Chaves de acesso e a FSA do Japão: o impulso para o MFA resistente a phishing (2026)

1. Introdução: Por que a página da FSA de 16 de abril de 2026 é importante#

A página da FSA do Japão de 16 de abril de 2026 é importante porque muda publicamente o foco de um MFA genérico para uma autenticação resistente a phishing. A página menciona as chaves de acesso e a PKI como exemplos preferenciais, rejeita o OTP por e-mail e SMS como proteção suficiente contra o phishing moderno e transforma uma discussão de conformidade restrita ao setor em um sinal de mercado voltado para o consumidor.

O anúncio da FSA do Japão de 16 de abril de 2026 parece modesto à primeira vista. Não é uma nova lei. Não é uma ação direta de execução. Não publica um novo prazo de conformidade. Em vez disso, introduz uma campanha pública com folhetos e pôsteres para download.

O que a Agência de Serviços Financeiros (FSA) fez aqui foi mover a conversa de um canal da indústria/regulatório para o domínio público. O regulador não está mais apenas dizendo a bancos, corretoras e associações comerciais para fortalecerem a autenticação. Agora está dizendo aos usuários comuns que:

• a autenticação apenas com senha é fraca,
• o OTP por e-mail e SMS não são mais suficientes,
• os usuários devem preferir um MFA resistente a phishing, e
• as chaves de acesso e a autenticação PKI são o caminho certo.

Essa é uma grande mudança de tom. E em setores altamente regulamentados como o setor bancário, o tom frequentemente se torna pressão de implementação muito antes que o próximo texto de regra formal apareça.

Essa campanha pública também não surgiu do nada. Em seu próprio documento de informações em inglês de junho de 2025 (PDF), a FSA já havia alertado que a autenticação apenas com ID/senha é vulnerável e que as senhas de uso único enviadas por e-mail ou SMS não são suficientemente eficazes contra phishing. Enquanto isso, a cobertura do setor no final de 2025 descrevia o mercado do Japão com 64 organizações no FIDO Japan Working Group e mais de 50 provedores de chaves de acesso operando ou planejados, indicando que o momento de implantação já era real antes da campanha pública de abril de 2026 (cobertura do CNET Japan). Para uma visão mais ampla de como os bancos, plataformas e reguladores japoneses têm se movido em relação à autenticação passwordless, consulte nossa visão geral de passkeys no Japão.

2. O que a FSA realmente publicou em 16 de abril de 2026#

A página de 16 de abril é um pacote coordenado de campanha pública, não uma simples nota de imprensa. Ela reúne 9 materiais reutilizáveis (5 folhetos em PDF e 4 vídeos promocionais), alinha bancos, grupos de valores mobiliários e a polícia em torno da mesma mensagem e informa aos consumidores que o MFA resistente a phishing deve substituir a dependência de senhas mais OTP para jornadas financeiras de alto risco.

A página oficial vincula 5 folhetos em PDF, organizados como uma visão geral, além de versões detalhadas de dois temas (MFA resistente a phishing e conscientização sobre e-mails de phishing):

• Visão geral (概要版)
• MFA resistente a phishing, visão geral
• MFA resistente a phishing, detalhado
• Conscientização sobre e-mails de phishing, visão geral
• Conscientização sobre e-mails de phishing, detalhado

Junto com os PDFs, a página promove 4 vídeos promocionais sobre os mesmos dois temas, produzidos nos formatos de drama e mangá para que a campanha possa alcançar diferentes faixas etárias e contextos de leitura, e não apenas leitores de políticas.

A campanha é posicionada como um esforço conjunto da FSA com:

• associações bancárias de âmbito nacional,
• bancos shinkin,
• cooperativas de crédito,
• bancos trabalhistas (labor banks),
• grupos do setor de valores mobiliários, e
• a Agência Nacional de Polícia.

Essa amplitude é importante. Este não é um aviso de nicho exclusivo de valores mobiliários. É uma mensagem coordenada em todo o ecossistema financeiro de varejo do Japão.

2.1 A mensagem política central#

O principal termo utilizado na campanha é フィッシングに耐性のある多要素認証, que significa autenticação multifator resistente a phishing.

