---
url: 'https://www.corbado.com/pt/blog/japan-fsa-passkeys-phishing-resistant-mfa'
title: 'Chaves de acesso e a FSA do Japão: o impulso para o MFA resistente a phishing (2026)'
description: 'Descubra o que a campanha da FSA do Japão de 16 de abril de 2026 realmente significa para chaves de acesso, MFA resistente a phishing, substituição de OTP por SMS e estratégia de autenticação de serviços financeiros.'
lang: 'pt'
author: 'Vincent Delitz'
date: '2026-05-20T09:40:09.061Z'
lastModified: '2026-05-20T09:58:24.297Z'
keywords: 'chaves de acesso FSA Japão, MFA resistente a phishing Japão, autenticação resistente a phishing FSA Japão, passkeys regulador financeiro Japão, substituição SMS OTP Japão, passkeys bancos Japão 2026, passkeys agência de serviços financeiros Japão, 金融庁 パスキ'
category: 'Passkeys Strategy'
---

# Chaves de acesso e a FSA do Japão: o impulso para o MFA resistente a phishing (2026)

## Key Facts

- Em **16 de abril de 2026**, a **Agência de Serviços Financeiros (FSA)** do Japão lançou uma **campanha de conscientização pública** com bancos, associações de valores mobiliários e a **Agência Nacional de Polícia** sobre o **MFA resistente a phishing**, nomeando explicitamente as **chaves de acesso** (passkeys) e a **PKI** como opções mais fortes do que os fluxos legados baseados em senhas.
- A campanha disponibiliza **5 folhetos oficiais em PDF** cobrindo MFA resistente a phishing e conscientização sobre e-mails de phishing, além de **4 vídeos promocionais** produzidos nos formatos de drama e mangá, mostrando que a mensagem se destina a ampla reutilização pública em todo o ecossistema financeiro, não apenas para um público restrito de reguladores.
- Os materiais da campanha afirmam que **OTPs por e-mail e SMS não são suficientemente eficazes** contra **phishing em tempo real**, **ataques man-in-the-middle** e **malware**, o que é uma declaração pública muito mais forte do que o conselho genérico de “usar MFA”.
- A página **não é uma nova lei ou prazo independente**, mas ainda é um sinal importante: mostra que o regulador do Japão agora apresenta publicamente o estado ideal como **autenticação resistente a phishing**, e não apenas "mais MFA".
- No final de 2025, os relatórios do setor descreveram que o **FIDO Japan Working Group** do Japão contava com **64 organizações**, com **mais de 50 provedores de chaves de acesso** ativos ou planejados, demonstrando que a FSA estava ampliando um mercado já em aceleração, em vez de introduzir um conceito puramente teórico.
- O Japão provavelmente está convergindo para um **modelo de duas vias** para autenticação financeira de alto risco: **chaves de acesso amigáveis ao consumidor** de um lado e **PKI / autenticação baseada em certificados** do outro, incluindo o uso potencial de credenciais do cartão **My Number**.

## 1. Introdução: Por que a página da FSA de 16 de abril de 2026 é importante

A página da FSA do Japão de 16 de abril de 2026 é importante porque muda publicamente o foco de um MFA genérico para uma autenticação resistente a [phishing](https://www.corbado.com/glossary/phishing). A página menciona as chaves de acesso e a PKI como exemplos preferenciais, rejeita o OTP por e-mail e SMS como proteção suficiente contra o [phishing](https://www.corbado.com/glossary/phishing) moderno e transforma uma discussão de conformidade restrita ao setor em um sinal de mercado voltado para o consumidor.

O [anúncio da FSA](https://www.fsa.go.jp/news/r7/sonota/20260416-2/20260416-2.html) do Japão de 16 de abril de 2026 parece modesto à primeira vista. Não é uma nova lei. Não é uma ação direta de execução. Não publica um novo prazo de conformidade. Em vez disso, introduz uma campanha pública com folhetos e pôsteres para download.

O que a **Agência de Serviços Financeiros (FSA)** fez aqui foi **mover a conversa de um canal da indústria/regulatório para o domínio público**. O regulador não está mais apenas dizendo a bancos, corretoras e associações comerciais para fortalecerem a autenticação. Agora está dizendo aos usuários comuns que:

- a autenticação apenas com senha é fraca,
- o OTP por e-mail e SMS não são mais suficientes,
- os usuários devem preferir um **MFA resistente a phishing**, e
- as **chaves de acesso** e a **autenticação PKI** são o caminho certo.

Essa é uma grande mudança de tom. E em setores altamente regulamentados como o setor [bancário](https://www.corbado.com/passkeys-for-banking), o tom frequentemente se torna pressão de implementação muito antes que o próximo texto de regra formal apareça.

