Atualização de MFA para Gestão de Risco do Banco Central da Malásia (BNM RMiT)

1. Introdução#

O Bank Negara Malaysia (BNM) emitiu uma política atualizada de Gestão de Risco em Tecnologia (RMiT) em novembro de 2025, substituindo a versão de junho de 2023. Embora a atualização abranja uma ampla gama de áreas de risco tecnológico, as mudanças mais significativas encontram-se na autenticação, vinculação de dispositivo, autenticação multifator e prevenção de fraudes. Esta regulamentação bancária da Malásia para instituições financeiras não é mais uma melhor prática ou orientação, mas tornou-se um padrão obrigatório.

O BNM vem lentamente afastando as instituições do SMS OTP desde 2023. O motivo era simples: os fraudadores criaram ferramentas para interceptar códigos de autenticação por SMS antes que os clientes pudessem vê-los, e os ataques de troca de SIM permitiam que os criminosos redirecionassem os códigos para dispositivos que eles controlavam. Até 2024, os bancos da Malásia bloquearam coletivamente mais de 383 milhões de ringgits malaios (mais de 100 milhões de dólares americanos) em transações fraudulentas (segundo seu relatório anual). A atualização de novembro de 2025 pega esse progresso e o codifica em uma regulamentação vinculativa.

Este artigo detalha as principais mudanças de autenticação e MFA no RMiT atualizado, explica o contexto regulatório e mostra onde as chaves de acesso e a autenticação resistente a phishing se encaixam no cenário de conformidade. Respondemos às seguintes perguntas:

1. O que é a política RMiT e a quem se aplica?

2. Como era o cenário de autenticação antes de novembro de 2025?

3. Quais são as mudanças mais importantes nos requisitos de autenticação e MFA?

4. Como as chaves de acesso ajudam as instituições financeiras a cumprir o RMiT atualizado?

2. O que é a política de Gestão de Risco em Tecnologia (RMiT) do Bank Negara Malaysia (BNM)?#

A política RMiT é a estrutura regulatória central do BNM que rege como as instituições financeiras regulamentadas gerenciam o risco tecnológico. A conformidade com o BNM RMiT estabelece requisitos para a governança de TI, segurança cibernética, serviços digitais, uso da nuvem e controles de autenticação, com o objetivo de manter os serviços financeiros disponíveis, resilientes e confiáveis à medida que os canais digitais e os níveis de ameaça evoluem.

A política também trata o uso da nuvem como uma forma de terceirização, exigindo que as instituições retenham a propriedade e o controle adequados sobre os dados dos clientes e chaves criptográficas. Na prática, o RMiT é a linha de base de conformidade em torno da qual toda instituição financeira regulamentada na Malásia deve construir sua postura de risco tecnológico.

3. Quem deve cumprir a política RMiT?#

Os requisitos do RMiT se aplicam a todas as instituições financeiras regulamentadas pelo BNM. O escopo é amplo, cobrindo não apenas os bancos tradicionais, mas também seguradoras, emissores de moeda eletrônica, operadores de sistemas de pagamento e instituições de remessa. A tabela a seguir resume as principais categorias:

Em termos práticos: se a sua organização possui uma licença, registro ou aprovação do BNM para operar no setor financeiro da Malásia, o RMiT se aplica a você.

4. Como eram os requisitos de autenticação do BNM antes de novembro de 2025?#

Antes da atualização de novembro de 2025, o RMiT já continha requisitos de autenticação significativos, mas muitos estavam no nível de orientação em vez de padrões obrigatórios. Entender a linha de base ajuda a esclarecer o quanto mudou.

4.1 Controles de MFA#

• O MFA era exigido para transações de alto risco, particularmente transferências abertas de fundos para terceiros e transações de pagamento.

• Existia um foco específico em transações acima de RM 10.000, embora a versão de 2023 tenha começado a impulsionar o MFA para todas as transações digitais.

• A versão de 2023 incentivava explicitamente a transição para uma autenticação "resistente à interceptação ou manipulação", sinalizando o começo do fim para os OTPs baseados em SMS.