Os folhetos explicam que a autenticação legada ficou para trás no modelo de ameaças atual:

• senhas podem ser roubadas por phishing ou reutilizadas,
• OTP por e-mail / SMS pode ser roubado em tempo real,
• malware pode observar ou manipular a sessão do usuário, e
• sites falsos podem imitar a marca real tão bem que a inspeção visual não é uma defesa confiável.

Em seguida, a campanha apresenta dois exemplos principais de autenticação mais forte:

1. Chaves de acesso
2. Autenticação baseada em PKI

Essa segunda parte é importante. O Japão não está enquadrando isso puramente como “todos devem usar chaves de acesso”. O regulador está estruturando o resultado desejado como autenticação resistente a phishing, e as chaves de acesso são uma das maneiras de nível de consumidor mais claras de chegar lá.

Para tornar essa distinção concreta, a estrutura da FSA separa implicitamente os métodos de autenticação da seguinte forma:

2.2 A campanha também é comportamental#

Os materiais não se concentram apenas na tecnologia de autenticação. Eles também instruem os usuários a:

• evitar o login a partir de links dentro de e-mails ou SMS,
• usar favoritos ou aplicativos oficiais,
• desconfiar de telas não familiares e solicitações incomuns,
• preferir lojas de aplicativos oficiais, e
• ser cautelosos com instruções estranhas no navegador, como atalhos de teclado inesperados.

Em outras palavras, a FSA não está fingindo que apenas a tecnologia de autenticação resolve todo o problema. Ela está combinando contramedidas técnicas com higiene comportamental.

3. O que é novidade aqui, e o que não é#

A página de 16 de abril é novidade porque muda o enquadramento público, não porque cria uma nova lei autônoma. O desenvolvimento real é que o regulador do Japão agora explica publicamente por que as chaves de acesso e a PKI são melhores que os fluxos de senha mais OTP, dando às instituições financeiras uma cobertura mais forte para reprojetar a autenticação em torno da resistência ao phishing.

3.1 O que é realmente novo#

A página de 16 de abril é novidade de pelo menos quatro maneiras:

3.1.1 As chaves de acesso agora fazem parte do vocabulário público do regulador#

Muitos reguladores falam sobre MFA em termos abstratos. A FSA do Japão está fazendo algo mais concreto: está dizendo ao público que as chaves de acesso são uma defesa mais forte contra phishing e falsidade ideológica do que os padrões de login mais antigos.

Isso é importante porque a nomeação pública muda as decisões de produto. Assim que o regulador nomear publicamente as chaves de acesso, as instituições financeiras podem justificar o investimento mais facilmente internamente:

• as equipes de compliance podem citar o regulador,
• as equipes de risco podem conectar as chaves de acesso diretamente à redução de perdas por phishing,
• as equipes de produto podem posicionar as chaves de acesso como alinhadas com a orientação oficial, em vez de um projeto de inovação opcional.

3.1.2 A FSA está rebaixando publicamente o OTP#

Esta não é uma implicação sutil. Os materiais afirmam que o OTP entregue por e-mail ou SMS ainda pode ser burlado por:

• phishing em tempo real,
• interceptação man-in-the-middle, e
• roubo assistido por malware.

Isso é mais forte do que uma nota de melhores práticas genérica dizendo que o OTP é “menos seguro”. É o regulador dizendo ao público que o MFA baseado em OTP não oferece resistência significativa a phishing.

3.1.3 A mensagem é multissetorial#

O Japão não está limitando isso a uma vertical. Bancos, corretoras e outros atores financeiros fazem parte do mesmo sinal público. Isso aumenta as chances de uma normalização mais ampla do ecossistema:

• bancos podem treinar os usuários para esperar um login mais forte,
• corretoras podem tornar a autenticação mais forte um padrão para ações de alto risco,
• usuários encontrarão uma linguagem semelhante em diferentes instituições, em vez de explicações contraditórias.

3.1.4 A FSA está educando o consumidor diretamente#

Este é o ponto mais importante.

Existe uma enorme diferença entre:

• um regulador dizendo às instituições financeiras o que elas devem implementar, e
• um regulador dizendo aos clientes como é a autenticação segura hoje.

