Mobile Banking phải đáp ứng chuẩn bảo mật mới từ ngày 1/3/2026
Ngân hàng Nhà nước ban hành Thông tư 77/2025/TT-NHNN yêu cầu siết chặt quản lý phiên bản ứng dụng và nâng cấp tiêu chuẩn nhận diện sinh trắc học để phòng chống tội phạm công nghệ cao.
Ngân hàng Nhà nước Việt Nam (NHNN) vừa chính thức ban hành Thông tư số 77/2025/TT-NHNN về việc sửa đổi, bổ sung một số điều của Thông tư 50/2024/TT-NHNN. Văn bản pháp lý mới này đặt ra những yêu cầu khắt khe hơn đối với các tổ chức tín dụng trong việc quản lý hệ thống Mobile Banking, nhằm đối phó với các hình thức tội phạm mạng đang ngày càng tinh vi.
Định kỳ đánh giá an toàn ứng dụng 3 tháng một lần
Theo quy định mới có hiệu lực từ ngày 1/3/2026, các ngân hàng và tổ chức tín dụng bắt buộc phải tổ chức đánh giá mức độ an toàn và bảo mật đối với toàn bộ các phiên bản ứng dụng Mobile Banking đang lưu hành tối thiểu 3 tháng một lần. Hoạt động này nhằm mục đích rà soát, phát hiện và khắc phục kịp thời các lỗ hổng bảo mật có thể bị tội phạm khai thác.
Đáng chú ý, khi khách hàng thực hiện kích hoạt ứng dụng trên thiết bị mới hoặc kích hoạt lại dịch vụ, các tổ chức tín dụng chỉ được phép cung cấp phiên bản mới nhất hoặc phiên bản gần nhất đã đáp ứng đầy đủ các tiêu chuẩn an toàn. Quy định này cũng yêu cầu các đơn vị phải triển khai giải pháp kỹ thuật để ngăn chặn triệt để việc người dùng hạ cấp ứng dụng xuống các phiên bản thấp hơn vốn tiềm ẩn nhiều rủi ro bảo mật.
Tạm dừng giao dịch khi phát hiện lỗ hổng nghiêm trọng
Thông tư 77/2025/TT-NHNN quy định rõ quy trình xử lý khi phát hiện các nguy cơ bảo mật. Trường hợp ghi nhận lỗ hổng được đánh giá ở mức độ cao hoặc nghiêm trọng, tổ chức tín dụng phải ngay lập tức áp dụng các biện pháp kiểm soát, bao gồm cả việc hạn chế hoặc tạm dừng giao dịch. Điều này giúp ngăn chặn các hành vi tấn công hệ thống và chiếm đoạt tài sản của khách hàng trong thời gian chờ khắc phục và cập nhật phiên bản mới.
Ngoài ra, ứng dụng Mobile Banking phải được trang bị tính năng tự động phát hiện các hành vi can thiệp trái phép. Ứng dụng sẽ tự động dừng hoạt động hoặc thoát hệ thống nếu nhận diện thiết bị của khách hàng có dấu hiệu bị root, jailbreak, mở khóa bootloader, chạy trên môi trường giả lập hoặc bị chèn mã độc, trình gỡ lỗi.
Nâng cấp tiêu chuẩn chống giả mạo Deepfake
Trước sự bùng nổ của các hình thức gian lận sử dụng trí tuệ nhân tạo, Ngân hàng Nhà nước yêu cầu các giải pháp phát hiện giả mạo sinh trắc học (Presentation Attack Detection – PAD) phải đạt tiêu chuẩn quốc tế ISO 30107 cấp độ 2 hoặc tương đương.
Các giải pháp này cần được công nhận bởi những tổ chức uy tín hàng đầu như Liên minh FIDO. Việc áp dụng chuẩn ISO 30107 cấp độ 2 sẽ giúp tăng cường khả năng nhận diện các cuộc tấn công bằng hình ảnh, video giả mạo (Deepfake), từ đó đảm bảo tính xác thực cao nhất cho mỗi giao dịch ngân hàng số của người dùng Việt Nam trong tương lai.