Hongkongs streven om de cryptobeveiliging te versterken heeft zojuist een concrete en ingrijpende stap gezet. De Securities and Futures Commission van de stad heeft een circulaire uitgevaardigd die een verbod instelt op eenmalige-wachtwoordlogins op alle cryptohandelsplatforms en internetmakelaars — een directe reactie op een phishing-epidemie die in stilte gebruikersrekeningen leegtrekt en de regionale cyberbeveiligingsinfrastructuur overweldigt.
Summary
Belangrijkste punten
- De SFC van Hongkong heeft SMS-, e-mail- en app-gebaseerde OTP-logins voor cryptoplatforms en internetmakelaars verboden en vereist in plaats daarvan passkeys of andere phishing-resistente methoden.
- Exploitanten hebben een deadline van 12 maanden om te voldoen; grote makelaars moeten onmiddellijk handelen.
- Hongkong registreerde in 2025 15.877 cyberbeveiligingsincidenten — een stijging van 27% ten opzichte van het voorgaande jaar — waarbij phishing goed was voor 57% van de gevallen.
- Het hoger management van gelicentieerde platforms draagt nu directe persoonlijke aansprakelijkheid voor klantverliezen die verband houden met zwakke authenticatiecontroles.
- Recente phishingaanvallen trokken $12.300 weg bij een HyperSwap-gebruiker en ongeveer $400.000 via nep-Uniswap-sites, wat de omvang van de dreiging illustreert.
Hongkong verbiedt OTP-logins om phishingrisico’s te bestrijden
De circulaire van de SFC is ongewoon direct voor een financiële toezichthouder: stop met het gebruik van eenmalige wachtwoorden, en doe het nu als je een grote makelaar bent. Voor kleinere exploitanten is het tijdsvenster 12 maanden vanaf de uitgifte van de circulaire. Er is geen onduidelijkheid en er wordt geen verlengingsmechanisme genoemd.
Details van het OTP-verbod en nieuwe authenticatievereisten
Het verbod dekt elke gangbare vorm van OTP — SMS-codes, e-mailverificatielinks en app-gegenereerde tokens — en verwijdert daarmee wat historisch gezien een van de meest vertrouwde lagen van loginbeveiliging in financiële diensten is geweest. In plaats daarvan moeten platforms passkeys, geregistreerde apparaten met cryptografische verificatie en hardwarebeveiligingssleutels implementeren. De SFC beschreef deze gezamenlijk als phishing-resistente oplossingen, wat betekent dat ze zo zijn ontworpen dat ze onbruikbaar zijn, zelfs als een gebruiker wordt misleid om een frauduleuze site te bezoeken.
“Om klantrekeningen te beschermen tegen steeds geavanceerdere en gevarieerdere phishingaanvallen is een alomvattende aanpak nodig die preventie, detectie, reactie en educatie combineert,” zei dr. Yip Chi-hang, uitvoerend directeur van de Intermediaries Division van de SFC. Hij voegde eraan toe dat gelicentieerde instellingen hun eerste verdedigingslinie moeten versterken via robuuste authenticatie en snel moeten reageren voordat schade optreedt.
De onderliggende logica is eenvoudig: OTP’s kunnen in realtime worden onderschept of doorgestuurd door een phishing-site. Passkeys en cryptografische apparaatbinding kunnen dat niet. De aanvaller die een gebruiker misleidt om een eenmalige code in te voeren op een nepbeurspagina krijgt alles wat hij nodig heeft. De aanvaller die een met een passkey gebonden login tegenkomt, krijgt niets bruikbaars.
Deadlines voor naleving en onmiddellijke impact op grote makelaars
Het venster van 12 maanden geldt in brede zin voor alle exploitanten, maar grote internetmakelaars staan onder onmiddellijke controle zonder respijtperiode. De formulering van de SFC — “zo spoedig als praktisch haalbaar” — geeft aan dat zij verwacht dat grote instellingen dit behandelen als een operationele noodsituatie, niet als een toekomstig projectmijlpaal. Bedrijven die de deadline missen, lopen het risico op handhavingsmaatregelen en reputatieschade, een combinatie die zowel de toezichtspositie als het vertrouwen van cliënten kan aantasten in een markt waar licentiegeloofwaardigheid allesbepalend is.
Stijgende phishingaanvallen en cyberbeveiligingsdreigingen in Hongkong
De cijfers achter deze regelgeving zijn ontnuchterend. Hongkong registreerde 15.877 cyberbeveiligingsincidenten in 2025, een stijging van 27% ten opzichte van het voorgaande jaar — en meer dan een verdubbeling van de 7.752 incidenten die in 2023 werden geregistreerd. Phishing- en spoofingaanvallen waren goed voor 57% van alle gemelde gevallen, volgens gegevens van het Hong Kong Cyber Security Incident Coordination Centre, aangehaald in de verklaring van de SFC.