O segundo movimento reduz o risco político e de UX da implementação. Um banco ou corretora agora pode dizer: "Esta não é apenas a nossa ideia; esta é a direção que o próprio regulador está promovendo".

3.2 O que não é novo#

A página não cria por si só:

• um novo mandato autônomo,
• um novo prazo de implementação,
• uma especificação técnica detalhada para chaves de acesso,
• uma declaração de que as chaves de acesso são a única tecnologia aceitável, ou
• uma lista de sanções vinculadas diretamente a esta campanha.

Essa distinção é importante porque muitos leitores vão exagerar o anúncio como “o Japão acabou de tornar as chaves de acesso obrigatórias”. Isso não é preciso o suficiente.

A melhor interpretação é:

Isso é estrategicamente importante, mesmo que não seja uma nova regra por si só.

4. Por que a FSA está certa ao focar em MFA resistente a phishing em vez de MFA genérico#

A FSA está certa porque o MFA genérico ainda deixa a principal via de fraude intacta. Senha mais OTP adiciona mais um segredo reutilizável, enquanto o MFA resistente a phishing altera o protocolo para que o site falso não consiga concluir a autenticação mesmo quando o usuário for enganado.

4.1 O OTP resolve o problema de ontem#

O OTP por SMS e e-mail foi projetado para dificultar a repetição de credenciais (credential replay). Eles funcionam contra alguns padrões de ataque mais antigos, mas os invasores modernos não precisam repetir um código horas depois. Eles o roubam em tempo real. Isso é ainda mais importante em um mercado onde a reutilização de senhas no Japão ainda é extremamente alta, o que significa que o primeiro fator é frequentemente comprometido antes mesmo da etapa do OTP começar.

Esse é o problema central do phishing em tempo real:

1. Uma vítima chega a um site falso.
2. A vítima insere o nome de usuário e a senha.
3. O invasor encaminha essas credenciais para o site real.
4. O site real solicita um OTP.
5. O site falso pede o OTP à vítima.
6. O invasor o usa imediatamente para concluir o login real.

Nesse fluxo de trabalho, o OTP não impede o invasor. Ele simplesmente se torna outro segredo que a vítima pode ser enganada a revelar.

4.2 As chaves de acesso mudam o modelo de confiança#

As chaves de acesso funcionam de maneira diferente porque estão vinculadas à origem (origin-bound). A credencial só pode ser usada no site legítimo associado à parte confiadora da chave de acesso. A base técnica para esse comportamento reside na especificação WebAuthn da W3C e na documentação de passkey da FIDO Alliance, que descrevem o modelo de desafio-resposta vinculado ao site que impede que um domínio falso reutilize uma credencial criada para o domínio real.

Isso significa que um domínio falso não pode simplesmente pedir ao usuário que “digite a chave de acesso” da forma como ele pede uma senha ou um OTP. Não há nada reutilizável para digitar, e o navegador / sistema operacional verifica o contexto do site antes que a autenticação possa prosseguir.

É por isso que as chaves de acesso são essenciais para a autenticação resistente a phishing:

• não há nenhum segredo compartilhado para redigitar,
• o usuário não é solicitado a transmitir manualmente um código reutilizável,
• a chave privada nunca sai do dispositivo do usuário, e
• o autenticador está vinculado à origem legítima.

Também é por isso que a campanha de 16 de abril é importante. A FSA não está dizendo apenas "use um MFA melhor". Ela está apontando para métodos de autenticação em que o site de phishing falha na camada do protocolo em vez de pedir ao usuário para detectar a fraude manualmente.

4.3 A PKI também é importante#

A campanha do Japão também destaca a PKI e menciona explicitamente que as credenciais do cartão My Number podem ser usadas em contextos de autenticação.

Isso não é acidental. O Japão tem um histórico institucional mais profundo com modelos de identidade orientados a certificados do que muitos mercados consumidores ocidentais. Portanto, o estado final provável no Japão não é “apenas passkeys”. Está mais próximo de:

• chaves de acesso para logins de consumidores convencionais e fluxos de step-up,
• autenticação baseada em PKI / certificado para uma garantia mais forte ou casos de identidade semelhantes ao setor público,
• e uma preferência regulatória mais ampla por resultados resistentes a phishing.

