Đây là nội dung đáng chú ý tại Thông tư 77/2025/TT-NHNN do Ngân hàng Nhà nước Việt Nam ban hành, sửa đổi, bổ sung một số điều của Thông tư 50/2024, nhằm siết chặt các tiêu chuẩn kỹ thuật trong cung cấp dịch vụ ngân hàng số trước bối cảnh tội phạm công nghệ cao ngày càng gia tăng.

Theo Ngân hàng Nhà nước, Thông tư 77 tập trung nâng cao mức độ an toàn cho tài khoản và tài sản của khách hàng, đặc biệt trước các hình thức gian lận sử dụng trí tuệ nhân tạo (AI), giả mạo sinh trắc học và tấn công ứng dụng ngày càng tinh vi.

Một trong những yêu cầu then chốt là các ngân hàng phải triển khai giải pháp phát hiện giả mạo sinh trắc học đáp ứng tiêu chuẩn quốc tế ISO 30107 – cấp độ 2. Đây được xem là bước nâng chuẩn quan trọng trong xác thực người dùng, đặc biệt với các giao dịch tài chính giá trị cao trên nền tảng số.

Ứng dụng ngân hàng sẽ tự động "khóa" nếu thiết bị không an toàn

Đáng chú ý, tại Điều 5 Thông tư 77, Ngân hàng Nhà nước quy định ứng dụng Mobile Banking phải có khả năng tự động phát hiện và ngừng hoạt động khi thiết bị người dùng không đáp ứng yêu cầu an toàn.

Cụ thể, ứng dụng ngân hàng sẽ bị chặn vận hành nếu phát hiện:

- Thiết bị đã root (Android) hoặc jailbreak (iOS)

- Thiết bị bị mở khóa bootloader

- Ứng dụng chạy trên môi trường giả lập

- Kích hoạt trình gỡ lỗi (debugging)

- Có dấu hiệu bị can thiệp như chèn mã lạ, hook theo dõi dữ liệu, đóng gói lại hoặc chỉnh sửa trái phép

Quy định này được coi là một "hàng rào kỹ thuật" nhằm ngăn chặn nguy cơ hacker chiếm quyền điều khiển ứng dụng ngân hàng, đánh cắp thông tin và thực hiện giao dịch gian lận.

Không cho phép sử dụng phiên bản ứng dụng cũ

Bên cạnh yêu cầu về thiết bị, Thông tư 77 cũng siết chặt việc quản lý vòng đời ứng dụng Mobile Banking. Theo đó: Người dùng không được phép hạ cấp ứng dụng xuống các phiên bản cũ tiềm ẩn rủi ro bảo mật.

Các tổ chức tín dụng phải định kỳ tối thiểu 3 tháng/lần rà soát, đánh giá và khắc phục lỗ hổng an toàn thông tin.

Không chỉ áp dụng với hệ thống ngân hàng, Thông tư 77 còn mở rộng phạm vi điều chỉnh sang các đơn vị cung ứng dịch vụ Tiền di động (Mobile Money). Các đơn vị này phải đáp ứng yêu cầu an toàn, bảo mật tương đương hệ thống ngân hàng khi cung cấp dịch vụ cho khách hàng.

Theo quy định, Thông tư 77/2025/TT-NHNN sẽ chính thức có hiệu lực từ ngày 1/3/2026.

Riêng các quy định liên quan đến thanh toán trực tuyến sẽ được triển khai theo lộ trình: Áp dụng với khách hàng cá nhân từ tháng 7/2026 và áp dụng với khách hàng tổ chức từ tháng 10/2026

Thông tư cũng bổ sung khái niệm "khách hàng tổ chức mới". Theo đó, các doanh nghiệp thiết lập quan hệ với ngân hàng trong vòng 12 tháng, trừ một số trường hợp đặc thù như cơ quan nhà nước hoặc tập đoàn lớn, sẽ phải áp dụng xác thực mạnh bằng sinh trắc học hoặc chữ ký điện tử an toàn khi sử dụng dịch vụ ngân hàng.