ridurre il rischio phishing

La circolare SFC è diretta e senza margini di ambiguità: SMS, email e app che generano codici temporanei non sono più metodi accettabili per autenticare gli utenti sulle piattaforme di trading di asset virtuali. Al loro posto, le piattaforme devono implementare passkey e altri sistemi crittografici resistenti al phishing, inclusi dispositivi registrati con verifica crittografica e chiavi hardware di sicurezza.

Il regolatore aveva già segnalato i rischi legati agli OTP nelle linee guida di febbraio 2025. Ora quella raccomandazione diventa obbligo.

Scadenze e impatti immediati sui grandi broker

I tempi non sono uniformi per tutti. Gli operatori hanno un margine di dodici mesi dall’emissione della circolare per completare la transizione. Ma i grandi broker internet devono adeguarsi immediatamente, senza possibilità di rinvio. Questa distinzione non è formale: significa che le principali piattaforme del mercato hongkonghese sono già sotto scrutinio diretto, e qualsiasi ritardo si traduce in esposizione regolamentare concreta.

Le nuove regole non si limitano al login. Le piattaforme devono anche implementare sistemi di sorveglianza capaci di rilevare attività sospette su accessi, operazioni di trading e prelievi, e notificare tempestivamente i clienti di ogni evento significativo sul proprio account.

Crescita degli attacchi phishing e minacce informatiche a Hong Kong

I numeri che hanno spinto la SFC ad agire raccontano una storia inequivocabile. Nel 2025 Hong Kong ha registrato 15.877 incidenti di cybersecurity, un balzo del 27% rispetto all’anno precedente. Il dato diventa ancora più preoccupante se confrontato con il 2023: i casi sono più che raddoppiati rispetto ai 7.752 incidenti di quell’anno.

Il phishing — o più precisamente lo spoofing e le truffe di contraffazione — ha guidato questa escalation, responsabile del 57% di tutti i casi segnalati. Gli attacchi botnet si sono fermati al 18%, il malware al 15%. La concentrazione del problema è evidente: chi vuole colpire gli utenti crypto a Hong Kong usa il phishing come vettore principale.

Casi rilevanti di furti crypto legati a truffe phishing

Le statistiche trovano conferma in episodi concreti. Una truffa di falso airdrop ha svuotato il wallet di un utente di HyperSwap in meno di 90 secondi, sottraendo $12.300. Quasi in parallelo, un sito falso che imitava Uniswap ha drenato circa $400.000 da più wallet.

Questi casi illustrano un limite strutturale degli OTP: un codice monouso può essere intercettato o aggirato in tempo reale da un attaccante sufficientemente rapido. Le passkey, basate su crittografia asimmetrica e legate al dispositivo fisico dell’utente, eliminano questo vettore di attacco perché non trasmettono mai un segreto condivisibile.

Il problema, però, non è solo tecnico. Nell’industria crypto globale, il primo trimestre del 2026 ha visto perdite per $482 milioni, di cui $306 milioni attribuibili direttamente a phishing e social engineering. La mossa di Hong Kong si inserisce in un contesto in cui la posta in gioco è altissima.

Responsabilità del management e conseguenze per la non conformità

La parte forse più significativa della circolare non riguarda la tecnologia, ma la catena di responsabilità. La SFC ha chiarito che il senior management delle piattaforme licenziate è direttamente responsabile per le perdite subite dai clienti a causa di controlli di sicurezza insufficienti. Non si tratta di una responsabilità generica: controlli deboli attivano quella liability in modo diretto.

È uno standard più severo rispetto alle linee guida precedenti, e cambia il calcolo del rischio per i dirigenti del settore. Prima, un breach poteva essere gestito come problema operativo. Ora, se le misure di autenticazione non erano adeguate, la responsabilità risale fino ai vertici aziendali.

Dr. Yip Chi-hang, Executive Director della Intermediaries Division della SFC, ha sintetizzato la logica del provvedimento: proteggere i conti dei clienti richiede un approccio combinato di prevenzione, rilevamento, risposta e educazione. Le istituzioni licenziate devono rafforzare la prima linea di difesa con soluzioni di autenticazione robuste, restare vigili sulle attività sospette e intervenire rapidamente prima che i danni si concretizzino.

Per le aziende che non rispetteranno la scadenza, il rischio è duplice: azioni di enforcement regolamentare e danni reputazionali nel settore crypto, un mercato dove la fiducia degli utenti istituzionali è già messa alla prova da ogni nuovo incidente di sicurezza.

Contesto globale: altri regolatori seguiranno?

Hong Kong non agisce nel vuoto. L’FBI ha intensificato la sua azione contro i crimini informatici legati alle credenziali crypto. Tether, insieme all’unità T3 di TRON, ha proceduto al congelamento di asset legati a reti costruite su credenziali rubate. Il problema del phishing è sistemico e transfrontaliero.

La domanda che la mossa di Hong Kong pone ai regolatori di Singapore, del Regno Unito e di altri mercati è diretta: aspettare che le perdite si accumulino, oppure agire preventivamente con mandati analoghi? La Securities and Futures Commission ha scelto la seconda strada, e lo ha fatto con un provvedimento vincolante, non con linee guida volontarie.

Per le piattaforme che già operano in più giurisdizioni — e che stanno navigando simultaneamente l’implementazione del MiCAR in Europa e i requisiti SFC ad Hong Kong — questo segnale aggiunge un livello di complessità operativa reale. Chi ha investito in infrastrutture di compliance solide si trova in una posizione di vantaggio competitivo. Chi ha rimandato si trova ora con una scadenza che, per i grandi operatori, è già scaduta.

FAQ

Quali metodi di login ha vietato Hong Kong per le piattaforme crypto?

La Securities and Futures Commission di Hong Kong ha vietato l’uso di SMS, email e OTP generati da app per il login e il device binding sulle piattaforme di trading di asset virtuali e sui broker online.

Quali metodi di autenticazione sono richiesti in sostituzione degli OTP?

Le piattaforme devono implementare passkey, dispositivi registrati con verifica crittografica e chiavi hardware di sicurezza — soluzioni che la SFC classifica come resistenti al phishing.

Quali sono le scadenze per adeguarsi alle nuove regole?

Gli operatori hanno 12 mesi dall’emissione della circolare per completare la transizione. I grandi broker internet devono adottare i nuovi metodi immediatamente, senza possibilità di rinvio.

Cosa rischiano le aziende che non rispettano la scadenza?

Le aziende inadempienti rischiano azioni di enforcement regolamentare e danni reputazionali. Inoltre, il senior management può essere ritenuto direttamente responsabile per le perdite subite dai clienti a causa di controlli di sicurezza inadeguati.

Contenuto realizzato con l’assistenza dell’intelligenza artificiale e con revisione editoriale umana.

Francesco Antonio Russo
Francesco Antonio Russo è un analista e divulgatore nel settore delle criptovalute, del Web3 e dell’Intelligenza Artificiale. Da più di 6 anni studia l’evoluzione dei mercati digitali e delle tecnologie decentralizzate, con particolare attenzione all’impatto economico e sociale della blockchain. Su Cryptonomist approfondisce trend, regolamentazioni e innovazioni, offrendo contenuti accurati e comprensibili anche ai non addetti ai lavori.
RELATED ARTICLES

Stay updated on all the news about cryptocurrencies and the entire world of blockchain.

Featured video

LATEST