Para as equipes de produto, isso significa que a comparação estratégica correta não é “chaves de acesso versus senhas”. É mais como:

• chaves de acesso vs. OTP por e-mail/SMS para login do consumidor,
• chaves de acesso vs. tokens de software em aplicativos para UX bancário,
• chaves de acesso vs. PKI para camadas de garantia e verificação de identidade.

5. Por que o dia 16 de abril é ainda mais importante no contexto da orientação regulatória anterior do Japão#

O dia 16 de abril é importante porque converte uma tendência de supervisão em uma norma pública. Depois que a FSA passou 2025 alertando que a autenticação apenas com senha e baseada em OTP era muito fraca, a campanha de abril de 2026 diz diretamente aos consumidores como deve ser a substituição: MFA resistente a phishing usando chaves de acesso, PKI ou ambos.

Até 2025 e início de 2026, o setor financeiro do Japão já estava caminhando para controles mais rigorosos após incidentes de comprometimento de contas relacionados a phishing em corretoras de valores mobiliários e outros serviços financeiros online. O pano de fundo é uma série de violações de dados de alto perfil no Japão que mantiveram o sequestro de contas e o roubo de credenciais na agenda regulatória. Em materiais relacionados da FSA e em comentários posteriores sobre alterações de diretrizes, o regulador fez uma distinção mais nítida entre:

• “algum MFA”, e
• MFA resistente a phishing.

Essa diferença é fundamental.

O MFA genérico ainda pode deixar os usuários vulneráveis a:

• roubo de OTP,
• encaminhamento para sites falsos,
• fadiga de push / abuso de aprovação,
• endpoints comprometidos,
• fluxos de recuperação fracos.

Em contraste, o MFA resistente a phishing tenta bloquear explicitamente o caminho principal da fraude, em vez de apenas adicionar mais um obstáculo. A campanha de 16 de abril, portanto, é melhor vista como uma operacionalização pública de uma direção mais ampla que já está se formando no Japão:

• os serviços financeiros não devem apenas adicionar mais atrito,
• eles devem passar para métodos de autenticação que quebrem a economia do phishing.

Resumidamente, a progressão ocorre em quatro marcos em menos de um ano:

Com as fontes, a mesma progressão pode ser lida da seguinte forma:

• Junho de 2025: o resumo da edição em inglês da FSA afirma que a autenticação apenas com senha é fraca e que o OTP por e-mail / SMS não é suficientemente eficaz contra phishing.
• 15 de julho de 2025: o projeto de diretriz da JSDA impulsiona o MFA resistente a phishing para ações sensíveis de valores mobiliários, como login, saques e alterações de conta bancária.
• Final de 2025: relatórios de mercado descrevem mais de 50 provedores de chaves de acesso e 64 organizações no FIDO Japan Working Group no Japão (CNET Japan).
• 16 de abril de 2026: a campanha pública da FSA leva a mesma mensagem resistente a phishing diretamente aos consumidores.

Nesse sentido, a página é menos “marketing de conscientização” do que parece. Ela é a face pública de uma mudança regulatória e de ecossistema mais profunda.

6. O que isso significa para os bancos, corretoras e fintechs japonesas#

As instituições financeiras japonesas devem tratar a campanha de 16 de abril como uma elevação da expectativa mínima para login, recuperação e ações de contas de alto risco. Assim que o regulador afirma publicamente que o OTP por e-mail e SMS não são eficazes o suficiente, o MFA baseado em métodos de fallback (alternativos) fracos se torna mais difícil de defender sob a perspectiva de fraude, produto e supervisão.

6.1 “MFA disponível” não é mais suficiente#

Oferecer o OTP por SMS como fallback enquanto se promove a experiência como “MFA seguro” está se tornando mais difícil de defender. A mensagem pública do regulador agora faz uma distinção mais exigente: o MFA resistente a phishing deve ser o destino. O trabalho mais amplo da indústria sobre MFA obrigatório com chaves de acesso aponta para o mesmo caminho.

Isso significa que as organizações devem avaliar:

• onde o OTP por SMS/e-mail ainda existe,
• quais jornadas são de alto risco,
• se as chaves de acesso são opcionais ou verdadeiramente incentivadas,
• quanta dependência ainda resta de métodos de fallback suscetíveis a phishing.

