全球掀起簡訊OTP禁用潮，印度、UAE金融監管新法4月生效

回顧2024年，新加坡因網路釣魚詐騙造成至少1,420萬美元損失，為此，新加坡金融管理局要求銀行限期汰除簡訊OTP，此舉引發我們關注其後續發展，隨後，當地多家銀行陸續採取行動，改以手機App作為身分驗證機制，包括星展銀行、大華銀行、華僑銀行等皆已推動相關措施。

這次何俊炘在演說中進一步揭露，這股趨勢正迅速擴散：馬來西亞更早提出分階段推動，現已全面停用簡訊OTP；阿拉伯聯合大公國（UAE）則從2026年3月31日開始全面禁用簡訊OTP，印度亦從4月1日起禁止銀行以簡訊OTP為唯一認證管道，並且要求銀行負擔賠償責任。

因應詐騙與網路犯罪，馬來西亞、UAE與印度強化金融監管

我們進一步檢視相關消息，例如，馬來西亞國家銀行（BNM）從2022年就開始宣布，由於詐騙與網路犯罪日益猖獗，因此，業者要求高風險線上銀行作業，必須從簡訊OTP遷移至更安全的驗證方式。後續當地銀行分階段遷移，包括馬來亞銀行在內的多家銀行已於2024年9月完成過渡。

阿拉伯聯合大公國中央銀行（CBUAE）於2025年5月發布第2025/3057號通知，明訂自2026年3月31日起，國內支付、國際轉帳及線上購物等金融交易，不得再將簡訊OTP、Email OTP或靜態密碼作為獨立驗證手段，必須改以生物辨識、App推播或FIDO等強驗證方式取代。

印度儲備銀行（RBI）於2025年9月祭出新法，其頒布的《數位支付交易認證機制指令2025》，明定所有數位支付交易自2026年4月1日起，必須至少採用雙因素驗證（2FA），簡訊OTP不得單獨作為驗證方式，須搭配生物辨識、App通證或裝置綁定等更安全機制，且若未落實導致詐騙發生，銀行恐需負擔賠償責任。

綜觀多國政府汰除簡訊OTP的態勢，其實與FIDO聯盟目標一致

對於全球多國相繼禁用簡訊OTP的態勢，何俊炘分析指出，網路犯罪生態系長期將簡訊OTP視為防禦破口。攻擊者常透過社交工程、釣魚網站誘騙受害者提供驗證碼，進而非法取得雲端帳戶存取權限。

在此類威脅日益嚴峻之下，傳統簡訊OTP的多因素驗證（MFA）已顯得力不從心，這也使得各國監管機構正加速淘汰簡訊OTP的使用。

而這樣的政策方向，也與FIDO聯盟推動的Passkey發展高度一致。何俊炘強調，為了因應網釣攻擊，轉向具備抗網釣能力的強式MFA驗證機制已是必然。

整體來看，我們可以發現，這股汰換浪潮並非一蹴而就，早在前幾年舉行的FIDO研討會上，即指出美國國家標準技術研究所（NIST）2016年發布的數位身分認證指南，已開始建議企業不要再透過電信的簡訊與電話語音來執行二次驗證；後續美國CISA也在2019年特別發布抗網釣MFA導入指引文件，明確將簡訊MFA定位為「過渡到強式MFA之前的臨時方案」；時至今日，這股趨勢已轉化為全球性的監管行動，陸續有政府將禁用OTP列入政策。

至於未來還有哪些重要發展？隨著Passkey應用漸趨普及，讓用戶在帳號登入可防範網釣攻擊，但何俊炘指出，在帳號登入之外，帳號註冊與帳號復原等流程也需要同步升級驗證機制。何俊炘在演說中也提到FIDO聯盟成員正與電信業合作研發應對方案，例如電話號碼驗證（PNV）等新技術，以及基於eSIM Passkey的技術方案，這也是全球產業正在持續探討與發展的最新態勢。