Essa campanha pública também não surgiu do nada. Em seu próprio [documento de informações em inglês de junho de 2025 (PDF)](https://www.fsa.go.jp/en/press_releases/issues/202506/02.pdf), a FSA já havia alertado que **a autenticação apenas com ID/senha** é vulnerável e que **as senhas de uso único enviadas por e-mail ou SMS não são suficientemente eficazes contra phishing**. Enquanto isso, a cobertura do setor no final de 2025 descrevia o mercado do Japão com **64 organizações no FIDO Japan Working Group** e **mais de 50 provedores de chaves de acesso** operando ou planejados, indicando que o momento de implantação já era real antes da campanha pública de abril de 2026 ([cobertura do CNET Japan](https://japan.cnet.com/article/35241293/)). Para uma visão mais ampla de como os bancos, plataformas e reguladores japoneses têm se movido em relação à autenticação passwordless, consulte nossa [visão geral de passkeys no Japão](https://www.corbado.com/blog/passkeys-japan-overview).

## 2. O que a FSA realmente publicou em 16 de abril de 2026

A página de 16 de abril é um pacote coordenado de campanha pública, não uma simples nota de imprensa. Ela reúne 9 materiais reutilizáveis (5 folhetos em PDF e 4 vídeos promocionais), alinha bancos, grupos de valores mobiliários e a polícia em torno da mesma mensagem e informa aos consumidores que o MFA resistente a phishing deve substituir a dependência de senhas mais OTP para jornadas financeiras de alto risco.

A página oficial vincula **5 folhetos em PDF**, organizados como uma visão geral, além de versões detalhadas de dois temas (MFA resistente a phishing e conscientização sobre e-mails de phishing):

- [Visão geral (概要版)](https://www.fsa.go.jp/news/r7/sonota/20260416-2/01.pdf)
- [MFA resistente a phishing, visão geral](https://www.fsa.go.jp/news/r7/sonota/20260416-2/02.pdf)
- [MFA resistente a phishing, detalhado](https://www.fsa.go.jp/news/r7/sonota/20260416-2/03.pdf)
- [Conscientização sobre e-mails de phishing, visão geral](https://www.fsa.go.jp/news/r7/sonota/20260416-2/04.pdf)
- [Conscientização sobre e-mails de phishing, detalhado](https://www.fsa.go.jp/news/r7/sonota/20260416-2/05.pdf)

Junto com os PDFs, a página promove **4 vídeos promocionais** sobre os mesmos dois temas, produzidos nos formatos de drama e mangá para que a campanha possa alcançar diferentes faixas etárias e contextos de leitura, e não apenas leitores de políticas.

A campanha é posicionada como um esforço conjunto da FSA com:

- associações [bancárias](https://www.corbado.com/passkeys-for-banking) de âmbito nacional,
- bancos shinkin,
- cooperativas de crédito,
- bancos trabalhistas (labor banks),
- grupos do setor de valores mobiliários, e
- a **Agência Nacional de Polícia**.

Essa amplitude é importante. Este não é um aviso de nicho exclusivo de valores mobiliários. É uma mensagem coordenada em todo o ecossistema financeiro de [varejo](https://www.corbado.com/passkeys-for-e-commerce) do Japão.

### 2.1 A mensagem política central

O principal termo utilizado na campanha é **`フィッシングに耐性のある多要素認証`**, que significa **autenticação multifator resistente a phishing**.

Os folhetos explicam que a [autenticação legada](https://www.corbado.com/blog/fbi-operation-winter-shield-passkeys) ficou para trás no modelo de ameaças atual:

- **senhas** podem ser roubadas por phishing ou reutilizadas,
- **OTP por e-mail / SMS** pode ser roubado em tempo real,
- **malware** pode [observar](https://www.corbado.com/blog/how-to-use-passkeys-apple-watch) ou manipular a sessão do usuário, e
- sites falsos podem imitar a marca real tão bem que a inspeção visual não é uma defesa confiável.

Em seguida, a campanha apresenta **dois exemplos principais** de autenticação mais forte:

1. **Chaves de acesso**
2. **Autenticação baseada em PKI**

Essa segunda parte é importante. O Japão não está enquadrando isso puramente como “todos devem usar [chaves de acesso](https://www.corbado.com/blog/passkeys-vs-passwords)”. O regulador está estruturando o resultado desejado como **autenticação resistente a phishing**, e as chaves de acesso são uma das maneiras de nível de consumidor mais claras de chegar lá.

Para tornar essa distinção concreta, a estrutura da FSA separa implicitamente os métodos de autenticação da seguinte forma:

| Método | Resistente a phishing? | O usuário deve transmitir um segredo manualmente? | Adequação estratégica no Japão |
| -------------------------- | ------------------- | ------------------------------------- | -------------------------------------------------------------- |
| Apenas senha | Não | Sim | Não é mais defensável para fluxos de alto risco |
| OTP por e-mail / SMS | Não | Sim | Apenas transicional, fraco contra ataques de retransmissão |
| Token de software de aplicativo proprietário | Parcial | Frequentemente sim ou baseado em aprovação | Melhor que OTP, mas ainda não equivalente a chaves de acesso |
| Chaves de acesso (Passkeys) | Sim | Não | Melhor caminho para o mercado consumidor de massa |
| Autenticação PKI / certificado | Sim | Não | Opção forte para casos de uso de maior garantia ou vinculados à identidade |

### 2.2 A campanha também é comportamental

Os materiais não se concentram apenas na tecnologia de autenticação. Eles também instruem os usuários a:

- evitar o login a partir de links dentro de e-mails ou SMS,
- usar **favoritos** ou **aplicativos** oficiais,
- desconfiar de telas não familiares e solicitações incomuns,
- preferir lojas de aplicativos oficiais, e
- ser cautelosos com instruções estranhas no navegador, como atalhos de teclado inesperados.

