Ngân hàng Nhà nước Việt Nam đã ban hành Thông tư 77/2025/TT-NHNN, sửa đổi, bổ sung một số điều của Thông tư 50/2024, nhằm siết chặt các yêu cầu kỹ thuật đối với dịch vụ ngân hàng số trong bối cảnh tội phạm công nghệ cao ngày càng gia tăng.
Thông tư mới tập trung vào việc nâng cao mức độ an toàn cho tài khoản và tài sản của khách hàng, đặc biệt trước các hình thức gian lận sử dụng trí tuệ nhân tạo ngày càng tinh vi.
Một trong những nội dung đáng chú ý là yêu cầu các ngân hàng phải triển khai giải pháp phát hiện giả mạo sinh trắc học đáp ứng tiêu chuẩn quốc tế ISO 30107 cấp độ 2. Đây được xem là bước nâng chuẩn quan trọng trong xác thực người dùng khi giao dịch ngân hàng số.
Bên cạnh đó, các tổ chức tín dụng buộc phải quản lý chặt chẽ vòng đời ứng dụng Mobile Banking. Người dùng sẽ không được phép hạ cấp ứng dụng xuống các phiên bản cũ tiềm ẩn rủi ro bảo mật. Việc rà soát, đánh giá lỗ hổng an toàn thông tin cũng phải được thực hiện định kỳ tối thiểu ba tháng một lần.
Đáng chú ý, tại Điều 5 của Thông tư 77, Ngân hàng Nhà nước quy định ứng dụng Mobile Banking phải có khả năng tự động phát hiện và ngừng hoạt động khi thiết bị người dùng không đáp ứng yêu cầu an toàn.
Cụ thể, ứng dụng ngân hàng sẽ bị chặn vận hành nếu phát hiện thiết bị đã root hoặc jailbreak, mở khóa bootloader, chạy trên môi trường giả lập, kích hoạt trình gỡ lỗi hoặc có dấu hiệu bị can thiệp như chèn mã lạ, hook theo dõi dữ liệu, đóng gói hay chỉnh sửa trái phép. Quy định này được coi là “hàng rào kỹ thuật” nhằm ngăn chặn nguy cơ hacker chiếm quyền điều khiển ứng dụng ngân hàng.
Không chỉ áp dụng đối với ngân hàng, Thông tư 77 còn mở rộng phạm vi điều chỉnh sang các đơn vị cung ứng dịch vụ Tiền di động (Mobile Money). Các đơn vị này phải đáp ứng yêu cầu an toàn, bảo mật tương đương hệ thống ngân hàng khi cung cấp dịch vụ cho khách hàng.
Theo lộ trình, Thông tư 77/2025/TT-NHNN sẽ chính thức có hiệu lực từ ngày 1/3/2026. Riêng các quy định liên quan đến thanh toán trực tuyến sẽ được triển khai theo từng giai đoạn, dự kiến áp dụng với khách hàng cá nhân từ tháng 7/2026 và khách hàng tổ chức từ tháng 10/2026.
Thông tư cũng bổ sung khái niệm “khách hàng tổ chức mới”. Theo đó, các doanh nghiệp thiết lập quan hệ trong vòng 12 tháng, trừ một số trường hợp đặc thù như cơ quan nhà nước hoặc tập đoàn lớn, sẽ phải áp dụng hình thức xác thực mạnh bằng sinh trắc học hoặc chữ ký điện tử an toàn khi sử dụng dịch vụ ngân hàng.
Huỳnh Duy