• O MFA foi elevado de "Orientação" (melhor prática) para "Padrão" (obrigatório) em 2023.

4.2 Controles de autenticação e gestão de acessos#

• As instituições precisavam aplicar o princípio do menor privilégio e revisar as matrizes de acesso pelo menos anualmente.

• Contas privilegiadas exigiam controles mais rigorosos, incluindo MFA obrigatório, independentemente de o acesso ser interno ou externo.

• O acesso remoto a redes internas (por exemplo, via VPN) exigia o MFA como um padrão não negociável.

4.3 Controles de serviços digitais#

O Apêndice 11 do RMiT de 2023 era a principal referência para a segurança bancária digital. Ele exigia a assinatura de transações (vinculando o MFA a detalhes da transação, como destinatário e valor), vinculação de dispositivo (vinculando a identidade digital de um usuário a um dispositivo confiável) e contramedidas gerais contra fraudes.

5. Quais são as mudanças mais importantes na política BNM RMiT?#

A atualização de novembro de 2025 consolida e fortalece várias circulares e especificações anteriores, incluindo as especificações de contramedidas contra fraudes de 2022 e 2024. O resultado é uma política única e abrangente com requisitos mais precisos e obrigatórios sobre como as instituições autenticam usuários e protegem serviços digitais. Existem cinco áreas de maior importância.

5.1 Um dispositivo por usuário, por padrão#

"garantir processos seguros de vinculação e desvinculação para restringir a autenticação de transações de serviços digitais por padrão a um dispositivo móvel ou dispositivo seguro por titular de conta"

— RMiT Apêndice 3, parágrafo 3(a)

Esta é uma resposta direta a fraudes de troca de SIM e ataques de invasão de conta, onde fraudadores registram um novo dispositivo em uma conta existente e a esvaziam enquanto o dispositivo legítimo permanece ativo. O enquadramento "padrão" é importante: os clientes podem optar por usar vários dispositivos, mas devem solicitar isso explicitamente e aceitar os riscos associados. A instituição não pode tornar a opção de múltiplos dispositivos o padrão.

Na prática, isso significa que os fluxos de integração e autenticação precisam rastrear o registro do dispositivo, impor uma única vinculação por padrão e manter um processo claro e auditável para exceções solicitadas pelo cliente.

5.2 Verificação robusta para alterações de número de telefone#

"o registro de novo número de telefone celular ou a substituição de um número de telefone celular existente é processado apenas após a aplicação de métodos de verificação robustos para confirmar a autenticidade do cliente"

— RMiT Apêndice 3, parágrafo 3(c)

Muitas instituições ainda processam alterações de número de telefone com nada mais do que um OTP enviado ao número atual. Essa abordagem falha se o número já tiver sido comprometido ou o SIM trocado. "Verificação robusta" no contexto do BNM significa métodos que vão além do canal que está sendo alterado: reverificação de identidade, autenticação reforçada usando biometria ou confirmação na agência para alterações de alto risco.

5.3 Períodos de reflexão e limites de transação para novos dispositivos#

"aplicar verificação apropriada e período de reflexão para a primeira inscrição em serviços digitais ou dispositivo seguro e várias transações sucessivas de alto volume ou outros padrões de transação anormais"

— RMiT Apêndice 3, parágrafo 3(e)

Um dispositivo recém-inscrito não deve ter recursos completos de transação imediatamente. As instituições precisam implementar restrições baseadas em tempo e controles de velocidade que são desbloqueados gradualmente à medida que o dispositivo e o comportamento do usuário estabelecem um histórico de confiança. Se um hacker obtiver acesso, ele geralmente tentará aumentar o limite de transferência diária e movimentar o dinheiro imediatamente. Um período de reflexão dá ao proprietário legítimo e à equipe de fraude do banco uma janela para detectar e interromper a sessão.

