Ngân hàng Nhà nước (NHNN) vừa ban hành Thông tư số 77/2025/TT-NHNN (Thông tư 77), sửa đổi, bổ sung một số điều của Thông tư 50/2024/TT-NHNN, tập trung siết chặt các yêu cầu về an toàn, bảo mật trong cung cấp dịch vụ ngân hàng trực tuyến. Thông tư mới sẽ chính thức có hiệu lực từ ngày 1/3/2026.
Theo Thông tư 77, các ứng dụng Mobile Banking bắt buộc phải tự động thoát hoặc dừng hoạt động và thông báo rõ lý do cho khách hàng nếu phát hiện một trong ba dấu hiệu gian lận, can thiệp trái phép hoặc gây rủi ro an toàn thông tin.
Thứ nhất, ứng dụng phát hiện có trình gỡ lỗi (debugger) được gắn vào hoặc đang hoạt động trong môi trường có trình gỡ lỗi; hoặc ứng dụng chạy trong môi trường giả lập (emulator), máy ảo, thiết bị giả lập; hoặc hoạt động ở chế độ cho phép máy tính giao tiếp trực tiếp với thiết bị Android thông qua Android Debug Bridge.
Thứ hai, phần mềm ứng dụng bị chèn mã bên ngoài trong quá trình chạy, thực hiện các hành vi như theo dõi các hàm đang được chạy, ghi lại log dữ liệu truyền qua các hàm, API (hook); hoặc ứng dụng bị can thiệp, đóng gói lại (repacking).
Thứ ba, thiết bị di động của khách hàng đã bị phá khóa (root/jailbreak) hoặc bị mở khóa cơ chế bảo vệ (unlock bootloader).
Bên cạnh yêu cầu phát hiện và ngăn chặn can thiệp trái phép, Thông tư 77 cũng quy định chặt chẽ việc kiểm soát các phiên bản ứng dụng Mobile Banking được phát hành. Theo đó, định kỳ tối thiểu ba tháng một lần, các đơn vị phải đánh giá an toàn, bảo mật đối với các phiên bản phần mềm đang cho phép khách hàng cài đặt và sử dụng, nhằm xác định lỗ hổng bảo mật và khả năng bị tội phạm mạng lợi dụng.
Trường hợp khách hàng kích hoạt ứng dụng Mobile Banking trên thiết bị mới hoặc kích hoạt lại ứng dụng, khách hàng bắt buộc phải cài đặt và sử dụng phiên bản mới nhất hoặc phiên bản gần nhất đáp ứng đầy đủ các yêu cầu về an toàn, bảo mật theo quy định. Đồng thời, đơn vị cung cấp dịch vụ phải có giải pháp kiểm soát, không cho phép hạ phiên bản (downgrading) xuống sử dụng các phiên bản thấp hơn trong trường hợp này.
Khi phát hiện lỗ hổng bảo mật được đánh giá ở mức cao hoặc nghiêm trọng, các tổ chức tín dụng phải áp dụng biện pháp kiểm soát, không cho thực hiện giao dịch hoặc có biện pháp hạn chế phù hợp nhằm phòng, chống việc lợi dụng lỗ hổng để tấn công mạng, thực hiện giao dịch gian lận, chiếm đoạt tài sản. Việc xử lý, khắc phục và cập nhật phiên bản mới phải được thực hiện ngay theo thời hạn quy định.
Thông tư 77 cũng không cho phép ứng dụng Mobile Banking sử dụng chức năng ghi nhớ mã khóa bí mật truy cập, trừ trường hợp áp dụng các hình thức xác nhận theo đúng quy định tại thông tư.
Đáng chú ý, để đối phó với các hình thức lừa đảo sử dụng trí tuệ nhân tạo, đặc biệt là công nghệ Deepfake, NHNN yêu cầu các giải pháp phát hiện giả mạo sinh trắc học (PAD) phải đạt tiêu chuẩn quốc tế ISO 30107 cấp độ 2 (Level 2) hoặc tương đương. Các tổ chức cung cấp giải pháp này phải được những tổ chức uy tín, như Liên minh FIDO, công nhận.
Theo lộ trình, từ ngày 1/3/2026, các tổ chức tín dụng phải triển khai các giải pháp nhằm phòng, chống và phát hiện hành vi can thiệp trái phép vào ứng dụng Mobile Banking đã cài đặt trên thiết bị di động của khách hàng. Riêng các quy định liên quan đến thanh toán trực tuyến đối với khách hàng cá nhân và tổ chức sẽ lần lượt được triển khai vào tháng 7 và tháng 10/2026.
Thiên Trường