Em outras palavras, a FSA não está fingindo que apenas a tecnologia de autenticação resolve todo o problema. Ela está combinando **contramedidas técnicas** com **higiene comportamental**.

## 3. O que é novidade aqui, e o que não é

A página de 16 de abril é novidade porque muda o enquadramento público, não porque cria uma nova lei autônoma. O desenvolvimento real é que o regulador do Japão agora explica publicamente por que as chaves de acesso e a PKI são melhores que os fluxos de senha mais OTP, dando às instituições financeiras uma cobertura mais forte para reprojetar a autenticação em torno da resistência ao phishing.

### 3.1 O que é realmente novo

A página de 16 de abril é novidade de pelo menos quatro maneiras:

#### 3.1.1 As chaves de acesso agora fazem parte do vocabulário público do regulador

Muitos reguladores falam sobre MFA em termos abstratos. A FSA do Japão está fazendo algo mais concreto: está dizendo ao público que as **chaves de acesso** são uma defesa mais forte contra [phishing](https://www.corbado.com/glossary/phishing) e falsidade ideológica do que os padrões de login mais antigos.

Isso é importante porque a nomeação pública muda as decisões de produto. Assim que o regulador nomear publicamente as chaves de acesso, as instituições financeiras podem justificar o investimento mais facilmente internamente:

- as equipes de compliance podem citar o regulador,
- as equipes de risco podem conectar as chaves de acesso diretamente à redução de perdas por phishing,
- as equipes de produto podem posicionar as chaves de acesso como alinhadas com a orientação oficial, em vez de um projeto de inovação opcional.

#### 3.1.2 A FSA está rebaixando publicamente o OTP

Esta não é uma implicação sutil. Os materiais afirmam que o OTP entregue por e-mail ou SMS ainda pode ser burlado por:

- phishing em tempo real,
- interceptação man-in-the-middle, e
- roubo assistido por [malware](https://www.corbado.com/glossary/malware).

Isso é mais forte do que uma nota de melhores práticas genérica dizendo que o OTP é “menos seguro”. É o regulador dizendo ao público que o MFA baseado em OTP **não** oferece resistência significativa a phishing.

#### 3.1.3 A mensagem é multissetorial

O Japão não está limitando isso a uma vertical. Bancos, corretoras e outros atores financeiros fazem parte do mesmo sinal público. Isso aumenta as chances de uma normalização mais ampla do ecossistema:

- bancos podem treinar os usuários para esperar um login mais forte,
- corretoras podem tornar a autenticação mais forte um padrão para ações de alto risco,
- usuários encontrarão uma linguagem semelhante em diferentes instituições, em vez de explicações contraditórias.

#### 3.1.4 A FSA está educando o consumidor diretamente

Este é o ponto mais importante.

Existe uma enorme diferença entre:

- um regulador dizendo às instituições financeiras o que elas devem implementar, e
- um regulador dizendo aos clientes como é a autenticação segura hoje.

O segundo movimento reduz o risco político e de UX da implementação. Um banco ou corretora agora pode dizer: "Esta não é apenas a nossa ideia; esta é a direção que o próprio regulador está promovendo".

### 3.2 O que não é novo

A página **não** cria por si só:

- um novo mandato autônomo,
- um novo prazo de implementação,
- uma especificação técnica detalhada para chaves de acesso,
- uma declaração de que as chaves de acesso são a única tecnologia aceitável, ou
- uma lista de sanções vinculadas diretamente a esta campanha.

Essa distinção é importante porque muitos leitores vão exagerar o anúncio como “o Japão acabou de tornar as chaves de acesso obrigatórias”. Isso não é preciso o suficiente.

A melhor interpretação é:

> O regulador do Japão agora se alinhou publicamente com um modelo de autenticação resistente a phishing, e as chaves de acesso são um dos exemplos voltados ao consumidor endossados pelo regulador.

Isso é estrategicamente importante, mesmo que não seja uma nova regra por si só.

## 4. Por que a FSA está certa ao focar em MFA resistente a phishing em vez de MFA genérico

A FSA está certa porque o MFA genérico ainda deixa a principal via de fraude intacta. Senha mais OTP adiciona mais um segredo reutilizável, enquanto o MFA resistente a phishing altera o protocolo para que o site falso não consiga concluir a autenticação mesmo quando o usuário for enganado.

