Según la circular de la Comisión de Valores y Futuros publicada el 9 de julio, los corredores de internet y las plataformas autorizadas de negociación de activos virtuales deben sustituir las contraseñas de un solo uso por métodos de autenticación resistentes al phishing, como las passkeys y la vinculación del dispositivo, en un plazo de 12 meses; se espera que los corredores de mayor tamaño apliquen las medidas de forma inmediata. La alta dirección seguirá siendo responsable de proteger los activos de los clientes, y las empresas deben implantar sistemas de supervisión para detectar intentos de inicio de sesión sospechosos y responder con rapidez ante incidentes de piratería.
La directiva llega en un contexto de creciente preocupación por el hecho de que las OTP tradicionales ya no ofrecen una protección suficiente frente a campañas de phishing cada vez más sofisticadas. Los ataques de phishing representaron el 57% de todos los incidentes de ciberseguridad notificados al Centro de Coordinación del Equipo de Respuesta a Emergencias Informáticas de Hong Kong durante 2025, según la SFC.