Combinado com os padrões de detecção de fraudes, que exigem perfilamento comportamental e pontuação de risco em tempo real, isso cria uma expectativa clara: a camada de autenticação precisa estar ciente do contexto, não apenas das credenciais.

5.4 MFA mais seguro que SMS não criptografado#

Este é o requisito de autenticação mais significativo da atualização. Ele se baseia em anos de orientação do BNM e o transforma em um padrão vinculativo:

"implantação de tecnologia e canais de MFA que são mais seguros do que SMS não criptografado... a solução de MFA é resistente à interceptação ou manipulação por terceiros durante todo o processo de autenticação"

— RMiT Apêndice 3, parágrafos 5 e 6

A política vai além ao introduzir a vinculação de transação:

"o código de autenticação deve ser iniciado e gerado localmente pelo pagador/remetente usando MFA... o código de autenticação gerado pelo pagador/remetente deve ser específico para o beneficiário e valor confirmados identificados"

— RMiT Apêndice 3, parágrafos 6(c) e 6(d)

A vinculação de transação significa que o código de autenticação deve estar vinculado aos detalhes específicos da transação (destinatário e valor), e não apenas a uma sessão ou login. Isso aborda diretamente os ataques de "redirecionamento de OTP", em que os fraudadores manipulam a transação depois que o usuário já se autenticou. Um OTP que foi gerado para um pagamento de RM 500 para a Conta A não pode ser reutilizado para um pagamento de RM 50.000 para a Conta B.

Para instituições que ainda dependem do SMS OTP como seu principal segundo fator, este é o sinal mais claro até o momento: o caminho da migração não é opcional. A tabela abaixo resume quais métodos de MFA estão alinhados com os novos requisitos:

5.5 Chaves de acesso e autenticação baseada em chaves criptográficas para o BNM RMiT#

O BNM também exige explicitamente que as instituições ofereçam alternativas sem senha:

"oferecer ao seu cliente uma autenticação robusta baseada em chave criptográfica, como certificado digital ou sem senha como alternativa ao método de autenticação baseado em senha existente"

— RMiT Apêndice 3, parágrafo 9

Esta é uma diretiva clara para adotar as chaves de acesso, autenticação apoiada por hardware ou métodos baseados em certificados. Ao contrário da atualização do MFA, que se concentra em substituir o SMS OTP, este requisito tem como alvo a própria senha. Os dois requisitos funcionam em conjunto: as instituições precisam ir além do SMS para o segundo fator e oferecer uma alternativa à senha para o primeiro fator.

As chaves de acesso são o ajuste mais natural aqui. Uma única credencial de chave de acesso satisfaz ambos os requisitos simultaneamente. É um método de autenticação baseado em chave criptográfica (parágrafo 9), é mais seguro que o SMS não criptografado (parágrafos 5-6) e, como as chaves de acesso vinculam a autenticação à origem específica (site ou aplicativo), elas também apoiam a intenção por trás da vinculação de transação.

6. Resumo: Antes e depois da atualização de novembro de 2025#

7. Contexto regional: a Malásia não está sozinha#

O RMiT atualizado da Malásia insere-se em uma tendência regional mais ampla. Em toda a Ásia-Pacífico, os reguladores financeiros estão convergindo para o mesmo conjunto de requisitos: credenciais vinculadas ao dispositivo, MFA resistente a phishing e um afastamento das senhas e do SMS OTP.

• Cingapura (MAS): A Autoridade Monetária de Cingapura há muito exige a vinculação de dispositivo e a assinatura de transação para os serviços bancários digitais e tem fortalecido progressivamente as suas diretrizes de Gestão de Risco Tecnológico (TRM) numa direção que reflete de perto a abordagem do BNM.

• Índia (RBI): O Banco Central da Índia tem pressionado por fatores adicionais de autenticação e autorização específica para transações, particularmente para transações com cartão não presente e UPI.

• Hong Kong (HKMA): As diretrizes de serviços bancários eletrônicos da Autoridade Monetária de Hong Kong exigem autenticação forte do cliente e controles de registro de dispositivos para operações de alto risco.

