Ngày 31/12/2025, Thống đốc Ngân hàng Nhà nước (NHNN) đã ký ban hành Thông tư số 77/2025/TT-NHNN sửa đổi, bổ sung một số điều của Thông tư số 50/2024/TT-NHNN ngày 31/10/2024, quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng.
Tin tặc đang sử dụng nhiều chiêu trò khác nhau để xâm nhập vào ứng dụng ngân hàng của người dùng, đòi hỏi phải có các biện pháp bảo mật nghiêm ngặt để chống đỡ (Ảnh minh họa: Gemini).
Thông tư được ban hành trong bối cảnh tội phạm công nghệ cao đang lợi dụng tài khoản doanh nghiệp “ma” và các công nghệ tinh vi như Deepfake (giả mạo gương mặt người khác bằng AI) hoặc mã độc để lừa đảo, chiếm đoạt tài sản. Thông tư này đã thiết lập cơ chế phòng vệ chủ động bằng cách bổ sung các quy định kỹ thuật nghiêm ngặt.
Theo Thông tư này, ứng dụng Mobile Banking (ứng dụng ngân hàng trên thiết bị di động) sẽ phải tự động thoát hoặc ngừng hoạt động và thông báo cho người dùng được biết nếu phát hiện một trong 3 dấu hiệu sau:
- Thiết bị đã bị bẻ khóa (root/jailbreak) hoặc đã bị mở khóa cơ chế bảo vệ (unlock bootloader). Đây là điều nhiều người dùng thường làm trên iPhone bản khóa mạng hoặc trên smartphone chạy Android để thay đổi các thiết lập của hệ thống, cài đặt thêm ứng dụng từ bên ngoài… tiềm ẩn nhiều nguy cơ về bảo mật, nhiễm mã độc.
- Phần mềm ứng dụng bị chèn mã bên ngoài ứng dụng khi đang chạy, thực hiện các hành vi như ghi lại lịch sử dữ liệu trên ứng dụng hoặc ứng dụng đã bị can thiệp, đóng gói lại…
- Có trình gỡ lỗi (debugger) được gắn vào hoặc môi trường có trình gỡ lỗi đang hoạt động, hoặc khi ứng dụng chạy trong môi trường giả lập (emulator)/máy ảo/thiết bị giả lập; hoặc hoạt động ở chế độ cho phép máy tính giao tiếp trực tiếp với thiết bị chạy Android (Android Debug Bridge).
Ngoài ra, Thông tư 77 cũng siết chặt việc kiểm soát phiên bản Mobile Banking được phát hành. Theo đó, định kỳ tối thiểu 3 tháng một lần, đơn vị phát hành ứng dụng Mobile Banking phải đánh giá an toàn, bảo mật của phiên bản ứng dụng đang cung cấp cho người dùng nhằm xác định các lỗ hổng bảo mật và đánh giá khả năng can thiệp bởi tội phạm mạng.
Khi phát hiện có lỗ hổng bảo mật được đánh giá ở mức cao hoặc nghiêm trọng, đơn vị phát hành ứng dụng phải có biện pháp kiểm soát không cho thực hiện giao dịch hoặc có biện pháp kiểm soát nhằm phòng, chống tội phạm lợi dụng lỗ hổng bảo mật để tấn công mạng, thực hiện các giao dịch gian lận, chiếm đoạt tài sản.
Đồng thời, đơn vị phát triển ứng dụng phải thực hiện xử lý, khắc phục, cập nhật ngay phiên bản mới trong vòng 1 ngày đối với thành phần hệ thống kết nối trực tiếp với Internet; trong vòng 1 tháng đối với các thành phần còn lại (nếu là lỗ hổng ở mức độ nghiêm trọng) hoặc trong vòng 2 tháng đối với các thành phần còn lại (nếu lỗ hổng ở mức độ cao).
Thông tư 77 sẽ chính thức có hiệu lực từ ngày 1/3. Do vậy, những người dùng đang sử dụng các loại smartphone thuộc vào một trong 3 nhóm thiết bị kể trên cần phải có những biện pháp khắc phục thiết bị của mình để có thể tiếp tục sử dụng ứng dụng ngân hàng cho các giao dịch trực tuyến qua smartphone.
