香港证监会发布通函:互联网经纪行及虚拟资产交易平台须在12个月内停用一次性密码,全面转为通行密钥等防钓鱼认证

核心摘要

  • 2026年7月9日,香港证监会(SFC)发布通函(编号 26EC35),要求所有互联网经纪行及虚拟资产交易平台运营商(VATP)停止使用一次性密码(OTP)进行客户登入与装置绑定认证。
  • 替代方案为通行密钥(Passkeys)绑定装置(Bound Devices)等防钓鱼认证方法,大型互联网经纪行须立即采纳,其余机构须在通函发出之日起12个月内完成实施。
  • 除预防性控制外,持牌机构还须建立有效的侦测与监视措施,以实时识别可疑登入、交易及提币活动,并及时通知客户关键账户变动。
  • SFC 明确指出,高级管理层对保护客户账户与资产的管控措施承担最终责任,因管控缺失导致的客户损失将由管理层问责。
  • 2025年香港电脑保安事故协调中心(HKCERT)接报的安全事件中,钓鱼攻击占57%——这是 SFC 从”强烈鼓励”升级为”强制要求”的核心驱动因素。
📑 文章目录
  1. 通函核心要求:从 OTP 到防钓鱼认证 — 停用范围、替代方案与实施时间表
  2. 适用主体范围 — 互联网经纪行(第1/2/3/9类)与 VATP 的具体覆盖
  3. 从”鼓励”到”强制”:政策升级路径 — 2025年2月通函到2026年7月通函的监管逻辑
  4. 持牌机构的合规义务全景 — 预防、侦测、响应、教育的四层框架
  5. 管理层问责与投资者保护 — 最终责任归属与客户损失追责机制

本文由 Aiying 艾盈合规团队原创,转载需授权。

香港证监会在客户账户安全领域的监管力度正在经历一次从”软性建议”到”硬性要求”的关键转变。2026年7月9日,SFC 正式发布通函(编号 26EC35),要求所有互联网经纪行及虚拟资产交易平台运营商(VATP)停止使用存在仿冒诈骗风险的一次性密码(OTP),并转向以通行密钥(Passkeys)和绑定装置为核心的防钓鱼认证体系。这是继 2025 年 2 月通函”强烈鼓励”停用 OTP 之后,SFC 首次以强制合规义务的形式将这一要求制度化(SFC,2026-07-09)。

通函核心要求:从 OTP 到防钓鱼认证

停用 OTP 的范围与替代方案

根据 SFC 通函,持牌机构须在客户登入(login)装置绑定(device binding)两个环节中全面停用一次性密码。SFC 指出,OTP 存在被仿冒诈骗攻击截获的固有风险,而市场上已有更安全的替代认证技术可供采用。通函明确列举了两类替代方案:

  • 通行密钥(Passkeys):基于 FIDO 标准的公钥加密认证机制,利用设备内置的生物识别或 PIN 码进行本地验证,私钥永不离开用户设备,天然免疫远程钓鱼攻击。
  • 绑定装置(Bound Devices):客户将移动设备或电脑与其经纪行/VATP 的交易系统进行绑定注册,系统通过设备的安全注册属性识别已绑定装置。

分阶段实施时间表

SFC 设置了差异化的合规时间表:大型互联网经纪行应立即采纳新的认证方案;其余机构(包括中小型经纪行及全部 VATP)须在通函发出之日起12个月内(即不迟于 2027 年 7 月 9 日)完成实施。这一差异化安排考虑到了大型机构的资源与技术能力优势,同时为中小型持牌机构提供了合理的过渡期(SFC 通函 26EC35,2026-07-09)。

适用主体范围

互联网经纪行的具体覆盖

SFC 将”互联网经纪行”定义为从事互联网交易的持牌法团,具体涵盖以下受规管活动类别:第1类(证券交易)第2类(期货合约交易)第3类(杠杆式外汇交易),以及通过互联网交易设施分销其管理基金的第9类(资产管理)持牌法团。这意味着几乎所有面向零售客户的证券与期货经纪行均在通函覆盖范围内。

VATP 的同步适用

虚拟资产交易平台运营商同样被明确纳入通函适用范围。值得注意的是,SFC 在通函中未对 VATP 的持牌状态作区分——无论是已获正式牌照的平台,还是仍在”被当作获发牌”(deemed-to-be-licensed)过渡期运营的申请人,均须遵守相同要求。