Toename van cyberincidenten gedreven door phishing
De versnelling is opvallend. Van ongeveer 7.752 incidenten in 2023 naar bijna 16.000 twee jaar later wijst op een structureel probleem, geen statistische uitschieter. Botnetaanvallen volgden phishing met 18% van de gevallen, met malware op 15%. Maar het is phishing dat centraal staat in de zorg van de SFC — precies omdat het de aanvalsvector is die het meest direct wordt mogelijk gemaakt door OTP-gebaseerde loginsystemen.
Wereldwijd is het beeld even verontrustend. Phishingaanvallen en social-engineeringfraude waren goed voor $306 miljoen van de totale verliezen van $482 miljoen in de crypto-industrie in alleen al het eerste kwartaal van 2026. In de eerste helft van het jaar liepen de totale phishinggerelateerde verliezen op tot $366 miljoen, volgens branchevolggegevens die in ondersteunende rapporten worden aangehaald.
Opvallende cryptodiefstallen gelinkt aan phishingfraude
Twee recente zaken illustreren precies wat de SFC probeert te stoppen. Een nep-airdrop-phishingfraude trok $12.300 weg bij een HyperSwap-gebruiker in minder dan 90 seconden. Rond dezelfde periode zetten oplichters kwaadaardige Google-advertenties in die zich voordeden als de gedecentraliseerde beurs Uniswap, waarmee naar verluidt ongeveer $400.000 uit meerdere wallets werd gehaald via een nepwebsite. In beide gevallen was er sprake van diefstal van inloggegevens op het moment van inloggen — precies de kwetsbaarheid die OTP-systemen openlaten.
Dit zijn geen geïsoleerde randgevallen. Een cryptobelegger verloor bijna $1 miljoen na het ondertekenen van een kwaadaardige phishing-tokenautorisatie op Ethereum. Een andere wallethouder verloor naar verluidt $1,65 miljoen nadat hij verbinding had gemaakt met een nepbeurs en een contract had ondertekend dat aanvallers onbeperkte toegang tot fondsen gaf. Het patroon is consistent, schaalbaar en steeds moeilijker te onderscheiden van legitieme platforminteracties.
Toezichtshandhaving en verantwoordelijkheid van het management
Misschien wel het meest ingrijpende element van het nieuwe kader is waar de verantwoordelijkheid terechtkomt. De SFC heeft duidelijk gemaakt dat het hoger management van gelicentieerde platforms de uiteindelijke verantwoordelijkheid draagt voor de bescherming van klantrekeningen. Zwakke cyberbeveiligingscontroles zijn niet langer een nalevingstekortkoming die stilletjes moet worden verholpen — ze zijn een directe trigger voor aansprakelijkheid van het management wanneer klantverliezen optreden.
Aansprakelijkheid van het hoger management voor klantverliezen
Dit is een strengere norm dan eerdere richtlijnen. Voorheen lag de toezichtrisico voor bedrijven voornamelijk bij institutionele sancties. Het nieuwe kader plaatst individuele leidinggevenden in beeld. Als de authenticatiecontroles van een platform ontoereikend zijn en een klant verliest geld door een phishingaanval, loopt de verantwoordelijkheidsketen nu rechtstreeks naar de mensen aan de top van het bedrijf.
Die verschuiving in verantwoordelijkheid verandert de interne afweging aanzienlijk. Compliance-teams zullen het aanzienlijk gemakkelijker vinden om budget en prioriteit te krijgen voor upgrades van authenticatie wanneer het alternatief persoonlijke aansprakelijkheid voor de CEO of CTO is.
Gevolgen van niet-naleving en operationele vereisten
Naast de aansprakelijkheidskwestie moeten platforms nu doorlopende detectie- en bewakingssystemen implementeren die in staat zijn om verdachte logins, transacties en opnames in realtime te identificeren. Ze zijn ook verplicht om cliënten snel op de hoogte te stellen van significante accountactiviteit — waaronder gebeurtenissen rond apparaatbinding, loginafwijkingen en ongebruikelijke transactiepatronen — en gebruikers regelmatig te waarschuwen voor opkomende imitatiefraudes.
Bedrijven die de deadline van 12 maanden missen, krijgen te maken met handhavingsmaatregelen en reputatieschade. In de streng gereguleerde crypto-omgeving van Hongkong, waar licentiegeloofwaardigheid een concurrentievoordeel is, heeft die combinatie aanzienlijk gewicht.
