Ngân hàng Nhà nước Việt Nam vừa ban hành Thông tư số 77/2025/TT-NHNN sửa đổi, bổ sung một số điều của Thông tư số 50/2024/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành ngân hàng. Quy định mới này chính thức có hiệu lực từ ngày 1/3/2026, áp dụng đối với các tổ chức tín dụng, tổ chức cung ứng dịch vụ trung gian thanh toán và tổ chức cung ứng dịch vụ Tiền di động (Mobile Money). Việc bổ sung các yêu cầu kỹ thuật này nhằm tăng cường an ninh mạng và bảo vệ tài sản của khách hàng trong bối cảnh giao dịch trực tuyến đã trở thành kênh thanh toán thiết yếu.

Theo quy định tại Điều 5, Thông tư 77/2025/TT-NHNN, ứng dụng Mobile Banking bắt buộc phải tự động thoát hoặc dừng hoạt động, đồng thời thông báo rõ lý do cho khách hàng nếu phát hiện một trong ba nhóm dấu hiệu rủi ro nghiêm trọng.

Thứ nhất, ứng dụng phát hiện có trình gỡ lỗi (debugger) được gắn vào hoặc môi trường có trình gỡ lỗi đang hoạt động; khi ứng dụng chạy trong môi trường giả lập (emulator), máy ảo, thiết bị giả lập hoặc hoạt động ở chế độ cho phép máy tính giao tiếp trực tiếp với thiết bị Android (Android Debug Bridge).

Thứ hai là trường hợp phần mềm ứng dụng bị chèn mã bên ngoài ứng dụng khi đang chạy để thực hiện các hành vi như theo dõi các hàm được chạy, ghi lại log dữ liệu truyền qua các hàm, API hoặc phần mềm ứng dụng bị can thiệp, đóng gói lại.

Thứ ba, hệ thống sẽ tự động ngăn chặn nếu thiết bị di động của khách hàng đã bị phá khóa hệ điều hành (root đối với Android hoặc jailbreak đối với iOS) hoặc bị mở khóa cơ chế bảo vệ hệ thống (unlock bootloader).

Đáng chú ý, các đơn vị cung ứng dịch vụ phải thực hiện kiểm soát chặt chẽ phiên bản cài đặt của ứng dụng. Định kỳ tối thiểu 3 tháng một lần, đơn vị phải đánh giá an toàn, bảo mật của các phiên bản phần mềm đang cho phép khách hàng sử dụng nhằm xác định các lỗ hổng bảo mật và đánh giá khả năng bị can thiệp bởi tội phạm mạng. Khi phát hiện lỗ hổng ở mức cao hoặc nghiêm trọng, đơn vị phải có biện pháp kiểm soát không cho thực hiện giao dịch, đồng thời xử lý, khắc phục và cập nhật ngay phiên bản mới theo thời gian quy định.

Trường hợp khách hàng kích hoạt trên thiết bị mới hoặc kích hoạt lại ứng dụng, đơn vị chỉ được phép cho khách hàng cài đặt, sử dụng phiên bản mới nhất hoặc phiên bản gần nhất bảo đảm các yêu cầu về an toàn. Đặc biệt, các tổ chức phải có giải pháp kỹ thuật ngăn chặn việc hạ phiên bản (downgrading) xuống các phiên bản thấp hơn trong trường hợp này.

Nhằm ứng phó với các hình thức tấn công công nghệ cao như giả mạo sinh trắc học bằng trí tuệ nhân tạo (Deepfake), Thông tư 77 cũng quy định giải pháp phát hiện giả mạo thông tin sinh trắc học (PAD) phải đạt tiêu chuẩn quốc tế ISO 30107 cấp độ 2 (Level 2) hoặc tương đương. Các tổ chức cung cấp giải pháp này phải được các tổ chức uy tín quốc tế, điển hình như Liên minh FIDO, công nhận.

Với các quy định mới này, Ngân hàng Nhà nước kỳ vọng sẽ nâng cao mức độ an toàn và củng cố niềm tin của người dùng trong quá trình sử dụng các dịch vụ tài chính trực tuyến.