App ngân hàng phải ngừng hoạt động nếu phát hiện điện thoại bị chiếm quyền điều khiển, chèn mã độc

Ngân hàng Nhà nước Việt Nam (NHNN) vừa ban hành Thông tư số 77/2025/TT-NHNN sửa đổi, bổ sung một số điều của Thông tư 50/2024/TT-NHNN. Thông tư nhằm tăng cường an ninh mạng và bảo vệ tài sản của khách hàng trong bối cảnh các giao dịch trực tuyến ngày càng phổ biến.

Một trong những điểm mới đáng chú ý là việc bổ sung hoạt động cung ứng dịch vụ Tiền di động (Mobile Money) vào phạm vi điều chỉnh. Theo đó, các tổ chức cung ứng dịch vụ Tiền di động sẽ phải tuân thủ các quy định nghiêm ngặt về an toàn, bảo mật tương tự như các tổ chức tín dụng và trung gian thanh toán.

Ngoài ra, Thông tư 77 bổ sung khái niệm "Khách hàng tổ chức mới", bao gồm các tổ chức thành lập hoặc mới thiết lập quan hệ với đơn vị trong vòng 12 tháng. Nhóm này sẽ được đánh giá rủi ro định kỳ và phải áp dụng các hình thức xác thực mạnh như khớp đúng thông tin sinh trắc học hoặc chữ ký điện tử an toàn khi giao dịch.

Quy định này ngoại trừ các cơ quan nhà nước, tổ chức niêm yết, tổ chức tín dụng, các tập đoàn trong danh sách Fortune Global 500…

Ngân hàng Nhà nước bổ sung hàng loạt quy định nhằm bảo vệ khách hàng trong giao dịch trực tuyến

Đặc biệt, Thông tư 77 bổ sung hàng loạt quy định mới nhằm đảm bảo việc sử dụng các ứng dụng Mobile Banking của khách hàng được an toàn hơn.

Cụ thể, Thông tư quy định, định kỳ tối thiểu 3 tháng một lần, đơn vị phải đánh giá an toàn, bảo mật của các phiên bản phần mềm ứng dụng đang cho phép khách hàng cài đặt, sử dụng nhằm xác định các lỗ hổng bảo mật và đánh giá khả năng bị can thiệp bởi tội phạm mạng.

Trường hợp khách hàng kích hoạt trên thiết bị mới hoặc kích hoạt lại ứng dụng Mobile Banking, khách hàng phải cài đặt, sử dụng phiên bản mới nhất hoặc phiên bản gần nhất bảo đảm các yêu cầu về an toàn, bảo mật theo quy định. Đơn vị phải có giải pháp kiểm soát không cho phép hạ phiên bản (downgrading) xuống sử dụng các phiên bản thấp hơn trong trường hợp này.

Khi phát hiện có lỗ hổng bảo mật được đánh giá ở mức cao hoặc nghiêm trọng, đơn vị phải có biện pháp kiểm soát không cho thực hiện giao dịch hoặc có biện pháp kiểm soát nhằm phòng, chống tội phạm lợi dụng lỗ hổng bảo mật để tấn công mạng, thực hiện các giao dịch gian lận, chiếm đoạt tài sản; đồng thời đơn vị phải thực hiện xử lý, khắc phục, cập nhật ngay phiên bản mới trong thời gian theo quy định tại khoản 6 Điều 14 Thông tư này.

Đặc biệt, Thông tư yêu cầu tổ chức tín dụng phải triển khai các giải pháp nhằm phòng, chống, phát hiện các hành vi can thiệp trái phép vào ứng dụng Mobile Banking đã cài đặt trong thiết bị di động của khách hàng.

Theo đó, ứng dụng Mobile Banking phải tự động thoát hoặc dừng hoạt động và thông báo cho khách hàng lý do nếu phát hiện một trong 3 dấu hiệu sau.

Thứ nhất, có trình gỡ lỗi (debugger) được gắn vào hoặc môi trường có trình gỡ lỗi đang hoạt động; hoặc khi ứng dụng chạy trong môi trường giả lập (emulator)/máy ảo/thiết bị giả lập; hoặc hoạt động ở chế độ cho phép máy tính giao tiếp trực tiếp với thiết bị Android (Android Debug Bridge).

Thứ hai, phần mềm ứng dụng bị chèn mã bên ngoài ứng dụng khi đang chạy, thực hiện các hành vi như theo dõi các hàm được chạy, ghi lại log dữ liệu truyền qua các hàm, API (hook); hoặc phần mềm ứng dụng bị can thiệp, đóng gói lại (repacking);

Thứ ba, thiết bị đã bị phá khóa (root/jailbreak); hoặc bị mở khóa cơ chế bảo vệ (unlock bootloader).

Ngoài ra, nhằm ngăn chặn các cuộc tấn công bằng trí tuệ nhân tạo (Deepfake), Thông tư quy định giải pháp phát hiện giả mạo thông tin sinh trắc học (PAD) phải đạt tiêu chuẩn quốc tế ISO 30107 cấp độ 2 (Level 2) hoặc tương đương. Các tổ chức cung cấp giải pháp này phải được các tổ chức uy tín như Liên minh FIDO công nhận.

Các quy định trên sẽ chính thức có hiệu lực từ ngày 1/3/2026.

Hà Loan