全球掀起簡訊OTP禁用潮，印度、UAE金融監管新法4月生效 https://www.ithome.com.tw/news/174934 隨著簡訊OTP持續被詐騙集團與駭客濫用，全球金融監管趨勢正迎來重大轉折，要求金融 業禁用簡訊OTP的國家越來越多，不只新加坡、馬來西亞，印度與阿拉伯聯合大公國（UAE ）的限制政策也於2026年4月正式生效 文/羅正漢|2026-04-09發表 全球政府禁用簡訊OTP（一次性密碼）的態勢越發顯著，在今年3月舉辦的FIDO臺灣分會活 動中，就有電信身分識別專家分享此類議題，太思科技董事長何俊炘針對簡訊OTP議題說 明產業對策，在解析eSIM Passkey技術發展之餘，特別指出多國政府正陸續加入禁用OTP 的行列。 回顧2024年，新加坡因網路釣魚詐騙造成至少1,420萬美元損失，為此，新加坡金融管理 局要求銀行限期汰除簡訊OTP，此舉引發我們關注其後續發展，隨後，當地多家銀行陸續 採取行動，改以手機App作為身分驗證機制，包括星展銀行、大華銀行、華僑銀行等皆已 推動相關措施。 這次何俊炘在演說中進一步揭露，這股趨勢正迅速擴散：馬來西亞更早提出分階段推動， 現已全面停用簡訊OTP；阿拉伯聯合大公國（UAE）則從2026年3月31日開始全面禁用簡訊 OTP，印度亦從4月1日起禁止銀行以簡訊OTP為唯一認證管道，並且要求銀行負擔賠償責任 。 因應詐騙與網路犯罪，馬來西亞、UAE與印度強化金融監管 我們進一步檢視相關消息，例如，馬來西亞國家銀行（BNM）從2022年就開始宣布，由於 詐騙與網路犯罪日益猖獗，因此，BNM要求高風險線上銀行作業，必須從簡訊OTP遷移至更 安全的驗證方式。後續當地銀行分階段遷移，包括馬來亞銀行在內的多家銀行已於2024年 9月完成過渡。 阿拉伯聯合大公國中央銀行（CBUAE）於2025年5月發布第2025/3057號通知，明訂自2026 年3月31日起，國內支付、國際轉帳及線上購物等金融交易，不得再將簡訊OTP、Email OTP或靜態密碼作為獨立驗證手段，必須改以生物辨識、App推播或FIDO等強驗證方式取代 。 印度儲備銀行（RBI）於2025年9月祭出新法，其頒布的《數位支付交易認證機制指令2025 》，明定所有數位支付交易自2026年4月1日起，必須至少採用雙因素驗證（2FA），簡訊 OTP不得單獨作為驗證方式，須搭配生物辨識、App通證或裝置綁定等更安全機制，且若未 落實導致詐騙發生，銀行恐需負擔賠償責任。 綜觀多國政府汰除簡訊OTP的態勢，其實與FIDO聯盟目標一致 對於全球多國相繼禁用簡訊OTP的態勢，何俊炘分析指出，網路犯罪生態系長期將簡訊OTP 視為防禦破口。攻擊者常透過社交工程、釣魚網站誘騙受害者提供驗證碼，進而非法取得 雲端帳戶存取權限。 在此類威脅日益嚴峻之下，傳統簡訊OTP的多因素驗證（MFA）已顯得力不從心，這也使得 各國監管機構正加速淘汰簡訊OTP的使用。 而這樣的政策方向，也與FIDO聯盟推動的Passkey發展高度一致。何俊炘強調，為了因應 網釣攻擊，轉向具備抗網釣能力的強式MFA驗證機制已是必然。 整體來看，我們可以發現，這股汰換浪潮並非一蹴而就，早在前幾年舉行的FIDO研討會上 ，即指出美國國家標準技術研究所（NIST）2016年發布的數位身分認證指南，已開始建議 企業不要再透過電信的簡訊與電話語音來執行二次驗證；後續美國CISA也在2019年特別發 布抗網釣MFA導入指引文件，明確將簡訊MFA定位為「過渡到強式MFA之前的臨時方案」； 時至今日，這股趨勢已轉化為全球性的監管行動，陸續有政府將禁用OTP列入政策。 至於未來還有哪些重要發展？隨著Passkey應用漸趨普及，讓用戶在帳號登入可防範網釣 攻擊，但何俊炘指出，在帳號登入之外，帳號註冊與帳號復原等流程也需要同步升級驗證 機制。何俊炘在演說中也提到FIDO聯盟成員正與電信業合作研發應對方案，例如電話號碼 驗證（PNV）等新技術，以及基於eSIM Passkey的技術方案，這也是全球產業正在持續探 討與發展的最新態勢。 ----- 台灣的銀行會不會跟進 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 60.244.164.5 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Bank_Service/M.1775786258.A.68B.html