Otoritas Sekuritas dan Futures Hong Kong mengeluarkan surat edaran yang mewajibkan platform perdagangan aset virtual dan pialang internet untuk mengganti otentikasi kata sandi satu kali dengan metode keamanan yang lebih kuat. Regulator menyebutkan bahwa serangan phishing dan spoofing menyumbang 57% dari semua insiden keamanan yang dilaporkan ke Pusat Respon Insiden Keamanan Siber Hong Kong pada tahun 2025 sebagai pemicu mandat tersebut. Perusahaan harus mengadopsi alternatif yang lebih aman seperti passkey dan otentikasi perangkat terikat dalam waktu 12 bulan, dengan pialang internet besar diwajibkan menerapkan langkah tersebut segera. Surat edaran ini menandai peningkatan pengawasan regulasi di sektor aset digital Hong Kong, di mana metode otentikasi lama kini dianggap tidak memadai terhadap ancaman siber yang canggih.
SFC mewajibkan platform untuk menghentikan penggunaan OTP baik untuk login pelanggan maupun proses pengikatan perangkat. Entitas yang tercakup harus mematuhi dalam waktu 12 bulan sejak penerbitan surat edaran, sementara pialang internet besar diharapkan menerapkan langkah baru tersebut segera. Regulator menyatakan bahwa passkey dan otentikasi perangkat terikat menawarkan verifikasi yang lebih tahan banting dan anti penipuan dibandingkan OTP.
SFC Wajibkan Keamanan Lebih Kuat dan Akuntabilitas Manajemen
Surat edaran ini menguraikan kewajiban yang mencakup deteksi, respons, dan edukasi pelanggan. Platform perdagangan aset virtual dan pialang harus mengimplementasikan sistem pengawasan yang mampu mengidentifikasi aktivitas login, perdagangan, dan penarikan yang mencurigakan. Perusahaan wajib memberi tahu pelanggan secara cepat tentang kejadian penting terkait akun dan merespons dengan cepat setiap insiden peretasan. Peringatan berkelanjutan kepada pelanggan tentang ancaman siber yang muncul dan penipuan impersonation juga diharapkan.
SFC menyatakan bahwa manajemen senior di perusahaan-perusahaan ini memegang tanggung jawab utama atas kecukupan kontrol perlindungan akun. Institusi yang ditemukan memiliki perlindungan internal yang tidak memadai akan bertanggung jawab atas kerugian pelanggan yang diakibatkan.
Garis Waktu Regulasi: Dari Pemantauan Hingga Mandat
SFC telah memantau risiko terkait OTP sejak akhir 2024. Dalam surat edaran Februari 2025, regulator sangat mendorong perusahaan berlisensi untuk beralih dari OTP. Surat edaran saat ini mengubah dorongan tersebut menjadi tenggat waktu regulasi yang tegas, menjadikan mandat hari ini sebagai kewajiban yang mengikat, bukan hanya rekomendasi sukarela.
FAQ
Apa yang diminta oleh SFC Hong Kong kepada platform crypto?
Otoritas Sekuritas dan Futures Hong Kong mengeluarkan surat edaran yang mewajibkan platform perdagangan aset virtual dan pialang internet untuk mengganti otentikasi kata sandi satu kali dengan metode keamanan yang lebih kuat seperti passkey dan otentikasi perangkat terikat.
Mengapa SFC melarang OTP untuk platform crypto?
Regulator menyebutkan bahwa serangan phishing dan spoofing menyumbang 57% dari semua insiden keamanan yang dilaporkan ke Pusat Respon Insiden Keamanan Siber Hong Kong pada tahun 2025, dan menyatakan bahwa otentikasi OTP sudah tidak memadai terhadap serangan modern yang canggih.
Apa batas waktu bagi platform crypto untuk mematuhi persyaratan otentikasi baru?
Entitas yang tercakup harus mematuhi dalam waktu 12 bulan sejak penerbitan surat edaran, sementara pialang internet besar diharapkan menerapkan langkah baru tersebut segera.