从”鼓励”到”强制”:政策升级路径

2025年2月的先行通函

SFC 对 OTP 风险的关注并非始于今日。早在 2025 年 2 月 6 日,SFC 已发布《致持牌法团的通函——持牌法团网络安全检讨》(编号 25EC7),其中”强烈鼓励”持牌法团停止将 OTP 用于客户登入及装置绑定用途,并开始关注替代认证方法的发展。彼时该要求尚属软性指引,未设强制时间表(SFC 通函 25EC7,2025-02-06)。

升级背后的数据驱动

从”鼓励”到”强制”的路径升级背后,是持续恶化的钓鱼攻击态势。通函引述的数据显示,2025 年香港电脑保安事故协调中心(HKCERT)接报的安全事件中,钓鱼攻击占比高达 57%。SFC 中介机构部执行董事叶志衡博士(Dr Eric Yip)在通函中表示:”保护客户账户免受日益精密和隐蔽的钓鱼攻击,需要结合预防、侦测、响应和教育的整体措施。”这一表述将认证技术升级从一个 IT 运营问题提升为持牌机构的系统性合规义务。

持牌机构的合规义务全景

四层防护框架

SFC 在通函中构建了一个明确的四层客户账户保护框架:

  • 第一层——预防(Prevention):立即/12个月内部署 Passkeys 或绑定装置等防钓鱼认证方法,停用 OTP。
  • 第二层——侦测与监视(Detection & Surveillance):实施有效的监视措施,以实时识别可疑登入、交易及提币活动。这一要求对 VATP 而言尤为关键——虚拟资产的不可逆性意味着提币环节的异常侦测必须比传统证券交易更为灵敏。
  • 第三层——响应(Response):及时通知客户关键账户事件,并在发生黑客入侵事件后迅速响应。
  • 第四层——教育(Education):定期警示并提醒客户注意新兴的钓鱼攻击及其他网络安全风险。

对 VATP 的额外合规压力

对于正在建设或优化合规体系的 VATP 而言,通函的要求叠加在现有的 SFC 虚拟资产交易平台发牌条件之上。VATP 除需满足客户资产隔离(不低于 98% 冷钱包存储)、保险或补偿安排等既有要求外,现在还需在认证基础设施上进行额外的技术与流程投资。

管理层问责与投资者保护

最终责任归属

SFC 在通函中以加粗文本明确:”持牌机构的高级管理层对保护客户账户与资产的适当管控措施承担最终责任。”更为重要的是,SFC 明确表示将就管控缺失导致的客户损失向管理层问责。这意味着客户因 OTP 被钓鱼截获而遭受的账户损失,将不再仅被视为技术安全事件,而可能上升为监管合规缺失问题,触发 SFC 的纪律处分程序。

投资者的自我保护义务

在向持牌机构施压的同时,SFC 也向投资者提出了自我保护要求:使用强密码并不重复使用、仅通过持牌法团及 VATP 的官方网站或手机应用程式登入账户、定期查阅账户结单与交易记录、在怀疑凭证外泄时立即联络相关机构并向执法部门举报。

常见问题(FAQ)

OTP 短信验证码为何被认为是”不安全”的?

SFC 指出,一次性密码面临的核心风险是仿冒诈骗(phishing)——攻击者通过伪造的登入页面诱导客户输入 OTP,从而在真实系统中劫持账户。由于 OTP 本身不包含对登入目标的验证(即无法区分真实网站与钓鱼网站),它无法防御中间人攻击(MITM)。Passkeys 通过公钥加密将认证绑定到特定域名,从根本上消除了这一漏洞。

VATP 的 12 个月过渡期是否足够?

对于已采用现代身份认证架构的 VATP,部署 Passkeys 通常是一个系统集成的工程问题,12 个月时间充裕。但对于依赖第三方认证服务商或自建 OTP 系统的平台,可能涉及后端架构重构、前端 SDK 集成、客户迁移教育等多重工作流,需要尽早启动合规项目规划。SFC 要求大型机构”立即”采纳的措辞也暗示,监管预期是越早完成越好


本文基于以下信源撰写:SFC 新闻稿(2026-07-09)SFC 通函 26EC35(2026-07-09)SFC 通函 25EC7(2025-02-06)吴说区块链(2026-07-09)

此頁面已更新

此內容已更新並移至新的頁面。
請點擊下方按鈕前往最新版本。

前往新頁面