香港证监会新令,事关每个网络外汇平台及投资者
摘要:2026年7月9日,香港证监会一纸通函,让整个互联网经纪圈和虚拟资产交易平台坐不住了。短信验证码,这个用了十几年的登录方式,被正式判了“死刑”。大型互联网经纪商必须立即执行,其余机构最迟12个月内完成整改。
2026年7月9日,香港证监会一纸通函,让整个互联网经纪圈和虚拟资产交易平台坐不住了。短信验证码,这个用了十几年的登录方式,被正式判了“死刑”。大型互联网经纪商必须立即执行,其余机构最迟12个月内完成整改。
消息一出,业内震动不小。毕竟短信OTP(一次性密码)几乎是所有金融App的标准配置,说废就废?
这一切,得从两年前那桩震惊业界的黑客事件说起。
四家券商,9100万港元,一次悄无声息的入侵
2024年10月24日到11月6日,短短两周时间,盈透证券香港、软库中华金融、大圣证券、东吴证券国际四家经纪行的客户账户遭黑客入侵。攻击者没有破解任何人的密码,而是用了一个更“聪明”的手段,截获短信验证码。
等券商和客户反应过来,账户里已经发生了大量未经授权的网上交易。香港证监会迅速出手,向四家经纪行发出限制通知书,冻结了相关账户内约9100万港元的资产。

这起事件暴露出的问题让监管层后背发凉:短信验证码根本不安全。
为什么短信验证码靠不住了?
证监会在最新通函里把技术原理讲得很透彻。攻击者只需要搭建一个以假乱真的钓鱼登录页面,诱导客户在上面输入账号密码和短信验证码。就在客户提交的瞬间,攻击者实时截获并转发给真正的交易平台,在客户毫不知情的情况下完成登录。
整个过程,客户收到的是正常的验证码,输入的是正常的页面,但手机银行已经“穿越”到了别人手里。
证监会毫不客气地给出了结论:钓鱼攻击已成香港金融安全头号威胁。2025年,向香港电脑保安事故协调中心报告的所有安全事件中,钓鱼攻击占比高达57%。
替代方案是什么?通行密钥加设备绑定
新规推荐的技术路线是“通行密钥配合设备绑定”。
通行密钥只能与其创建时对应的合法网站或应用配合使用,钓鱼网站根本骗不到。设备绑定则通过生物识别(指纹、人脸)或PIN码解锁,将访问权限与特定设备绑定。
这套组合拳等于上了双保险。就算客户自己走进了钓鱼网站,攻击者也无法拿到可重复使用的登录凭证,更无法在其他设备上登录。
从“建议”到“命令”,证监会为什么这么急?
事实上,证监会早在2025年2月的网络安全通函中就已经“鼓励”券商放弃OTP。但鼓励归鼓励,没人当真。
随后证监会又推了两项过渡措施。先是推动经纪商参与短信发送人登记计划,让客户能一眼分辨短信真伪。接着直接禁止经纪商在短信中嵌入任何可点击链接,防止客户被引导至仿冒网站。
但这些“温柔”的手段显然没能从根本上解决问题。不到一年半,证监会直接把“建议”改成了“命令”。
一句话总结:监管层已经没耐心了。

在香港那类牌照能碰外汇期货?
简单科普一下,香港证监会全称“证券及期货事务监察委员会”,成立于1989年。那一年全球股灾重创香港市场,恒指几天内跌去上千点,暴露出监管体系的巨大漏洞。当局痛定思痛,决定成立一个拥有广泛调查及纪律处分权力的独立监管机构。
2003年《证券及期货条例》正式生效,证监会就此坐实了“四大监管机构”之一的地位,其余三位分别是金管局、保监局、积金局。
证监会经费主要来自交易征费,不花政府一分钱,独立性没得说。
香港金融牌照速览:第3类牌照门槛最高
在香港搞金融,牌照是绕不开的坎。证监会将受规管活动划分为10类,对应1号到10号牌照。
与本次新规直接相关的主要是:
第2类牌照(期货合约交易),提供恒指期货及海外期货买卖经纪服务。
第3类牌照(杠杆式外汇交易),这是零售外汇交易的核心牌照,也是资本门槛最高的牌照。普通持牌法团须有至少3000万港元缴足股本及1500万港元速动资金。即便是门槛较低的核准介绍代理人,也须有500万港元缴足股本及300万港元速动资金。
目前全港仅约31家持牌法团持有第3类牌照。顺便说一句,银行做的杠杆式外汇交易属于豁免活动,不在这个范围内。
另外第1类牌照(证券交易)约千家以上,第9类牌照(资产管理)要求1000万港元缴足股本及300万港元速动资金。

这波新规到底有多狠?三个维度拆给你看
第一,监管逻辑彻底变了。从“软指引”到“硬约束”,证监会用行动告诉市场,网络安全问题上,别指望还有观望和缓冲的时间窗口。
第二,高管头顶多了把剑。新规明确表示,高级管理层对保护客户账户和资产负有最终责任,因管控疏漏导致客户损失,高管将被追责。合规部门松了口气,但CEO和合规总监可能要睡不着了。
第三,中小券商的生存空间更小了。第3类牌照本身已经卡掉了99%的玩家,3000万港元缴足股本,全港才31家。这次技术升级虽然主要涉及身份认证系统改造,但对中小机构来说,合规成本不是小数目。而大型互联网经纪商被要求“立即执行”,无形中又拉开了差距。
可以预见,未来12个月的整改窗口期,行业集中度只会继续提升。
从冻结9100万港元,到全面禁用短信验证码,再到高管问责机制强化,香港证监会打出的这套组合拳,释放的信号再明确不过:金融安全的底,不能让客户来兜。谁的系统有漏洞,谁就自己买单。
而对我们普通投资者来说,下次登录交易软件如果发现要扫脸或按指纹,别嫌麻烦,这是在保护你的钱袋子。最后提醒一句,投资前不妨先上外汇天眼查一查,那些号称受香港监管的平台是否真的持有SFC第3类牌照,一查便知,远离HKGX这类无牌黑平台,别让自己的血汗钱打了水漂。
提示:本文非投资建议。

免责声明:
本文观点仅代表作者个人观点,不构成本平台的投资建议,本平台不对文章信息准确性、完整性和及时性作出任何保证,亦不对因使用或信赖文章信息引发的任何损失承担责任