• Vietnã (Banco Estatal do Vietnã): A Circular 45/2025 exige que os bancos verifiquem a biometria dos clientes comparando-a com o ID do cidadão com chip ou com banco de dados nacional para determinadas transações de alto valor, introduzindo uma etapa de verificação centralizada.

A arquitetura necessária para a conformidade com o RMiT, incluindo a vinculação de dispositivo criptográfico, chaves de acesso e autenticação em nível de transação, é para onde toda a região está indo. As instituições que investem nessa arquitetura agora estão se preparando para a convergência regulatória, não apenas para uma única política nacional.

8. Como a Corbado ajuda as instituições financeiras a cumprir o RMiT atualizado#

A plataforma da Corbado foi construída para os desafios de autenticação que o RMiT atualizado foi concebido para enfrentar. Veja como os principais requisitos se alinham com os recursos da Corbado:

• MFA resistente a phishing e autenticação sem senha: a implementação de chaves de acesso da Corbado fornece um caminho direto para a conformidade com os requisitos do BNM para MFA, que é mais seguro do que SMS não criptografado (parágrafos 5-6) e para autenticação baseada em chaves criptográficas como alternativa às senhas (parágrafo 9). Uma única credencial de chave de acesso atende a ambos os requisitos simultaneamente.

• Vinculação de dispositivo: a Corbado suporta chaves de acesso vinculadas a dispositivos e credenciais criptográficas que estão ligadas a um dispositivo específico. Os fluxos de registro podem impor o padrão de um dispositivo por usuário com mecanismos claros para exceções solicitadas pelo cliente, tudo com uma trilha de auditoria completa.

• Prontidão para auditoria e conformidade: a telemetria, o registro de eventos e as capacidades de relatório da Corbado tornam simples demonstrar que os controles de autenticação não são apenas projetados, mas também operam de forma eficaz. A Corbado opera sob um ISMS certificado pela norma ISO 27001 e possui a comprovação SOC 2 Tipo II, alinhando sua própria postura de segurança às expectativas colocadas sobre as instituições financeiras da Malásia.

9. Conclusão#

A atualização do RMiT de novembro de 2025 transforma anos de orientação do BNM sobre segurança de autenticação em uma regulamentação vinculativa. O SMS OTP não é mais compatível como um segundo fator autônomo. A vinculação de dispositivo é obrigatória, por padrão. A autenticação de transação deve estar vinculada aos detalhes específicos do pagamento. E as instituições devem oferecer alternativas baseadas em chaves criptográficas para as senhas.

Para as instituições que já começaram a migrar do SMS para métodos resistentes a phishing, a atualização codifica o que já estavam fazendo. Para aquelas que ainda não o fizeram, a lacuna entre a prática atual e o novo padrão é significativa, e o cronograma de conformidade agora é fixo.

As chaves de acesso são o caminho mais direto para atender aos requisitos atualizados. Uma única credencial de chave de acesso satisfaz a atualização do MFA, a alternativa sem senha e os requisitos de vinculação de dispositivo em uma única implementação. Combinado com a autenticação reforçada para operações confidenciais e a lógica de período de reflexão para novos registros, isso fornece às instituições uma arquitetura coerente em vez de uma colcha de retalhos de soluções pontuais.

Também poderíamos responder às perguntas mais importantes sobre esse tópico:

• O que é a política RMiT e a quem se aplica? O RMiT é a estrutura central de risco tecnológico do BNM, aplicável a todas as instituições financeiras regulamentadas na Malásia, incluindo bancos, seguradoras, emissores de moeda eletrônica, operadores de sistemas de pagamento e provedores de remessas.

• Como era o cenário de autenticação antes de novembro de 2025? O MFA já era obrigatório para transações de alto risco e acesso privilegiado, mas o SMS OTP ainda era tolerado, as configurações de vários dispositivos eram governadas de forma frouxa e a alternativa sem senha ainda não era exigida.

