Thông tư 77/2025/TT-NHNN do Ngân hàng Nhà nước Việt Nam ban hành, sửa đổi Thông tư 50/2024/TT-NHNN, sẽ chính thức có hiệu lực từ ngày 1/3. Điểm đáng chú ý của văn bản này là loạt yêu cầu mới liên quan đến an toàn, bảo mật đối với ứng dụng ngân hàng trên thiết bị di động.
Trong khi mục tiêu của chính sách là giảm thiểu rủi ro tấn công mạng và gian lận trực tuyến, nhiều quy định được đánh giá sẽ gây trở ngại cho nhóm người dùng sử dụng smartphone đã can thiệp phần mềm, đặc biệt là điện thoại Android xách tay.
Siết chặt quản lý phiên bản ứng dụng
Theo Thông tư 77, các tổ chức tín dụng phải tổ chức đánh giá mức độ an toàn, bảo mật của các phiên bản Mobile Banking tối thiểu 3 tháng/lần. Việc đánh giá này nhằm phát hiện sớm lỗ hổng kỹ thuật, nguy cơ bị chèn mã độc hoặc bị khai thác trái phép.
Đối với người dùng, thay đổi lớn nằm ở quy định về phiên bản ứng dụng. Khi khách hàng kích hoạt app trên thiết bị mới hoặc kích hoạt lại tài khoản, ngân hàng chỉ được phép cho sử dụng phiên bản mới nhất hoặc phiên bản gần nhất đã đáp ứng đầy đủ tiêu chuẩn bảo mật. Các ngân hàng đồng thời phải có biện pháp kỹ thuật để ngăn chặn hành vi hạ cấp ứng dụng về các bản cũ kém an toàn.
Thông tư 77 cũng đưa ra yêu cầu chặt chẽ hơn với môi trường vận hành ứng dụng. Cụ thể, app ngân hàng phải tự động thoát hoặc ngừng hoạt động và thông báo cho người dùng nếu phát hiện thiết bị có dấu hiệu mất an toàn.
Ba nhóm dấu hiệu chính gồm: thiết bị đã root, jailbreak hoặc mở khóa bootloader; ứng dụng bị can thiệp, chèn mã trong quá trình hoạt động; hoặc app đang chạy trong môi trường giả lập, máy ảo, có debugger, hay bật chế độ cho phép máy tính can thiệp sâu như Android Debug Bridge.
Những điều kiện này khiến nhiều thiết bị vốn được người dùng “tùy biến” để mở rộng tính năng không còn đủ điều kiện sử dụng dịch vụ ngân hàng trực tuyến.
Người dùng Android xách tay chịu ảnh hưởng lớn
Quy định mới đặc biệt tác động tới người dùng smartphone Android nội địa Trung Quốc được xách tay về Việt Nam. Phần lớn các thiết bị này buộc phải mở khóa bootloader để cài đặt ROM quốc tế, bổ sung tiếng Việt và dịch vụ Google. Khi bootloader đã bị mở, ứng dụng ngân hàng có thể tự động ngừng hoạt động theo tiêu chuẩn mới.
Trước đó, ứng dụng định danh điện tử VNeID không cho phép kích hoạt trên thiết bị root hoặc jailbreak. Nhiều ngân hàng lớn và ví điện tử cũng đã áp dụng biện pháp vô hiệu hóa ứng dụng trong các trường hợp tương tự, ngay cả trước khi Thông tư 77 được ban hành.
Với quy định mới, các biện pháp này sẽ được chuẩn hóa và áp dụng đồng loạt trong toàn hệ thống ngân hàng từ ngày 1/3.
Huỳnh Duy