### 4.1 O OTP resolve o problema de ontem

O OTP por SMS e e-mail foi projetado para dificultar a repetição de credenciais (credential replay). Eles funcionam contra alguns padrões de ataque mais antigos, mas os invasores modernos não precisam repetir um código horas depois. Eles o roubam em tempo real. Isso é ainda mais importante em um mercado onde a [reutilização de senhas no Japão](https://www.corbado.com/blog/password-reuse-japan) ainda é extremamente alta, o que significa que o primeiro fator é frequentemente comprometido antes mesmo da etapa do OTP começar.

Esse é o problema central do **phishing em tempo real**:

1. Uma vítima chega a um site falso.
2. A vítima insere o nome de usuário e a senha.
3. O invasor encaminha essas credenciais para o site real.
4. O site real solicita um OTP.
5. O site falso pede o OTP à vítima.
6. O invasor o usa imediatamente para concluir o login real.

Nesse fluxo de trabalho, o OTP não impede o invasor. Ele simplesmente se torna outro segredo que a vítima pode ser enganada a revelar.

### 4.2 As chaves de acesso mudam o modelo de confiança

As [chaves de acesso](https://www.corbado.com/blog/passkeys-phishing-resistant) funcionam de maneira diferente porque estão **vinculadas à origem** (origin-bound). A credencial só pode ser usada no site legítimo associado à [parte confiadora](https://www.corbado.com/glossary/relying-party) da chave de acesso. A base técnica para esse comportamento reside na [especificação WebAuthn da W3C](https://www.w3.org/TR/webauthn-3/) e na [documentação de passkey da FIDO Alliance](https://fidoalliance.org/passkeys/), que descrevem o modelo de desafio-resposta vinculado ao site que impede que um domínio falso reutilize uma credencial criada para o domínio real.

Isso significa que um domínio falso não pode simplesmente pedir ao usuário que “digite a chave de acesso” da forma como ele pede uma senha ou um OTP. Não há nada reutilizável para digitar, e o navegador / sistema operacional verifica o contexto do site antes que a autenticação possa prosseguir.

É por isso que as chaves de acesso são essenciais para a autenticação resistente a phishing:

- **não há nenhum segredo compartilhado** para redigitar,
- o usuário não é solicitado a transmitir manualmente um código reutilizável,
- a chave privada nunca sai do dispositivo do usuário, e
- o [autenticador](https://www.corbado.com/glossary/authenticator) está vinculado à origem legítima.

Também é por isso que a campanha de 16 de abril é importante. A FSA não está dizendo apenas "use um MFA melhor". Ela está apontando para métodos de autenticação em que o site de phishing falha na camada do protocolo em vez de pedir ao usuário para detectar a fraude manualmente.

### 4.3 A PKI também é importante

A campanha do Japão também destaca a **PKI** e menciona explicitamente que as credenciais do cartão **My Number** podem ser usadas em contextos de autenticação.

Isso não é acidental. O Japão tem um histórico institucional mais profundo com modelos de identidade orientados a certificados do que muitos mercados consumidores ocidentais. Portanto, o estado final provável no Japão não é “apenas passkeys”. Está mais próximo de:

- **chaves de acesso** para logins de consumidores convencionais e fluxos de step-up,
- **autenticação baseada em PKI / certificado** para uma garantia mais forte ou casos de identidade semelhantes ao [setor público](https://www.corbado.com/passkeys-for-public-sector),
- e uma preferência regulatória mais ampla por **resultados resistentes a phishing**.

Para as equipes de produto, isso significa que a comparação estratégica correta não é “chaves de acesso versus senhas”. É mais como:

- chaves de acesso vs. OTP por e-mail/SMS para login do consumidor,
- chaves de acesso vs. tokens de software em aplicativos para UX [bancário](https://www.corbado.com/passkeys-for-banking),
- chaves de acesso vs. PKI para camadas de garantia e [verificação de identidade](https://www.corbado.com/blog/digital-identity-guide).

## 5. Por que o dia 16 de abril é ainda mais importante no contexto da orientação regulatória anterior do Japão

O dia 16 de abril é importante porque converte uma tendência de supervisão em uma norma pública. Depois que a FSA passou 2025 alertando que a autenticação apenas com senha e baseada em OTP era muito fraca, a campanha de abril de 2026 diz diretamente aos consumidores como deve ser a substituição: MFA resistente a phishing usando chaves de acesso, PKI ou ambos.

Até 2025 e início de 2026, o setor financeiro do Japão já estava caminhando para controles mais rigorosos após incidentes de comprometimento de contas relacionados a phishing em corretoras de valores mobiliários e outros [serviços financeiros](https://www.corbado.com/passkeys-for-banking) online. O pano de fundo é uma série de [violações de dados de alto perfil no Japão](https://www.corbado.com/blog/data-breaches-japan) que mantiveram o sequestro de contas e o roubo de credenciais na agenda regulatória. Em materiais relacionados da FSA e em comentários posteriores sobre alterações de diretrizes, o regulador fez uma distinção mais nítida entre:

- **“algum MFA”**, e
- **MFA resistente a phishing**.

Essa diferença é fundamental.

O MFA genérico ainda pode deixar os usuários vulneráveis a:

- roubo de OTP,
- encaminhamento para sites falsos,
- fadiga de push / abuso de aprovação,
- endpoints comprometidos,
- fluxos de recuperação fracos.

