Bắt đầu từ ngày 1/3/2026 theo Thông tư 77/2025/TT-NHNN, một số thiết bị di động sẽ không còn đủ điều kiện để sử dụng các ứng dụng ngân hàng nếu không đáp ứng các tiêu chuẩn bảo mật mới. Quy định này nhằm tăng cường an toàn cho giao dịch tài chính trực tuyến, hạn chế nguy cơ tấn công mạng và rò rỉ dữ liệu người dùng.
Những thiết bị có nguy cơ bị chặn truy cập
Theo quy định mới, các điện thoại có dấu hiệu bị can thiệp sâu vào hệ thống hoặc tồn tại lỗ hổng bảo mật nghiêm trọng sẽ có thể bị từ chối quyền truy cập vào ứng dụng ngân hàng.
Cụ thể, các trường hợp bao gồm:
Thiết bị đang bật chế độ gỡ lỗi hoặc chạy môi trường giả lập
Điện thoại có kết nối với công cụ gỡ lỗi (debugger), đang hoạt động trong môi trường giả lập (emulator), máy ảo hoặc sử dụng chế độ cho phép máy tính điều khiển trực tiếp thông qua Android Debug Bridge (ADB) đều có thể bị nhận diện là không an toàn. Đây là các môi trường dễ bị lợi dụng để phân tích, can thiệp trái phép vào ứng dụng ngân hàng.
Ứng dụng bị chèn mã hoặc chỉnh sửa trái phép
Các phần mềm ngân hàng nếu bị tác động bởi công cụ theo dõi, ghi log dữ liệu, can thiệp vào hàm xử lý (hook) hoặc bị đóng gói lại (repack) cũng sẽ không được phép hoạt động. Những hành vi này tiềm ẩn nguy cơ đánh cắp thông tin tài khoản và dữ liệu giao dịch của khách hàng.
Thiết bị đã bị root hoặc jailbreak
Điện thoại đã bị phá vỡ cơ chế bảo vệ mặc định của nhà sản xuất như root (đối với Android), jailbreak (đối với iOS) hoặc mở khóa bootloader cũng nằm trong diện bị hạn chế. Khi đó, hệ thống bảo mật gốc không còn được đảm bảo, làm tăng rủi ro mất an toàn thông tin.
Yêu cầu tối thiểu về an toàn hệ thống Online Banking
Song song với việc siết chặt điều kiện thiết bị đầu cuối, các tổ chức cung cấp dịch vụ ngân hàng trực tuyến cũng phải đáp ứng những tiêu chuẩn kỹ thuật nghiêm ngặt về hạ tầng mạng và bảo mật.
Bắt buộc triển khai các lớp bảo vệ trọng yếu
Hệ thống Online Banking phải được trang bị các giải pháp bảo mật tối thiểu như:
Tường lửa ứng dụng (hoặc giải pháp tương đương);
Tường lửa bảo vệ cơ sở dữ liệu;
Công cụ phòng chống tấn công từ chối dịch vụ (DoS) và tấn công từ chối dịch vụ phân tán (DDoS) đối với các hệ thống cung cấp dịch vụ trên Internet;
Hệ thống giám sát và phân tích sự kiện an toàn thông tin.
Những biện pháp này nhằm phát hiện sớm các hành vi bất thường và ngăn chặn nguy cơ tấn công vào hệ thống tài chính.
Không lưu trữ dữ liệu khách hàng tại vùng kết nối Internet
Một yêu cầu quan trọng khác là thông tin nhận biết khách hàng và dữ liệu giao dịch không được đặt tại các phân vùng có kết nối trực tiếp với Internet hoặc khu vực trung gian giữa mạng nội bộ và Internet (DMZ). Điều này giúp hạn chế nguy cơ truy cập trái phép từ bên ngoài.
Bên cạnh đó, các ngân hàng phải xây dựng chính sách kiểm soát chặt chẽ dịch vụ và cổng kết nối vào hệ thống, chỉ duy trì những kết nối thực sự cần thiết.
Những thay đổi có hiệu lực từ tháng 3/2026 được kỳ vọng sẽ nâng cao mức độ an toàn cho hệ thống ngân hàng số, đồng thời yêu cầu cả người dùng và tổ chức cung cấp dịch vụ chủ động tuân thủ các tiêu chuẩn bảo mật ngày càng khắt khe.