6.2 Jornadas de alto risco precisam de tratamento especial#

As jornadas mais sensíveis não se limitam ao login. Na prática, as instituições devem revisar cada superfície vulnerável a phishing:

• login,
• pagamento / saque,
• alteração de conta de destino,
• recuperação e revinculação de dispositivos,
• alterações de perfil e detalhes de contato,
• API ou acesso por agregação.

Muitas instituições ainda protegem a página de login mais fortemente do que o caminho de recuperação da conta. Isso está invertido. Os invasores usarão a rota mais fraca disponível.

6.3 A recuperação se torna um problema estratégico de produto#

Assim que a autenticação resistente a phishing se torna a referência, a recuperação passa a ser a parte mais difícil do design.

Uma implementação de chaves de acesso ainda pode falhar operacionalmente se a recuperação recorrer a fluxos de e-mail fracos, engenharia social ou procedimentos de suporte que reintroduzam etapas vulneráveis a phishing. A campanha da FSA do Japão não resolve esse desafio de design, mas o torna impossível de ignorar.

6.4 A UX de "acesso oficial" deve fazer parte do design do produto#

Um detalhe pouco valorizado nos folhetos é o incentivo ao uso de favoritos e aplicativos oficiais. Isso sugere uma lição de produto mais ampla:

• branding por si só não é o suficiente,
• pontos de entrada de login são importantes,
• o roteamento seguro é importante,
• a UX anti-phishing faz parte do conjunto de autenticação.

Para as instituições financeiras, isso significa:

• destacar caminhos de login baseados em aplicativos,
• reduzir a dependência de links por e-mail,
• explicar claramente onde começa o login oficial,
• tratar a higiene dos links de entrada como parte da prevenção de fraudes.

6.5 Tokens de software não são a mesma coisa que chaves de acesso#

Algumas instituições responderão fortalecendo a aprovação baseada em aplicativos e considerarão o problema resolvido. Isso pode melhorar a segurança, mas não é o equivalente às chaves de acesso.

Por que?

• Muitos fluxos proprietários de soft-token ainda dependem do usuário para distinguir um site real de um falso.
• Alguns fluxos ainda podem ser abusados por meio de retransmissão em tempo real ou manipulação de aprovação.
• A alternância entre aplicativos e o manuseio de códigos adicionam atrito e confusão.

As chaves de acesso são importantes porque reduzem tanto a exposição a phishing quanto o esforço do usuário.

6.6 A régua para os concorrentes acabou de subir#

Uma vez que a FSA começa a educar os consumidores diretamente, os retardatários tornam-se mais visíveis. Uma empresa que ainda dependa de senha + OTP pode logo parecer desatualizada em relação a seus concorrentes que oferecem:

• chaves de acesso,
• autenticação vinculada a dispositivos mais forte,
• ou experiências de login claras e resistentes a phishing.

Isso altera o cenário competitivo, e não apenas o cenário de conformidade.

A maior parte disso não é um território novo. O Guia de Passkeys para Empresas percorre passo a passo a avaliação, alinhamento de stakeholders, integração e testes para implantações de consumidores em larga escala, e 10 erros de implantação de passkeys que os bancos cometem compila os modos de falha recorrentes que os bancos, ao correrem com implementações, continuam a repetir. O que a campanha da FSA acrescenta é urgência e apoio público, não uma nova cartilha.

7. O que isso significa para as chaves de acesso (passkeys) especificamente#

A campanha do Japão de 16 de abril ajuda as chaves de acesso de três maneiras concretas: ela enquadra as chaves de acesso como controles de fraude em vez de recursos de conveniência, ela amplia o caso de implantação para as partes interessadas (stakeholders) internas e ensina aos consumidores que as chaves de acesso fazem parte do modelo de login financeiro seguro que o regulador agora prefere.

7.1 Reenquadra as chaves de acesso como controle de fraudes, e não como conveniência#

Muitas implementações de passkeys para consumidores são promovidas como:

• login mais fácil,
• não há senhas para lembrar,
• login mais rápido.