• Quais são as mudanças mais importantes na autenticação e no MFA? Cinco mudanças se destacam: um dispositivo por usuário por padrão, verificação robusta para alterações de número de telefone, períodos de reflexão obrigatórios para novos dispositivos, MFA mais seguro que o SMS com vinculação de transação e a exigência de oferecer chaves de acesso ou autenticação baseada em chaves criptográficas.

• Como as chaves de acesso ajudam as instituições financeiras a estarem em conformidade? As chaves de acesso satisfazem a atualização do MFA, a alternativa sem senha e os requisitos de vinculação do dispositivo em uma única implementação, sendo, ao mesmo tempo, resistentes a ataques de phishing, troca de SIM e interceptação de OTP.

Sobre a Corbado

Corbado é a Passkey Intelligence Platform para times de CIAM que rodam autenticação consumer em escala. Mostramos o que logs de IDP e ferramentas genéricas de analytics não enxergam: quais dispositivos, versões de SO, navegadores e gerenciadores de credenciais suportam passkeys, por que os registros não viram logins, onde o fluxo WebAuthn falha e quando uma atualização de SO ou navegador quebra silenciosamente o login — tudo sem substituir Okta, Auth0, Ping, Cognito ou seu IDP interno. Dois produtos: Corbado Observe adiciona observabilidade para passkeys e qualquer outro método de login. Corbado Connect entrega passkeys gerenciados com analytics integrado (junto ao seu IDP). VicRoads roda passkeys para mais de 5M de usuários com Corbado (+80% de ativação de passkey). Fale com um especialista em Passkeys →

Perguntas Frequentes#

O que significa 'vinculação de transação' no contexto da conformidade BNM RMiT?#

A vinculação de transação exige que cada código de autenticação seja gerado localmente pelo pagador e esteja matematicamente vinculado à conta do beneficiário específico e ao valor do pagamento autorizado. Isso evita ataques de redirecionamento de OTP, onde um fraudador manipula os detalhes da transação após o usuário já ter se autenticado. Um código gerado para um pagamento a uma conta não pode ser reutilizado para autorizar um pagamento ou valor diferente.

Por que a atualização RMiT 2025 exige um período de reflexão após um cliente registrar um novo dispositivo?#

O período de reflexão evita que fraudadores que obtêm acesso a uma conta transfiram fundos imediatamente por meio de um dispositivo recém-registrado. O BNM exige que as instituições apliquem limites de transação e restrições baseadas em tempo durante uma fase inicial de construção de confiança para dispositivos recém-registrados. Isso dá ao titular legítimo da conta e à equipe de fraude da instituição uma janela de detecção antes que os recursos completos de transação sejam desbloqueados.

Como o RMiT atualizado da Malásia se compara às regulamentações de autenticação em outros países asiáticos?#

O RMiT 2025 da Malásia alinha-se a uma tendência regional da Ásia-Pacífico onde o MAS de Cingapura, o RBI da Índia, o HKMA de Hong Kong e o Banco Estatal do Vietnã estão todos convergindo para credenciais vinculadas ao dispositivo, MFA resistente a phishing e a eliminação do SMS OTP. A Circular 45/2025 do Vietnã exige especificamente a verificação biométrica em relação a documentos de identidade nacionais com chip para transações de alto valor. As instituições que investem em arquitetura compatível com o RMiT estão, portanto, se posicionando para a convergência regulatória regional, não apenas para um requisito nacional único.

Qual verificação o BNM RMiT agora exige quando um cliente altera seu número de telefone celular registrado?#

O RMiT atualizado exige uma verificação robusta antes de processar qualquer alteração de número de telefone, indo além de simplesmente enviar um OTP para o número atual. Abordagens aceitáveis incluem a reverificação de identidade, autenticação biométrica reforçada ou confirmação na agência, garantindo que o canal de verificação seja independente daquele que está sendo substituído. Isso aborda diretamente os ataques de troca de SIM, onde um fraudador que já controla um número de telefone poderia, de outra forma, auto-autorizar a alteração.