De acordo com a circular da Comissão de Valores Mobiliários e Futuros publicada a 9 de julho, os corretores de internet e as plataformas licenciadas de negociação de ativos virtuais devem substituir as senhas de uso único por métodos de autenticação resistentes a phishing, como passkeys e o vínculo do dispositivo, num prazo de 12 meses, devendo os corretores maiores implementar as medidas imediatamente. A alta direção continuará responsável por proteger os ativos dos clientes, e as empresas devem introduzir sistemas de monitorização para detetar tentativas de login suspeitas e responder rapidamente a incidentes de pirataria informática.
A diretiva surge num contexto de crescente preocupação de que as OTP tradicionais já não fornecem proteção suficiente contra campanhas de phishing cada vez mais sofisticadas. Os ataques de phishing representaram 57% de todos os incidentes de cibersegurança reportados em 2025 ao Centro de Coordenação da Equipa de Resposta a Emergências Informáticas de Hong Kong, segundo a SFC.