O enquadramento da FSA é muito mais contundente:

• as chaves de acesso são uma defesa contra a falsidade ideológica (impersonation),
• as chaves de acesso ajudam a bloquear o phishing,
• as chaves de acesso reduzem a dependência de segredos reutilizáveis.

Esse é exatamente o enquadramento que bancos e corretoras precisam internamente. Os orçamentos de segurança são aprovados mais facilmente para redução de fraudes do que apenas para a conveniência.

7.2 Amplia o público-alvo de passkeys dentro das instituições financeiras#

Normalmente, um projeto de autenticação precisa conquistar o apoio de:

• produto,
• fraude,
• segurança,
• compliance,
• jurídico,
• operações,
• e suporte.

A página da FSA dá a cada um desses grupos um motivo para se importar:

• a equipe de fraude vê a redução de phishing,
• a equipe de segurança vê a criptografia vinculada à origem,
• a equipe de compliance vê o alinhamento com o regulador,
• a equipe de operações vê menos atrito com OTP,
• a equipe de produto vê uma história do consumidor mais forte.

7.3 Ajuda a normalizar as chaves de acesso para os usuários comuns#

Esse pode ser o efeito mais duradouro.

Quando um regulador nacional, associações financeiras e a polícia apresentam as chaves de acesso como uma defesa recomendada, a percepção do usuário muda. A equipe de produto não precisa mais introduzir as chaves de acesso como um recurso novo e estranho. Ela pode apresentá-las como o método de segurança no qual o ecossistema está convergindo.

Isso é importante porque o sucesso da implantação costuma depender menos da criptografia do que da confiança dos usuários no novo fluxo para adotá-lo.

7.4 Amplia o público de passkeys além dos segmentos focados em tecnologia#

A campanha da FSA não atinge apenas aplicativos bancários usados por consumidores focados em tecnologia (tech-forward). Ela abrange contas de valores mobiliários, bancos de trabalhadores, bancos shinkin e cooperativas de crédito — as partes do sistema financeiro japonês nas quais clientes mais velhos e com menos familiaridade com tecnologia dependem diariamente. Isso é estrategicamente importante para as chaves de acesso. Uma vez que esses clientes encontram as chaves de acesso por meio de suas corretoras, bancos trabalhistas ou cooperativas locais, a familiaridade com as chaves de acesso se espalha muito além do segmento de usuários iniciais (early adopters) e começa a ser normalizada em toda a base de clientes. Para a adoção de passkeys pelos consumidores no Japão, esse é o tipo de impulso que nenhum orçamento de marketing consegue comprar.

No entanto, isso é uma faca de dois gumes. Uma base demográfica mais ampla também significa uma variedade muito maior de dispositivos, versões de sistemas operacionais, navegadores em aplicativos e comportamentos de gerenciadores de credenciais do que uma implantação limitada a clientes adeptos da tecnologia alcançaria. É exatamente aí que erros em passkeys de aplicativos nativos se tornam uma preocupação em nível de produção, não apenas um caso atípico. Bancos e corretoras que respondem à sinalização da FSA devem se planejar para a diversidade de dispositivos e ambientes de aplicativos desde o primeiro dia, e não descobrir isso durante surtos de chamados de suporte pós-obrigatoriedade.

8. O que a abordagem do Japão ensina a outros países#

O Japão está se tornando um estudo de caso útil porque combina supervisão, educação pública e implantação no ecossistema em sequência. Com frequência, outros mercados revisam a orientação sem explicar o novo modelo de segurança aos usuários, o que desacelera a adoção e faz a autenticação mais forte parecer um atrito de produto isolado, em vez de uma atualização de todo o sistema.

8.1 Campanhas públicas podem acelerar a migração técnica#

Muitos reguladores revisam a orientação, mas não chegam à educação pública. O Japão está mostrando um padrão diferente:

1. a pressão da fraude aumenta,
2. a direção da supervisão se endurece,
3. o regulador começa a nomear métodos resistentes a phishing publicamente,
4. os atores do ecossistema ganham cobertura para implementá-los mais rapidamente.

Essa sequência pode reduzir o atrito da implantação de uma forma que o simples texto de uma política frequentemente não consegue.

