Sau hai năm áp dụng với khách hàng cá nhân, các ngân hàng (NH) tiếp tục mở rộng yêu cầu xác thực sinh trắc học đối với doanh nghiệp (DN) mới thành lập khi thực hiện giao dịch trực tuyến, đặc biệt là chuyển tiền trên 50 triệu đồng. Quy định này nằm trong Thông tư 77/2025 của Ngân hàng Nhà nước (NHNN) về an toàn, bảo mật dịch vụ trực tuyến, có hiệu lực từ năm 2026.
Vietcombank và TPBank tiên phong áp dụng
Vietcombank yêu cầu các DN thành lập trong vòng 12 tháng bắt buộc xác thực bằng thông tin sinh trắc học của người duyệt lệnh cuối cùng, kết hợp với SmartOTP hoặc Hard Token khi xác nhận giao dịch trên VCB DigiBiz và VCB-iB@nking. Các giao dịch chịu áp dụng gồm: chuyển tiền trong hệ thống (trừ chuyển giữa các tài khoản cùng chủ), chuyển tiền nhanh 24/7, chuyển tiền mặt, chuyển tiền từ thiện, thanh toán hóa đơn, QR, mua sắm, nộp ngân sách nhà nước và nạp tiền. Ngưỡng giao dịch phải xác thực sinh trắc học là trên 50 triệu đồng, hoặc dưới 50 triệu nhưng tổng lũy kế trong ngày vượt 100 triệu đồng.
TPBank cũng triển khai tương tự nhưng linh hoạt hơn: hệ thống TPBank Biz không áp dụng hạn mức chung mà thiết lập yêu cầu xác thực riêng dựa trên từng tổ chức. Cụ thể, nhóm hộ kinh doanh và DN siêu nhỏ áp dụng chế độ kế toán đơn giản sẽ cần xác thực khuôn mặt kết hợp OTP khi chuyển tiền hoặc giao dịch ví điện tử trên 10 triệu đồng/lần hoặc trên 20 triệu đồng/ngày; thanh toán hóa đơn trên 100 triệu đồng (một lần hoặc trong ngày); và chuyển tiền quốc tế.
Ngoài Vietcombank và TPBank, các NH khác như ACB, VIB cũng đã phát thông báo yêu cầu DN thực hiện cài đặt sinh trắc học theo Thông tư 77/2025.
Ngăn chặn doanh nghiệp ma và lừa đảo
Cách đây hai năm, NH đã yêu cầu khách hàng cá nhân cài đặt sinh trắc học khi chuyển tiền trên 10 triệu đồng. Ngay sau đó, thị trường xuất hiện tình trạng thành lập DN ma để tạo nhiều tài khoản nhận tiền lừa đảo. Mới đây, Công an tỉnh Hưng Yên khởi tố 5 bị can trong đường dây lập công ty ma, mở hơn 100 tài khoản NH doanh nghiệp rồi bán cho tội phạm tại Campuchia.
Ông Võ Đỗ Thắng, Giám đốc Trung tâm An ninh mạng Athena, nhận xét: “Quy định DN mới thành lập cài đặt sinh trắc học khi chuyển khoản là bước siết chặt tình trạng thành lập DN ma để mở tài khoản nhận tiền lừa đảo. Thời gian qua, tình trạng thuê người lao động đứng tên thành lập công ty diễn ra, kẻ lừa đảo dùng tư cách DN để mở tài khoản nhiều NH nhằm nhận tiền lừa đảo rồi chuyển đi hoặc rút ra. Một số vụ việc, người đại diện pháp luật của DN không hề biết. Hiện nay, việc thực hiện sinh trắc học đã phổ biến với cá nhân nên các chủ DN cũng không gặp trở ngại”.
NHNN yêu cầu chống giả mạo sinh trắc học
Cuối năm 2025, NHNN ban hành quy định về an toàn, bảo mật dịch vụ trực tuyến trước tình hình tội phạm công nghệ cao lợi dụng lỗ hổng bảo mật để vượt qua xác thực sinh trắc học, chiếm đoạt và mua bán tài khoản phục vụ tội phạm. NHNN phối hợp với Bộ Công an triển khai Đề án 06 để làm sạch dữ liệu, đối chiếu thông tin sinh trắc học của khách hàng. Tính đến hết ngày 26.6, ngành NH đã đối chiếu hơn 162,9 triệu hồ sơ cá nhân và hơn 2,6 triệu hồ sơ tổ chức qua căn cước công dân gắn chip hoặc VNeID, đạt 100% tài khoản phát sinh giao dịch trên kênh số. 57 tổ chức tín dụng và 39 trung gian thanh toán đã triển khai ứng dụng thẻ CCCD gắn chip qua điện thoại; 64 tổ chức tín dụng triển khai qua thiết bị tại quầy; 22 NH và 7 trung gian thanh toán đã tích hợp VneID.
NHNN còn yêu cầu các NH phải đảm bảo giải pháp khớp thông tin sinh trắc học có khả năng phát hiện tấn công giả mạo vật thể sống (PAD) để chống gian lận qua hình ảnh, video, mặt nạ 3D, có hiệu lực từ ngày 1.7.2026. Định kỳ kiểm thử hệ thống bằng mô phỏng tấn công Deepfake để đánh giá khả năng phòng thủ.
Đồng thời, NH triển khai giải pháp phòng, chống can thiệp trái phép vào ứng dụng Mobile Banking. Ứng dụng phải tự động thoát hoặc dừng hoạt động và thông báo lý do nếu phát hiện thiết bị bị root/jailbreak, unlock bootloader, có debugger, chạy trong môi trường giả lập, hoặc có Android Debug Bridge. Phần mềm bị chèn mã hook hoặc bị repacking cũng bị phát hiện. Các quy định này có hiệu lực từ ngày 1.3.2026.



