Ngân hàng Nhà nước Việt Nam đã ban hành Thông tư số 77/2025/TT-NHNN sửa đổi, bổ sung một số điều của Thông tư số 50/2024/TT-NHNN về an toàn, bảo mật trong cung cấp dịch vụ trực tuyến ngành ngân hàng. Thông tin này có hiệu lực từ 01/03/2026

Theo quy định mới, các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài phải định kỳ tối thiểu 3 tháng một lần đánh giá mức độ an toàn, bảo mật của các phiên bản ứng dụng Mobile Banking đang cho phép khách hàng cài đặt và sử dụng. Việc đánh giá nhằm xác định các lỗ hổng bảo mật và khả năng bị tội phạm mạng can thiệp. Trường hợp phát hiện lỗ hổng được đánh giá ở mức cao hoặc nghiêm trọng, đơn vị cung ứng dịch vụ phải có biện pháp kiểm tra, kiểm soát giao dịch, phòng ngừa gian lận, chiếm đoạt tài sản, đồng thời thực hiện xử lý, khắc phục và cập nhật phiên bản mới theo thời hạn quy định.

Thông tư 77 cũng quy định rõ việc không cho phép hạ phiên bản ứng dụng (downgrading) trong một số trường hợp. Khi khách hàng kích hoạt Mobile Banking trên thiết bị mới hoặc kích hoạt lại ứng dụng, người dùng bắt buộc phải cài đặt và sử dụng phiên bản mới nhất hoặc phiên bản gần nhất đáp ứng yêu cầu an toàn, bảo mật. Các ngân hàng phải triển khai giải pháp kỹ thuật để ngăn việc quay về sử dụng các phiên bản cũ tiềm ẩn rủi ro bảo mật.

Bên cạnh đó, các tổ chức cung ứng dịch vụ phải triển khai các giải pháp nhằm phòng, chống và phát hiện hành vi can thiệp trái phép vào ứng dụng Mobile Banking đã cài đặt trên thiết bị di động của khách hàng.

Ứng dụng Mobile Banking phải tự động thoát hoặc dừng hoạt động và thông báo cho khách hàng lý do nếu phát hiện các dấu hiệu như: thiết bị bị gắn trình gỡ lỗi (debugger), ứng dụng chạy trong môi trường giả lập (emulator), máy ảo, kết nối thông qua Android Debug Bridge; ứng dụng bị chèn mã, theo dõi hàm, ghi log dữ liệu, can thiệp API (hook) hoặc bị đóng gói lại (repacking); thiết bị đã bị root, jailbreak hoặc bị mở khóa cơ chế bảo vệ (unlock bootloader).

Một nội dung quan trọng khác được bổ sung là không cho phép chức năng ghi nhớ mã khóa bí mật truy cập Mobile Banking, trừ trường hợp áp dụng hình thức xác nhận theo quy định riêng của Ngân hàng Nhà nước. Quy định này nhằm hạn chế nguy cơ lộ thông tin đăng nhập khi người dùng làm mất thiết bị, bị cài phần mềm gián điệp hoặc sử dụng điện thoại không đảm bảo an toàn.