8.2 O alvo deve ser a resistência a phishing, e não apenas a substituição de OTP#

Alguns países se concentram de forma muito restrita em "substituir o OTP por SMS". Isso ajuda, mas está incompleto.

A campanha do Japão tem uma estrutura melhor porque faz a pergunta mais fundamental:

Esse é o teste correto.

8.3 A autenticação do consumidor pode acabar sendo híbrida#

A ênfase simultânea do Japão em chaves de acesso e PKI sugere uma verdade mais ampla que muitos mercados redescobrirão:

• chaves de acesso são excelentes para adoção em massa pelo consumidor,
• a PKI continua sendo importante para identidades de alta garantia,
• os ecossistemas mais fortes combinarão ambas em vez de forçar uma tecnologia a fazer tudo.

Isso é especialmente relevante em setores regulamentados com programas de identidade digital nacional.

9. O roteiro prático para equipes que respondem a esse sinal#

A resposta correta ao sinal de 16 de abril é uma migração em estágios, não um programa de substituição apressado. As equipes devem primeiro mapear jornadas vulneráveis a phishing e, em seguida, decidir onde as chaves de acesso se encaixam imediatamente, onde a PKI ou vinculação de identidade mais forte ainda é necessária e como a recuperação pode ser redesenhada sem recriar exceções fracas favoráveis a phishing.

9.1 Passo 1: mapear todas as superfícies de autenticação suscetíveis a phishing#

Comece com:

• login,
• recuperação,
• alterações de conta,
• confirmação de transação,
• alterações de conta vinculada,
• pontos de entrada através de links de e-mail,
• processos de substituição no call center.

9.2 Passo 2: identificar onde as chaves de acesso se encaixam imediatamente#

As chaves de acesso são frequentemente a vitória mais clara para:

• login de varejo,
• reautenticação frequente,
• jornadas da web/aplicativo originais (first-party),
• sessões de navegador do consumidor.

9.3 Passo 3: decidir onde a PKI ou a vinculação de identidade mais forte ainda são necessárias#

Alguns fluxos podem precisar de:

• prova de identidade apoiada por certificado,
• vinculação ao documento nacional de identidade,
• garantia mais forte sobre mudanças sensíveis,
• controles de hardware ou organizacionais além das chaves de acesso de consumo.

9.4 Passo 4: redesenhar a recuperação antes de forçar a adoção#

Não inicie uma autenticação forte sem projetar uma recuperação forte. Caso contrário, a organização apenas recriará soluções paliativas (workarounds) suscetíveis a phishing por meio de suporte e exceções.

9.5 Passo 5: ensinar aos usuários como o acesso oficial funciona#

A mensagem da FSA "use favoritos / use aplicativos oficiais" deve fazer parte da integração (onboarding) e suporte:

• mostre a rota segura,
• explique por que os links de login são arriscados,
• facilite a lembrança do caminho de acesso oficial,
• reduza a dependência de atalhos de conveniência inseguros.

10. Conclusão#

O dia 16 de abril de 2026 não foi o dia em que o Japão tornou legalmente obrigatórias as chaves de acesso. Foi o dia em que a FSA transformou a autenticação resistente a phishing em uma expectativa pública, rebaixou publicamente a segurança baseada em OTP e deu a bancos, corretoras e fintechs um sinal muito mais claro de que o destino a longo prazo são as chaves de acesso, PKI e outros modelos de login não vulneráveis a phishing.

A página da FSA do Japão de 16 de abril de 2026 não deve ser mal interpretada como "o Japão tornou as chaves de acesso obrigatórias por lei hoje". Não foi isso que aconteceu.

Mas seria igualmente errado descartá-la como uma simples página de conscientização leve.

O que aconteceu é estrategicamente mais importante:

• o regulador disse publicamente aos consumidores que os fluxos baseados apenas em senhas e OTPs não são mais suficientes,
• ele nomeou as chaves de acesso e a PKI como exemplos de autenticação mais forte,
• ele alinhou essa mensagem entre as associações financeiras e a polícia,
• e mudou o diálogo do mercado do MFA genérico em direção à autenticação resistente a phishing.

Esse é exatamente o tipo de sinal que altera as prioridades do roteiro nos serviços financeiros.