Em contraste, o MFA resistente a phishing tenta bloquear explicitamente o caminho principal da fraude, em vez de apenas adicionar mais um obstáculo. A campanha de 16 de abril, portanto, é melhor vista como uma **operacionalização pública** de uma direção mais ampla que já está se formando no Japão:

- os [serviços financeiros](https://www.corbado.com/passkeys-for-banking) não devem apenas adicionar mais atrito,
- eles devem passar para métodos de autenticação que quebrem a economia do phishing.

Resumidamente, a progressão ocorre em quatro marcos em menos de um ano:

Com as fontes, a mesma progressão pode ser lida da seguinte forma:

- **Junho de 2025:** o [resumo da edição em inglês da FSA](https://www.fsa.go.jp/en/press_releases/issues/202506/02.pdf) afirma que a autenticação apenas com senha é fraca e que o OTP por e-mail / SMS não é suficientemente eficaz contra phishing.
- **15 de julho de 2025:** o [projeto de diretriz da JSDA](https://www.jsda.or.jp/about/public/bosyu/files/20250715_guideline_public.pdf) impulsiona o MFA resistente a phishing para ações sensíveis de valores mobiliários, como login, saques e alterações de conta bancária.
- **Final de 2025:** relatórios de mercado descrevem **mais de 50 provedores de chaves de acesso** e **64 organizações no FIDO Japan Working Group** no Japão ([CNET Japan](https://japan.cnet.com/article/35241293/)).
- **16 de abril de 2026:** a [campanha pública da FSA](https://www.fsa.go.jp/news/r7/sonota/20260416-2/20260416-2.html) leva a mesma mensagem resistente a phishing diretamente aos consumidores.

Nesse sentido, a página é menos “marketing de conscientização” do que parece. Ela é a face pública de uma mudança regulatória e de ecossistema mais profunda.

## 6. O que isso significa para os bancos, corretoras e fintechs japonesas

As instituições financeiras japonesas devem tratar a campanha de 16 de abril como uma elevação da expectativa mínima para login, recuperação e ações de contas de alto risco. Assim que o regulador afirma publicamente que o OTP por e-mail e SMS não são eficazes o suficiente, o MFA baseado em métodos de fallback (alternativos) fracos se torna mais difícil de defender sob a perspectiva de fraude, produto e supervisão.

### 6.1 “MFA disponível” não é mais suficiente

Oferecer o OTP por SMS como fallback enquanto se promove a experiência como “MFA seguro” está se tornando mais difícil de defender. A mensagem pública do regulador agora faz uma distinção mais exigente: o **MFA resistente a phishing** deve ser o destino. O trabalho mais amplo da indústria sobre [MFA obrigatório com chaves de acesso](https://www.corbado.com/blog/mandating-mfa) aponta para o mesmo caminho.

Isso significa que as organizações devem avaliar:

- onde o OTP por SMS/e-mail ainda existe,
- quais jornadas são de alto risco,
- se as chaves de acesso são opcionais ou verdadeiramente incentivadas,
- quanta dependência ainda resta de métodos de fallback suscetíveis a phishing.

### 6.2 Jornadas de alto risco precisam de tratamento especial

As jornadas mais sensíveis não se limitam ao login. Na prática, as instituições devem [revisar cada superfície vulnerável a phishing](https://www.corbado.com/blog/passkeys-enterprise-guide-initial-assessment):

- login,
- pagamento / saque,
- alteração de conta de destino,
- recuperação e revinculação de dispositivos,
- alterações de perfil e detalhes de contato,
- API ou acesso por agregação.

Muitas instituições ainda protegem a página de login mais fortemente do que o caminho de [recuperação da conta](https://www.corbado.com/blog/passkey-fallback-recovery). Isso está invertido. Os invasores usarão a rota mais fraca disponível.

### 6.3 A recuperação se torna um problema estratégico de produto

Assim que a autenticação resistente a phishing se torna a referência, a recuperação passa a ser a parte mais difícil do design.

Uma implementação de chaves de acesso ainda pode falhar operacionalmente se a recuperação recorrer a fluxos de e-mail fracos, engenharia social ou procedimentos de suporte que reintroduzam etapas vulneráveis a phishing. A campanha da FSA do Japão não resolve esse desafio de design, mas o torna impossível de ignorar.

### 6.4 A UX de "acesso oficial" deve fazer parte do design do produto

Um detalhe pouco valorizado nos folhetos é o incentivo ao uso de **favoritos** e **aplicativos oficiais**. Isso sugere uma lição de produto mais ampla:

- branding por si só não é o suficiente,
- pontos de entrada de login são importantes,
- o roteamento seguro é importante,
- a UX anti-phishing faz parte do conjunto de autenticação.

Para as instituições financeiras, isso significa:

- [destacar caminhos de login baseados em aplicativos](https://www.corbado.com/blog/passkey-login-best-practices),
- reduzir a dependência de links por e-mail,
- explicar claramente onde começa o login oficial,
- tratar a higiene dos links de entrada como parte da prevenção de fraudes.

