Thông tin trên được quy định trong Thông tư số 77/2025/TT-NHNN, sửa đổi và bổ sung một số điều của Thông tư số 50/2024/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành ngân hàng, do Thống đốc Ngân hàng Nhà nước (NHNN) ký ban hành. Động thái siết chặt quy định được đưa ra trong bối cảnh tội phạm công nghệ cao gia tăng chóng mặt, các đối tượng lừa đảo liên tục sử dụng mã độc, công nghệ deepfake và tài khoản "ma" để tấn công, chiếm quyền kiểm soát thiết bị và đánh cắp tài sản của người dùng, chủ yếu thông qua ứng dụng ngân hàng được cài đặt trên máy.
Ứng dụng ngân hàng sẽ không chạy được trên các thiết bị di động đã bị can thiệp trái phép
Ảnh: Anh Quân
3 trường hợp ứng dụng ngân hàng buộc phải "tự đóng"
Theo nội dung Thông tư 77, để thiết lập hàng rào phòng vệ chủ động, các ứng dụng ngân hàng số trên thiết bị di động (Mobile Banking) phải được lập trình để tự động ngắt kết nối hoặc ngừng hoạt động ngay lập tức nếu phát hiện thiết bị thuộc một trong ba nhóm rủi ro sau:
- Thiết bị mất an toàn hệ điều hành: Bao gồm các điện thoại đã bị bẻ khóa (jailbreak đối với iOS, root đối với Android) hoặc đã bị can thiệp mở khóa cơ chế bảo vệ khởi động (unlock bootloader). Đây vốn là thao tác thường thấy ở người dùng muốn cài đặt ứng dụng không chính thống, nhưng lại tạo ra lỗ hổng lớn để mã độc xâm nhập.
- Ứng dụng bị can thiệp: Phần mềm Mobile Banking bị chèn mã lạ từ bên ngoài khi đang vận hành (nhằm ghi lại lịch sử thao tác, đánh cắp dữ liệu) hoặc bản thân ứng dụng đã bị hacker chỉnh sửa, đóng gói lại (repack) sai khác so với bản gốc của ngân hàng.
- Môi trường vận hành không an toàn: Thiết bị có gắn trình gỡ lỗi (debugger), hoặc ứng dụng đang chạy trên các môi trường giả lập (emulator), máy ảo. Đặc biệt, quy định cũng cấm hoạt động khi thiết bị đang bật chế độ cho phép máy tính giao tiếp, can thiệp trực tiếp (Android Debug Bridge).
Tăng cường trách nhiệm rà soát của ngân hàng
Không chỉ đặt ra yêu cầu với thiết bị người dùng, Thông tư 77 còn quy định trách nhiệm giám sát chặt chẽ đối với các tổ chức tín dụng. Cụ thể, định kỳ tối thiểu 3 tháng một lần, đơn vị phát hành ứng dụng Mobile Banking phải thực hiện đánh giá an toàn, bảo mật cho phiên bản đang lưu hành để kịp thời phát hiện lỗ hổng.
Trong trường hợp phát hiện lỗ hổng bảo mật ở mức "Cao" hoặc "Nghiêm trọng", ngân hàng phải áp dụng biện pháp kiểm soát, bao gồm chặn giao dịch để ngăn ngừa tội phạm mạng lợi dụng tấn công.
Về thời hạn khắc phục, Thông tư ấn định mốc thời gian rất gấp rút: Trong vòng 24 giờ, đơn vị phát hành phần mềm phải cập nhật phiên bản mới hoặc bản vá lỗi đối với các thành phần hệ thống có kết nối trực tiếp với internet; trong vòng 1 tháng phải thực hiện xong với các thành phần còn lại nếu lỗ hổng ở mức Nghiêm trọng. Đối với thành phần còn lại nếu lỗ hổng ở mức Cao, cần xử lý trong vòng 2 tháng.
Quy định trên sẽ chính thức có hiệu lực từ ngày 1.3.2026. Do đó, người dùng đang sử dụng các thiết bị đã can thiệp hệ thống hoặc cài đặt các phần mềm giả lập cần sớm khôi phục cài đặt gốc (hoặc chuyển sang thiết bị đạt chuẩn) để đảm bảo giao dịch tài chính không bị gián đoạn.
