Ngân hàng Nhà nước Việt Nam vừa ban hành Thông tư 77/2025/TT-NHNN, sửa đổi và bổ sung một số nội dung của Thông tư 50/2024, nhằm tăng cường yêu cầu kỹ thuật đối với các dịch vụ ngân hàng trực tuyến trong bối cảnh tội phạm công nghệ cao ngày càng phức tạp.
Thông tư mới đặt trọng tâm vào việc nâng cao mức độ an toàn cho tài khoản và tài sản của khách hàng, đặc biệt trước các hình thức gian lận ngày càng tinh vi có sự hỗ trợ của trí tuệ nhân tạo.
Một điểm đáng chú ý là yêu cầu các ngân hàng phải triển khai giải pháp phát hiện giả mạo sinh trắc học đáp ứng tiêu chuẩn quốc tế ISO 30107 cấp độ 2. Đây được xem là bước nâng chuẩn quan trọng trong quy trình xác thực người dùng khi giao dịch trên nền tảng ngân hàng số.
Ứng dụng ngân hàng sẽ bị chặn vận hành nếu phát hiện thiết bị đã root hoặc jailbreak, mở khóa bootloader, chạy trên môi trường giả lập. (Ảnh minh hoạ)
Cùng với đó, các tổ chức tín dụng phải quản lý chặt chẽ vòng đời ứng dụng Mobile Banking. Người dùng sẽ không được phép hạ cấp ứng dụng xuống các phiên bản cũ tiềm ẩn rủi ro bảo mật. Hoạt động rà soát, đánh giá lỗ hổng an toàn thông tin cũng phải được thực hiện định kỳ tối thiểu 3 tháng một lần.
Đáng chú ý, tại Điều 5 của Thông tư 77, Ngân hàng Nhà nước quy định ứng dụng Mobile Banking phải có khả năng tự động phát hiện và ngừng hoạt động khi thiết bị của người dùng không đáp ứng yêu cầu an toàn.
Cụ thể, ứng dụng ngân hàng sẽ bị chặn nếu phát hiện thiết bị đã root hoặc jailbreak, mở khóa bootloader, chạy trên môi trường giả lập, kích hoạt trình gỡ lỗi, hoặc có dấu hiệu bị can thiệp như chèn mã độc, hook theo dõi dữ liệu, đóng gói hay chỉnh sửa trái phép. Quy định này được coi là “hàng rào kỹ thuật” nhằm hạn chế nguy cơ hacker chiếm quyền điều khiển ứng dụng ngân hàng.
Không chỉ áp dụng với các ngân hàng thương mại, Thông tư 77 còn mở rộng phạm vi điều chỉnh sang các đơn vị cung ứng dịch vụ Tiền di động (Mobile Money). Các đơn vị này phải đáp ứng yêu cầu an toàn, bảo mật tương đương hệ thống ngân hàng khi cung cấp dịch vụ cho khách hàng.
Theo lộ trình, Thông tư 77/2025/TT-NHNN sẽ chính thức có hiệu lực từ ngày 1/3/2026. Riêng các quy định liên quan đến thanh toán trực tuyến sẽ được triển khai theo từng giai đoạn, dự kiến áp dụng với khách hàng cá nhân từ tháng 7/2026 và khách hàng tổ chức từ tháng 10/2026.
Thông tư cũng bổ sung khái niệm “khách hàng tổ chức mới”. Theo đó, các doanh nghiệp thiết lập quan hệ trong vòng 12 tháng, trừ một số trường hợp đặc thù như cơ quan nhà nước hoặc tập đoàn lớn, sẽ phải áp dụng hình thức xác thực mạnh bằng sinh trắc học hoặc chữ ký điện tử an toàn khi sử dụng dịch vụ ngân hàng.
Khang Nguyễn