
$306 milioni in truffe phishing: Hong Kong impone l’autenticazione anti-phishing
Quando un regolatore ordina di eliminare le password monouso entro dodici mesi, non sta solo aggiornando una procedura tecnica: sta ammettendo che il sistema di accesso su cui milioni di investitori si affidano ogni...
Bitcoin 1 Minute
Uno sviluppo di rilievo scuote i mercati delle criptovalute. Quando un regolatore ordina di eliminare le password monouso entro dodici mesi, non sta solo aggiornando una procedura tecnica: sta ammettendo che il sistema di accesso su cui milioni di investitori si affidano ogni giorno è fondamentalmente compromesso. È esattamente questo il messaggio che la Hong Kong Securities and Futures Commission (SFC) ha inviato giovedì alle piattaforme di trading di asset virtuali e ai broker online operativi nella regione amministrativa speciale, imponendo nuovi standard di autenticazione anti-phishing con un ultimatum chiaro: dodici mesi per adeguarsi o essere ritenuti responsabili delle perdite dei clienti. Punti chiave La SFC di Hong Kong ha ordinato a piattaforme crypto e broker online di adottare metodi di autenticazione anti-phishing entro 12 mesi, vietando le password monouso via SMS, email o app.
Le soluzioni accettate includono passkey, dispositivi registrati con verifica crittografica e hardware security key. Gli attacchi phishing e le truffe di social engineering hanno causato 306 milioni di dollari di perdite nel settore crypto nel solo primo trimestre del 2026. Nel 2025, il 57% degli incidenti di cybersicurezza segnalati all’Hong Kong Cyber Security Accident Coordination Center riguardava contraffazione e frodi.
Dinamiche di mercato
Il cofondatore di Binance, Changpeng Zhao, aveva già sollecitato misure di sicurezza wallet più robuste dopo una truffa da 50 milioni di dollari nel dicembre 2025. Hong Kong impone il login anti-phishing per le piattaforme crypto La mossa della SFC non arriva in un vuoto. Arriva in un momento in cui le truffe di phishing hanno smesso di essere un problema di nicchia per diventare una delle principali voci di perdita dell’intero ecosistema crypto globale.
La circolare emessa giovedì impone alle piattaforme di trading di asset virtuali (VATP) e ai broker online di abbandonare le password monouso — le cosiddette OTP — per l’accesso degli utenti e per la registrazione dei dispositivi, introducendo al loro posto sistemi che resistano attivamente ai tentativi di intercettazione. Il punto critico è proprio questo: le OTP inviate via SMS, email o generate da app di autenticazione possono essere rubate in tempo reale attraverso attacchi di phishing sofisticati. Un utente ingannato da una pagina falsa può inconsapevolmente consegnare la propria credenziale temporanea a un attaccante nel giro di secondi.
I nuovi standard vogliono chiudere questa finestra. Eliminazione delle password temporanee entro 12 mesi La SFC ha fissato una scadenza di 12 mesi dalla data di emissione della circolare, con la precisazione che le grandi società di intermediazione online dovrebbero adottare i nuovi metodi immediatamente. Non è solo un cambio tecnologico: il regolatore ha anche chiarito che il management senior delle istituzioni licenziate porta la responsabilità ultima per l’adeguatezza dei controlli interni, e che la SFC terrà le aziende accountable per le perdite dei clienti derivanti da carenze nei loro sistemi di sicurezza.
Impatto sui mercati
Questo passaggio è significativo. Spostare la responsabilità sulle piattaforme — e non solo sull’utente che “ha cliccato sul link sbagliato” — rappresenta un cambio di paradigma regolatorio che altri mercati potrebbero osservare con attenzione. Metodi di autenticazione approvati e associazione dei dispositivi Le soluzioni che la SFC considera conformi ai nuovi requisiti comprendono passkey, dispositivi registrati con verifica crittografica e hardware security key.
Tutte e tre condividono una caratteristica fondamentale: l’autenticazione avviene localmente sul dispositivo dell’utente, senza trasmettere credenziali intercettabili in rete. Un attaccante che replica una pagina di login non ottiene nulla di utile, perché non esiste una password da rubare. Oltre alle misure preventive, le piattaforme dovranno implementare sistemi di rilevamento e sorveglianza per identificare attività sospette di login, trading e prelievo, notificare tempestivamente i clienti di operazioni significative sul proprio account e rispondere rapidamente agli incidenti di hacking.
Aumento di furti e truffe phishing: i numeri che hanno convinto il regolatore Per capire perché Hong Kong ha deciso di agire ora, bastano i dati. Nel primo trimestre del 2026, gli attacchi di phishing e le truffe di social engineering hanno generato 306 milioni di dollari di perdite nel settore crypto globale — su un totale di 482 milioni di dollari di perdite complessive nel periodo. Più di sei dollari persi su dieci, quindi, non derivano da exploit tecnici di protocolli, ma da inganni che sfruttano la fiducia degli utenti.
I mercati delle criptovalute seguono da vicino questo sviluppo, mentre gli investitori valutano il potenziale impatto sui prezzi.