### 6.5 Tokens de software não são a mesma coisa que chaves de acesso

Algumas instituições responderão fortalecendo a aprovação baseada em aplicativos e considerarão o problema resolvido. Isso pode melhorar a segurança, mas não é o equivalente às [chaves de acesso](https://www.corbado.com/blog/passkeys-vs-2fa-security).

Por que?

- Muitos fluxos proprietários de soft-token ainda dependem do usuário para distinguir um site real de um falso.
- Alguns fluxos ainda podem ser abusados por meio de retransmissão em tempo real ou manipulação de aprovação.
- A alternância entre aplicativos e o manuseio de códigos adicionam atrito e confusão.

As chaves de acesso são importantes porque reduzem tanto a **exposição a phishing** quanto o **esforço do usuário**.

### 6.6 A régua para os concorrentes acabou de subir

Uma vez que a FSA começa a educar os consumidores diretamente, os retardatários tornam-se mais visíveis. Uma empresa que ainda dependa de senha + OTP pode logo parecer desatualizada em relação a seus concorrentes que oferecem:

- chaves de acesso,
- autenticação vinculada a dispositivos mais forte,
- ou experiências de login claras e resistentes a phishing.

Isso altera o [cenário competitivo](https://www.corbado.com/blog/passkey-adoption-business-case), e não apenas o cenário de conformidade.

**A maior parte disso não é um território novo.** O [Guia de Passkeys para Empresas](https://www.corbado.com/blog/introducing-passkeys-large-scale-overview) percorre passo a passo a avaliação, alinhamento de [stakeholders](https://www.corbado.com/blog/passkeys-stakeholder), integração e testes para implantações de consumidores em [larga escala](https://www.corbado.com/blog/introducing-passkeys-large-scale-overview), e [10 erros de implantação de passkeys que os bancos cometem](https://www.corbado.com/blog/passkey-deployment-mistakes-banks) compila os modos de falha recorrentes que os bancos, ao correrem com implementações, continuam a repetir. O que a campanha da FSA acrescenta é urgência e apoio público, não uma nova cartilha.

## 7. O que isso significa para as chaves de acesso (passkeys) especificamente

A campanha do Japão de 16 de abril ajuda as chaves de acesso de três maneiras concretas: ela enquadra as chaves de acesso como controles de fraude em vez de recursos de conveniência, ela amplia o caso de implantação para as [partes interessadas (stakeholders)](https://www.corbado.com/blog/passkeys-stakeholder) internas e ensina aos consumidores que as chaves de acesso fazem parte do modelo de login financeiro seguro que o regulador agora prefere.

### 7.1 Reenquadra as chaves de acesso como controle de fraudes, e não como conveniência

Muitas implementações de passkeys para consumidores são promovidas como:

- login mais fácil,
- não há senhas para lembrar,
- login mais rápido.

O enquadramento da FSA é muito mais contundente:

- as chaves de acesso são uma defesa contra a **falsidade ideológica (impersonation)**,
- as chaves de acesso ajudam a bloquear o **phishing**,
- as chaves de acesso reduzem a dependência de **segredos reutilizáveis**.

Esse é exatamente o enquadramento que bancos e corretoras precisam internamente. Os orçamentos de segurança são aprovados mais facilmente para redução de fraudes do que apenas para a conveniência.

### 7.2 Amplia o público-alvo de passkeys dentro das instituições financeiras

Normalmente, um projeto de autenticação precisa conquistar o apoio de:

- produto,
- fraude,
- segurança,
- compliance,
- jurídico,
- operações,
- e suporte.

A página da FSA dá a cada um desses grupos um motivo para se importar:

- a equipe de **fraude** vê a redução de phishing,
- a equipe de **segurança** vê a criptografia vinculada à origem,
- a equipe de **compliance** vê o alinhamento com o regulador,
- a equipe de **operações** vê menos atrito com OTP,
- a equipe de **produto** vê uma história do consumidor mais forte.

### 7.3 Ajuda a normalizar as chaves de acesso para os usuários comuns

Esse pode ser o efeito mais duradouro.

Quando um regulador nacional, associações financeiras e a polícia apresentam as chaves de acesso como uma defesa recomendada, a percepção do usuário muda. A equipe de produto não precisa mais introduzir as chaves de acesso como um recurso novo e estranho. Ela pode apresentá-las como o método de segurança no qual o ecossistema está convergindo.

Isso é importante porque o sucesso da implantação costuma depender menos da criptografia do que da confiança dos usuários no novo fluxo para adotá-lo.

### 7.4 Amplia o público de passkeys além dos segmentos focados em tecnologia

A campanha da FSA não atinge apenas aplicativos bancários usados por consumidores focados em tecnologia (tech-forward). Ela abrange **contas de valores mobiliários**, bancos de trabalhadores, bancos shinkin e cooperativas de crédito — as partes do sistema financeiro japonês nas quais clientes mais velhos e com menos familiaridade com tecnologia dependem diariamente. Isso é estrategicamente importante para as chaves de acesso. Uma vez que esses clientes encontram as chaves de acesso por meio de suas corretoras, bancos trabalhistas ou cooperativas locais, a familiaridade com as chaves de acesso se espalha muito além do segmento de usuários iniciais (early adopters) e começa a ser normalizada em toda a base de clientes. Para a [adoção de passkeys](https://www.corbado.com/blog/passkey-adoption-business-case) pelos consumidores no Japão, esse é o tipo de impulso que nenhum orçamento de marketing consegue comprar.

