Nội dung chính
Thông tư 77/2025/TT-NHNN sẽ có hiệu lực từ 1/3/2026, đưa ra loạt yêu cầu mới nhằm nâng cao an ninh mạng và bảo vệ tài sản khách hàng khi giao dịch Mobile Banking.
1. Tổng quan về Thông tư 77/2025/TT-NHNN
Ngân hàng Nhà nước (NHNN) vừa công bố Thông tư số 77/2025/TT-NHNN, sửa đổi, bổ sung một số điều của Thông tư 50/2024/TT-NHNN. Mục tiêu chính là tăng cường an ninh mạng và giảm thiểu rủi ro trong bối cảnh ngân hàng số ngày càng phổ biến. Thông tư sẽ chính thức có hiệu lực từ ngày 1/3/2026.
2. Quản lý phiên bản ứng dụng Mobile Banking
Theo quy định mới, các tổ chức tín dụng phải thực hiện đánh giá an toàn, bảo mật tối thiểu mỗi 3 tháng đối với mọi phiên bản Mobile Banking đang được khách hàng cài đặt. Mục đích là phát hiện sớm lỗ hổng, ngăn chặn tội phạm mạng lợi dụng.
- Khi khách hàng kích hoạt ứng dụng trên thiết bị mới hoặc thực hiện kích hoạt lại, ngân hàng chỉ được phép cung cấp phiên bản mới nhất hoặc gần nhất đáp ứng đầy đủ tiêu chuẩn bảo mật.
- Phải triển khai giải pháp kỹ thuật ngăn chặn downgrading – việc hạ cấp ứng dụng xuống các phiên bản cũ có nguy cơ bảo mật cao.
3. Xử lý lỗ hổng bảo mật nghiêm trọng
Nếu một lỗ hổng được đánh giá ở mức cao hoặc nghiêm trọng, ngân hàng phải:
- Áp dụng ngay các biện pháp kiểm soát, bao gồm tạm dừng hoặc hạn chế giao dịch có nguy cơ bị tấn công.
- Khẩn trương sửa chữa, phát hành bản cập nhật mới và thông báo cho khách hàng theo thời hạn quy định.
- Ghi nhận, báo cáo chi tiết cho NHNN và các cơ quan quản lý liên quan.
4. Phòng ngừa can thiệp trái phép vào thiết bị khách hàng
Ứng dụng Mobile Banking phải có khả năng tự động phát hiện và ngừng hoạt động khi gặp các dấu hiệu:
- Thiết bị bị gắn trình gỡ lỗi (debugger) hoặc chạy trên môi trường giả lập.
- Phát hiện mã độc, chèn mã, hoặc các phần mềm can thiệp trái phép.
- Thiết bị đã bị root, jailbreak hoặc mở khóa bootloader.
Khi phát hiện, ứng dụng phải thông báo rõ lý do và hướng dẫn khách hàng khôi phục môi trường an toàn.
5. Đối phó với gian lận sử dụng trí tuệ nhân tạo
Với sự gia tăng của công nghệ deepfake và các hình thức giả mạo sinh trắc học (PAD), Thông tư 77 yêu cầu:
- Giải pháp phát hiện PAD phải đạt tiêu chuẩn quốc tế ISO 30107 cấp độ 2 hoặc tương đương.
- Giải pháp phải được các tổ chức uy tín như Liên minh FIDO công nhận.
- Ngân hàng phải duy trì quy trình kiểm thử định kỳ để đảm bảo hiệu quả phát hiện.
6. Kết luận
Thông tư 77/2025/TT-NHNN đặt ra một chuẩn mực mới cho bảo mật Mobile Banking tại Việt Nam, từ việc quản lý phiên bản chặt chẽ, phản ứng nhanh khi phát hiện lỗ hổng, đến việc ngăn chặn các kỹ thuật tấn công bằng AI. Đối với người dùng, việc cập nhật phiên bản mới nhất và duy trì thiết bị trong trạng thái không root là bước bảo vệ tối ưu.
Những thay đổi này không chỉ bảo vệ tài sản cá nhân mà còn nâng cao niềm tin vào hệ sinh thái ngân hàng số.
—
Ngọc Diễm