Wat dit betekent voor de wereldwijde crypto-industrie
Het verbod van Hongkong staat niet op zichzelf. De FBI voert wereldwijde cybercrime-acties uit die zich richten op netwerken die zijn gebouwd op gestolen inloggegevens. Tether, dat samenwerkt met de T3-eenheid van TRON, bevriest cryptoactiva die zijn gelinkt aan georganiseerde operaties voor diefstal van inloggegevens. De regelgevende en handhavende gemeenschappen bewegen duidelijk in dezelfde richting — en Hongkong heeft gewoon sneller gehandeld dan de meesten.
De vraag is nu of collega-jurisdicties in Singapore, het VK en andere belangrijke cryptoregelgevende rechtsgebieden dit als sjabloon zullen gebruiken of zullen wachten tot hun eigen verliesstatistieken een vergelijkbare drempel bereiken. MiCAR, het EU-cryptokader dat op 1 juli 2026 volledig van kracht werd, heeft strenge governance- en nalevingsnormen vastgesteld — maar schrijft nog niet specifiek passkeys voor. De kloof tussen algemene cyberbeveiligingseisen en het soort authenticatiespecifiek mandaat dat Hongkong zojuist heeft uitgevaardigd, zou het volgende front van regelgevende convergentie kunnen worden.
Voor cryptoplatforms die wereldwijd actief zijn, is de praktische implicatie nu al zichtbaar: de technische infrastructuur die nodig is om in Hongkong te voldoen — passkeys, cryptografische apparaatbinding, realtime anomaliedetectie — is precies wat toezichthouders elders waarschijnlijk als volgende zullen eisen. Dit nu bouwen, in plaats van op een jurisdictie-voor-jurisdictiebasis, kan het rationelere pad vooruit zijn.
FAQ
Welke loginmethoden heeft Hongkong verboden voor cryptoplatforms?
De Securities and Futures Commission van Hongkong heeft SMS-, e-mail- en app-gebaseerde eenmalige wachtwoorden verboden voor logins op cryptohandelsplatforms en apparaatbinding.
Welke authenticatiemethoden zijn vereist in plaats van OTP’s?
Platforms moeten passkeys, geregistreerde apparaten met cryptografische verificatie en hardwarebeveiligingssleutels implementeren — methoden die de SFC beschrijft als phishing-resistente oplossingen die niet kunnen worden onderschept via standaard phishingaanvallen.
Wat zijn de deadlines voor cryptoplatforms om aan de nieuwe regels te voldoen?
Exploitanten hebben een deadline van 12 maanden om aan de nieuwe authenticatievereisten te voldoen. Grote internetmakelaars moeten echter onmiddellijk overstappen op de nieuwe methoden, zonder respijtperiode.
Wat zijn de gevolgen voor bedrijven die de nalevingsdeadline niet halen?
Bedrijven die de deadline missen, lopen het risico op toezichthandhavingsmaatregelen en reputatieschade. Bovendien kan het hoger management direct aansprakelijk worden gesteld voor klantverliezen die worden veroorzaakt door onvoldoende cyberbeveiligingscontroles — een strenger verantwoordingsniveau dan eerdere richtlijnen.
{“@context”:”https://schema.org”,”@type”:”FAQPage”,”mainEntity”:[{“@type”:”Question”,”name”:”Welke loginmethoden heeft Hongkong verboden voor cryptoplatforms?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”De Securities and Futures Commission van Hongkong heeft SMS-, e-mail- en app-gebaseerde eenmalige wachtwoorden verboden voor logins op cryptohandelsplatforms en apparaatbinding.”}},{“@type”:”Question”,”name”:”Welke authenticatiemethoden zijn vereist in plaats van OTP’s?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”Platforms moeten passkeys, geregistreerde apparaten met cryptografische verificatie en hardwarebeveiligingssleutels implementeren — methoden die de SFC beschrijft als phishing-resistente oplossingen die niet kunnen worden onderschept via standaard phishingaanvallen.”}},{“@type”:”Question”,”name”:”Wat zijn de deadlines voor cryptoplatforms om aan de nieuwe regels te voldoen?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”Exploitanten hebben een deadline van 12 maanden om aan de nieuwe authenticatievereisten te voldoen. Grote internetmakelaars moeten echter onmiddellijk overstappen op de nieuwe methoden, zonder respijtperiode.”}},{“@type”:”Question”,”name”:”Wat zijn de gevolgen voor bedrijven die de nalevingsdeadline niet halen?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”Bedrijven die de deadline missen, lopen het risico op toezichthandhavingsmaatregelen en reputatieschade. Bovendien kan het hoger management direct aansprakelijk worden gesteld voor klantverliezen die worden veroorzaakt door onvoldoende cyberbeveiligingscontroles — een strenger verantwoordingsniveau dan eerdere richtlijnen.”}}]}
Artikel geproduceerd met behulp van kunstmatige intelligentie en beoordeeld door de redactie.