Para o Japão, isso fortalece os argumentos em prol de uma implantação mais ampla de chaves de acesso em bancos, corretoras e fintechs. Para o resto do mundo, é um exemplo claro de como um regulador pode fazer mais do que estabelecer regras: ele pode remodelar a própria narrativa de autenticação.

Se há uma lição a ser tirada, é esta:

O estado futuro não é "mais MFA". O estado futuro é a autenticação resistente a phishing. A FSA do Japão agora está dizendo isso em voz alta.

Sobre a Corbado#

A FSA do Japão rebaixou publicamente a prática de senha-mais-OTP, mas os reguladores nomearem as chaves de acesso é apenas metade do trabalho. Os bancos e corretoras ainda precisam aposentar fallbacks (alternativas) passíveis de phishing em frotas de dispositivos fragmentadas, sem impedir o acesso dos usuários.

A Corbado é a plataforma de análise de chaves de acesso para equipes corporativas de CIAM. Ela adiciona análises de chaves de acesso e controles de implementação acima do seu IdP existente, para que as instituições que atendem à exigência de MFA resistente a phishing da FSA possam eliminar gradualmente o OTP via SMS e e-mail com visibilidade em nível de auditoria e botões de interrupção em nível de dispositivo (kill switches), sem mandatos cegos.

Veja como as instituições financeiras japonesas podem implementar o MFA resistente a phishing sem bloqueios irremediáveis. → Fale com um especialista em passkey

Sobre a Corbado

Corbado é a Passkey Intelligence Platform para times de CIAM que rodam autenticação consumer em escala. Mostramos o que logs de IDP e ferramentas genéricas de analytics não enxergam: quais dispositivos, versões de SO, navegadores e gerenciadores de credenciais suportam passkeys, por que os registros não viram logins, onde o fluxo WebAuthn falha e quando uma atualização de SO ou navegador quebra silenciosamente o login — tudo sem substituir Okta, Auth0, Ping, Cognito ou seu IDP interno. Dois produtos: Corbado Observe adiciona observabilidade para passkeys e qualquer outro método de login. Corbado Connect entrega passkeys gerenciados com analytics integrado (junto ao seu IDP). VicRoads roda passkeys para mais de 5M de usuários com Corbado (+80% de ativação de passkey). Fale com um especialista em Passkeys →

FAQ#

A FSA do Japão tornou as passkeys obrigatórias em 16 de abril de 2026?#

Não. A página de 16 de abril de 2026 é uma campanha de conscientização pública, e não um texto regulatório autônomo. O que a torna importante é que a Agência de Serviços Financeiros promoveu pública e explicitamente a autenticação multifator resistente a phishing, destacou as chaves de acesso e a PKI como exemplos e alinhou essa mensagem com bancos, corretoras de valores e a Agência Nacional de Polícia.

Por que a FSA afirma que os OTPs por e-mail e SMS não são mais suficientes?#

Os materiais da campanha explicam que os OTPs enviados por e-mail ou SMS ainda podem ser contornados por meio de phishing em tempo real, ataques man-in-the-middle e malware. Em outras palavras, adicionar um código não é suficiente se o invasor conseguir enganar o usuário para que o insira em um site falso ou roubá-lo do endpoint.

As chaves de acesso são a única opção resistente a phishing aceita no setor financeiro do Japão?#

Não. Os materiais da campanha da FSA apresentam as chaves de acesso e a autenticação baseada em PKI como os dois principais exemplos de MFA resistente a phishing. Isso significa que as chaves de acesso são fortemente favorecidas, mas a direção regulatória mais ampla visa resultados de autenticação resistentes a phishing, e não uma única tecnologia obrigatória para o consumidor.

Por que 16 de abril de 2026 é importante se a orientação de supervisão do Japão mudou antes?#

Porque marca uma mudança da sinalização do regulador para o setor em direção à sinalização do regulador para o público. Uma vez que a FSA começa a dizer diretamente aos consumidores que as chaves de acesso e a PKI os protegem melhor do que senhas mais OTP, os bancos e corretoras japoneses ganham uma cobertura mais forte para reprojetar a autenticação do cliente em torno de métodos resistentes a phishing.