No entanto, isso é uma faca de dois gumes. Uma base demográfica mais ampla também significa uma variedade muito maior de dispositivos, versões de sistemas operacionais, navegadores em aplicativos e comportamentos de gerenciadores de credenciais do que uma implantação limitada a clientes adeptos da tecnologia alcançaria. É exatamente aí que [erros em passkeys de aplicativos nativos](https://www.corbado.com/blog/native-app-passkey-errors) se tornam uma preocupação em nível de produção, não apenas um caso atípico. Bancos e corretoras que respondem à sinalização da FSA devem se planejar para a diversidade de dispositivos e ambientes de aplicativos desde o primeiro dia, e não descobrir isso durante surtos de chamados de suporte pós-obrigatoriedade.

## 8. O que a abordagem do Japão ensina a outros países

O Japão está se tornando um estudo de caso útil porque combina supervisão, educação pública e implantação no ecossistema em sequência. Com frequência, outros mercados revisam a orientação sem explicar o novo modelo de segurança aos usuários, o que desacelera a adoção e faz a autenticação mais forte parecer um atrito de produto isolado, em vez de uma atualização de todo o sistema.

### 8.1 Campanhas públicas podem acelerar a migração técnica

Muitos reguladores revisam a orientação, mas não chegam à educação pública. O Japão está mostrando um padrão diferente:

1. a pressão da fraude aumenta,
2. a direção da supervisão se endurece,
3. o regulador começa a nomear métodos resistentes a phishing publicamente,
4. os atores do ecossistema ganham cobertura para implementá-los mais rapidamente.

Essa sequência pode reduzir o atrito da implantação de uma forma que o simples texto de uma política frequentemente não consegue.

### 8.2 O alvo deve ser a resistência a phishing, e não apenas a substituição de OTP

Alguns países se concentram de forma muito restrita em "substituir o OTP por SMS". Isso ajuda, mas está incompleto.

A campanha do Japão tem uma estrutura melhor porque faz a pergunta mais fundamental:

> Esse método ainda pode ser burlado quando o usuário está olhando para um site falso ou com uma sessão comprometida?

Esse é o teste correto.

### 8.3 A autenticação do consumidor pode acabar sendo híbrida

A ênfase simultânea do Japão em chaves de acesso e PKI sugere uma verdade mais ampla que muitos mercados redescobrirão:

- chaves de acesso são excelentes para adoção em massa pelo consumidor,
- a PKI continua sendo importante para identidades de alta garantia,
- os ecossistemas mais fortes combinarão ambas em vez de forçar uma tecnologia a fazer tudo.

Isso é especialmente relevante em setores regulamentados com programas de [identidade digital](https://www.corbado.com/blog/digital-identity-guide) nacional.

## 9. O roteiro prático para equipes que respondem a esse sinal

A resposta correta ao sinal de 16 de abril é uma migração em estágios, não um programa de substituição apressado. As equipes devem primeiro mapear jornadas vulneráveis a phishing e, em seguida, decidir onde as chaves de acesso se encaixam imediatamente, onde a PKI ou vinculação de identidade mais forte ainda é necessária e como a recuperação pode ser redesenhada sem recriar exceções fracas favoráveis a phishing.

### 9.1 Passo 1: mapear todas as superfícies de autenticação suscetíveis a phishing

Comece com:

- login,
- recuperação,
- alterações de conta,
- confirmação de transação,
- alterações de conta vinculada,
- pontos de entrada através de links de e-mail,
- processos de substituição no call center.

### 9.2 Passo 2: identificar onde as chaves de acesso se encaixam imediatamente

As chaves de acesso são frequentemente a vitória mais clara para:

- login de [varejo](https://www.corbado.com/passkeys-for-e-commerce),
- reautenticação frequente,
- jornadas da web/aplicativo originais (first-party),
- sessões de navegador do consumidor.

### 9.3 Passo 3: decidir onde a PKI ou a vinculação de identidade mais forte ainda são necessárias

Alguns fluxos podem precisar de:

- prova de identidade apoiada por certificado,
- vinculação ao documento nacional de identidade,
- garantia mais forte sobre mudanças sensíveis,
- controles de hardware ou organizacionais além das chaves de acesso de consumo.

### 9.4 Passo 4: redesenhar a recuperação antes de forçar a adoção

Não inicie uma autenticação forte sem projetar uma recuperação forte. Caso contrário, a organização apenas recriará soluções paliativas (workarounds) suscetíveis a phishing por meio de suporte e exceções.

