Siết bảo mật ngân hàng số, Tiền di động áp chuẩn như tổ chức tín dụng

Ảnh minh hoạ: Internet

Ngân hàng Nhà nước Việt Nam (NHNN) vừa ban hành Thông tư số 77/2025/TT-NHNN sửa đổi, bổ sung một số điều của Thông tư 50/2024/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến ngành Ngân hàng.

Một trong những điểm mới đáng chú ý của Thông tư số 77/2025/TT-NHNN là việc bổ sung hoạt động cung ứng dịch vụ Tiền di động vào phạm vi điều chỉnh.

Theo đó, các tổ chức cung ứng dịch vụ Tiền di động sẽ phải tuân thủ các yêu cầu về an toàn, bảo mật tương tự như tổ chức tín dụng và tổ chức trung gian thanh toán. Quy định này nhằm bảo đảm sự thống nhất trong quản lý rủi ro, đặc biệt trong bối cảnh tiền di động ngày càng được sử dụng rộng rãi cho thanh toán và chuyển tiền điện tử.

Thông tư số 77/2025/TT-NHNN cũng bổ sung khái niệm “khách hàng tổ chức mới”, là các tổ chức được thành lập hoặc mới thiết lập quan hệ với đơn vị cung ứng dịch vụ trong vòng 12 tháng. Nhóm khách hàng này phải được đánh giá rủi ro định kỳ và áp dụng các biện pháp xác thực mạnh khi thực hiện giao dịch trực tuyến, như khớp đúng thông tin sinh trắc học hoặc sử dụng chữ ký điện tử an toàn. Quy định này không áp dụng đối với các cơ quan nhà nước, tổ chức niêm yết, tổ chức tín dụng và các tập đoàn nằm trong danh sách Fortune Global 500.

Liên quan đến an toàn ứng dụng ngân hàng, Điều 5 Thông tư số 77/2025/TT-NHNN siết chặt việc kiểm soát các phiên bản Mobile Banking được phát hành. Theo đó, tối thiểu 3 tháng một lần, các đơn vị phải thực hiện đánh giá an toàn, bảo mật đối với các phiên bản phần mềm ứng dụng đang cho phép khách hàng cài đặt và sử dụng. Việc đánh giá nhằm phát hiện các lỗ hổng bảo mật và xác định nguy cơ bị can thiệp, khai thác bởi tội phạm mạng.

Trong trường hợp khách hàng kích hoạt ứng dụng Mobile Banking trên thiết bị mới hoặc kích hoạt lại ứng dụng, đơn vị cung cấp dịch vụ phải yêu cầu khách hàng cài đặt và sử dụng phiên bản mới nhất hoặc phiên bản gần nhất đáp ứng đầy đủ các yêu cầu về an toàn, bảo mật theo quy định. Đồng thời, các đơn vị phải có giải pháp kỹ thuật để ngăn chặn việc hạ phiên bản (downgrading) xuống các phiên bản thấp hơn, tiềm ẩn nguy cơ mất an toàn thông tin.

Khi phát hiện lỗ hổng bảo mật được đánh giá ở mức cao hoặc nghiêm trọng, tổ chức cung ứng dịch vụ phải áp dụng biện pháp kiểm soát, không cho phép thực hiện giao dịch hoặc triển khai các biện pháp phòng ngừa nhằm ngăn chặn tội phạm mạng lợi dụng lỗ hổng để tấn công, thực hiện giao dịch gian lận và chiếm đoạt tài sản. Đơn vị phải xử lý, khắc phục và cập nhật phiên bản mới trong thời gian quy định tại Thông tư.

Thông tư số 77/2025/TT-NHNN cũng yêu cầu các tổ chức tín dụng và đơn vị cung cấp dịch vụ thanh toán triển khai giải pháp phòng, chống và phát hiện các hành vi can thiệp trái phép vào ứng dụng Mobile Banking đã cài đặt trên thiết bị của khách hàng.

Theo đó, ứng dụng Mobile Banking phải tự động thoát hoặc dừng hoạt động và thông báo rõ lý do cho khách hàng khi phát hiện một trong ba dấu hiệu rủi ro.

Thứ nhất, có trình gỡ lỗi (debugger) được gắn vào hoặc môi trường có trình gỡ lỗi đang hoạt động; hoặc khi ứng dụng chạy trong môi trường giả lập (emulator)/máy ảo/thiết bị giả lập; hoặc hoạt động ở chế độ cho phép máy tính giao tiếp trực tiếp với thiết bị Android (Android Debug Bridge).

Thứ hai, phần mềm ứng dụng bị chèn mã bên ngoài ứng dụng khi đang chạy, thực hiện các hành vi như theo dõi các hàm được chạy, ghi lại log dữ liệu truyền qua các hàm, API (hook); hoặc phần mềm ứng dụng bị can thiệp, đóng gói lại (repacking).

Thứ ba, thiết bị đã bị phá khóa (root/jailbreak); hoặc bị mở khóa cơ chế bảo vệ (unlock bootloader).

Để đối phó với các hình thức tấn công ngày càng tinh vi, đặc biệt là tấn công bằng trí tuệ nhân tạo như Deepfake, Thông tư số 77/2025/TT-NHNN quy định giải pháp phát hiện giả mạo thông tin sinh trắc học (PAD) phải đáp ứng tiêu chuẩn quốc tế ISO 30107 cấp độ 2 hoặc tiêu chuẩn tương đương. Các tổ chức cung cấp giải pháp này phải được các tổ chức uy tín như Liên minh FIDO công nhận.