Trước tình hình tội phạm công nghệ cao gia tăng, đặc biệt là các hành vi lừa đảo chiếm đoạt tài sản ngân hàng ngày càng tinh vi, Ngân hàng Nhà nước Việt Nam đã ban hành Thông tư 77/2025/TT-NHNN, sửa đổi, bổ sung một số quy định tại Thông tư 50/2024 nhằm siết chặt an toàn cho dịch vụ ngân hàng số.
Thông tư mới đặt ra hàng loạt yêu cầu kỹ thuật khắt khe hơn, tập trung vào bảo vệ tài sản khách hàng và ngăn chặn gian lận trên môi trường số. Một trong những nội dung đáng chú ý là việc nâng chuẩn phát hiện giả mạo sinh trắc học. Theo đó, các giải pháp xác thực sinh trắc học của ngân hàng phải đáp ứng tiêu chuẩn quốc tế ISO 30107 cấp độ 2, nhằm đối phó với các hình thức giả mạo ngày càng tinh vi, trong đó có việc sử dụng trí tuệ nhân tạo.
Cùng với đó, các tổ chức tín dụng buộc phải quản lý chặt chẽ vòng đời ứng dụng Mobile Banking. Người dùng sẽ không được phép hạ cấp ứng dụng xuống các phiên bản cũ tiềm ẩn rủi ro bảo mật. Việc đánh giá, rà soát và khắc phục lỗ hổng an ninh cũng phải được thực hiện định kỳ, tối thiểu ba tháng một lần.
Đặc biệt, Điều 5 của Thông tư 77 quy định rõ cơ chế vận hành của ứng dụng ngân hàng trên thiết bị người dùng. Theo đó, ứng dụng Mobile Banking phải tự động phát hiện và ngừng hoạt động nếu thiết bị không bảo đảm an toàn.
Các trường hợp bị coi là rủi ro bao gồm: Thiết bị đã bị root hoặc jailbreak, mở khóa bootloader, chạy trên môi trường giả lập, bật trình gỡ lỗi, hoặc bị chèn mã độc, theo dõi dữ liệu thông qua kỹ thuật hook, bị đóng gói hay chỉnh sửa trái phép. Quy định này được xem là “hàng rào kỹ thuật” nhằm ngăn chặn nguy cơ hacker kiểm soát ứng dụng ngân hàng trên thiết bị cá nhân.
Không chỉ áp dụng với ngân hàng, Thông tư 77 còn mở rộng phạm vi điều chỉnh sang các đơn vị cung ứng dịch vụ Tiền di động (Mobile Money). Các đơn vị này phải đáp ứng các yêu cầu về an toàn, bảo mật tương đương tổ chức tín dụng khi cung cấp dịch vụ cho khách hàng.
Theo lộ trình, Thông tư 77/2025/TT-NHNN sẽ chính thức có hiệu lực từ ngày 1/3/2026. Riêng các quy định liên quan đến thanh toán trực tuyến, việc triển khai đối với khách hàng cá nhân dự kiến từ tháng 7/2026 và đối với khách hàng tổ chức từ tháng 10/2026.
Ngoài ra, Thông tư cũng bổ sung khái niệm “khách hàng tổ chức mới”. Theo đó, các doanh nghiệp thiết lập quan hệ giao dịch trong vòng 12 tháng, trừ một số trường hợp đặc thù như cơ quan nhà nước hoặc tập đoàn lớn, bắt buộc phải áp dụng hình thức xác thực mạnh, bao gồm sinh trắc học hoặc chữ ký điện tử an toàn.
Huỳnh Duy