### 9.5 Passo 5: ensinar aos usuários como o acesso oficial funciona

A mensagem da FSA "use favoritos / use aplicativos oficiais" deve fazer parte da integração (onboarding) e suporte:

- mostre a rota segura,
- explique por que os links de login são arriscados,
- facilite a lembrança do caminho de acesso oficial,
- reduza a dependência de atalhos de conveniência inseguros.

## 10. Conclusão

O dia 16 de abril de 2026 não foi o dia em que o Japão tornou legalmente obrigatórias as chaves de acesso. Foi o dia em que a FSA transformou a autenticação resistente a phishing em uma expectativa pública, rebaixou publicamente a segurança baseada em OTP e deu a bancos, corretoras e fintechs um sinal muito mais claro de que o destino a longo prazo são as chaves de acesso, PKI e outros modelos de login não vulneráveis a phishing.

A página da FSA do Japão de 16 de abril de 2026 não deve ser mal interpretada como "o Japão tornou as chaves de acesso obrigatórias por lei hoje". Não foi isso que aconteceu.

Mas seria igualmente errado descartá-la como uma simples página de conscientização leve.

O que aconteceu é estrategicamente mais importante:

- o regulador disse publicamente aos consumidores que os fluxos baseados apenas em senhas e OTPs não são mais suficientes,
- ele nomeou as **chaves de acesso** e a **PKI** como exemplos de autenticação mais forte,
- ele alinhou essa mensagem entre as associações financeiras e a polícia,
- e mudou o diálogo do mercado do MFA genérico em direção à **autenticação resistente a phishing**.

Esse é exatamente o tipo de sinal que altera as prioridades do roteiro nos [serviços financeiros](https://www.corbado.com/passkeys-for-banking).

Para o Japão, isso fortalece os argumentos em prol de uma implantação mais ampla de chaves de acesso em [bancos](https://www.corbado.com/passkeys-for-banking), corretoras e fintechs. Para o resto do mundo, é um exemplo claro de como um regulador pode fazer mais do que estabelecer regras: ele pode remodelar a própria narrativa de autenticação.

Se há uma lição a ser tirada, é esta:

**O estado futuro não é "mais MFA". O estado futuro é a autenticação resistente a phishing. A FSA do Japão agora está dizendo isso em voz alta.**

## Sobre a Corbado

A FSA do Japão rebaixou publicamente a prática de senha-mais-OTP, mas os reguladores nomearem as chaves de acesso é apenas metade do trabalho. Os bancos e corretoras ainda precisam aposentar fallbacks (alternativas) passíveis de phishing em frotas de dispositivos fragmentadas, sem impedir o acesso dos usuários.

A Corbado é a **plataforma de análise de chaves de acesso** para equipes corporativas de CIAM. Ela adiciona **análises de chaves de acesso e controles de implementação** acima do seu IdP existente, para que as instituições que atendem à exigência de MFA resistente a phishing da FSA possam eliminar gradualmente o OTP via SMS e e-mail com visibilidade em nível de auditoria e botões de interrupção em nível de dispositivo (kill switches), sem mandatos cegos.

Veja como as instituições financeiras japonesas podem implementar o MFA resistente a phishing sem bloqueios irremediáveis. → [Fale com um especialista em passkey](https://www.corbado.com/contact)

## FAQ

### A FSA do Japão tornou as passkeys obrigatórias em 16 de abril de 2026?

Não. A página de 16 de abril de 2026 é uma campanha de conscientização pública, e não um texto regulatório autônomo. O que a torna importante é que a Agência de Serviços Financeiros promoveu pública e explicitamente a autenticação multifator resistente a phishing, destacou as chaves de acesso e a PKI como exemplos e alinhou essa mensagem com bancos, corretoras de valores e a Agência Nacional de Polícia.

### Por que a FSA afirma que os OTPs por e-mail e SMS não são mais suficientes?

Os materiais da campanha explicam que os OTPs enviados por e-mail ou SMS ainda podem ser contornados por meio de phishing em tempo real, ataques man-in-the-middle e [malware](https://www.corbado.com/glossary/malware). Em outras palavras, adicionar um código não é suficiente se o invasor conseguir enganar o usuário para que o insira em um site falso ou roubá-lo do endpoint.

### As chaves de acesso são a única opção resistente a phishing aceita no setor financeiro do Japão?

Não. Os materiais da campanha da FSA apresentam as chaves de acesso e a autenticação baseada em PKI como os dois principais exemplos de MFA resistente a phishing. Isso significa que as chaves de acesso são fortemente favorecidas, mas a direção regulatória mais ampla visa resultados de autenticação resistentes a phishing, e não uma única tecnologia obrigatória para o consumidor.

### Por que 16 de abril de 2026 é importante se a orientação de supervisão do Japão mudou antes?

Porque marca uma mudança da sinalização do regulador para o setor em direção à sinalização do regulador para o público. Uma vez que a FSA começa a dizer diretamente aos consumidores que as chaves de acesso e a PKI os protegem melhor do que senhas mais OTP, os bancos e corretoras japoneses ganham uma cobertura mais forte para reprojetar a autenticação do cliente em torno de métodos resistentes a phishing.