Ngân hàng Nhà nước siết chặt an ninh mạng với quy định mới về Mobile Banking
Ngân hàng Nhàà nước siết chặt an ninh mạng cho Mobile Banking

Ngân hàng Nhà nước ban hành quy định mới siết chặt an ninh cho Mobile Banking

Ngân hàng Nhà nước Việt Nam vừa công bố Thông tư số 77/2025/TT-NHNN, sửa đổi và bổ sung một số điều của Thông tư số 50/2024/TT-NHNN về an toàn, bảo mật cho dịch vụ trực tuyến trong ngành ngân hàng. Quy định này sẽ chính thức có hiệu lực từ ngày 1 tháng 3 tới, với mục tiêu tăng cường an ninh mạng và bảo vệ tài sản của khách hàng trong bối cảnh giao dịch trực tuyến đang bùng nổ và trở thành kênh thanh toán thiết yếu.

Ứng dụng Mobile Banking phải tự động thoát khi phát hiện rủi ro

Theo Thông tư 77/2025, các tổ chức tín dụng được yêu cầu triển khai các giải pháp để phòng ngừa, phát hiện và ngăn chặn các hành vi can thiệp trái phép vào ứng dụng ngân hàng di động (Mobile Banking) đã cài đặt trên thiết bị của khách hàng. Đặc biệt, ứng dụng Mobile Banking phải tự động thoát hoặc dừng hoạt động và thông báo lý do cho khách hàng nếu phát hiện một trong ba dấu hiệu sau đây.

  1. Thiết bị có trình gỡ lỗi hoạt động: Bao gồm khi có trình gỡ lỗi được gắn vào, hoặc ứng dụng chạy trong môi trường giả lập, máy ảo, thiết bị giả lập, hoặc hoạt động ở chế độ cho phép máy tính giao tiếp trực tiếp với thiết bị Android thông qua Android Debug Bridge.
  2. Ứng dụng bị chèn mã hoặc can thiệp: Khi phần mềm ứng dụng bị chèn mã bên ngoài trong quá trình chạy, thực hiện các hành vi như theo dõi hàm, ghi lại log dữ liệu truyền qua các hàm và API, hoặc khi ứng dụng bị can thiệp và đóng gói lại.
  3. Thiết bị bị bẻ khóa hoặc mở khóa bảo vệ: Khi thiết bị đã bị bẻ khóa (root hoặc jailbreak) hoặc bị mở khóa cơ chế bảo vệ (unlock bootloader).

Nguy cơ từ việc bẻ khóa thiết bị và khuyến cáo cho người dùng

Theo hãng bảo mật Kaspersky, bẻ khóa là quá trình khai thác lỗ hổng của thiết bị điện tử bị khóa để cài đặt phần mềm ngoài những gì nhà sản xuất cung cấp, cho phép chủ sở hữu có toàn quyền truy cập vào thư mục gốc của hệ điều hành. Trong thực tế, việc bẻ khóa điện thoại có thể không xuất phát từ nhu cầu của người dùng mà do bên bán, đặc biệt với các sản phẩm xách tay. Ví dụ, các dòng máy Android nội địa thường không có tiếng Việt, thiếu chợ ứng dụng và chậm thông báo, khiến cửa hàng phải root để cài hệ điều hành quốc tế.

Banner rộng Pickt — ứng dụng danh sách mua sắm cộng tác cho Telegram

Để tránh gián đoạn giao dịch ngân hàng, các chuyên gia khuyến cáo khách hàng cần chủ động kiểm tra tình trạng thiết bị, xóa các chế độ root, jailbreak hoặc unlock bootloader. Khách hàng cũng nên cập nhật ứng dụng lên phiên bản mới nhất khi kích hoạt trên điện thoại mới hoặc cài đặt lại dịch vụ, nhằm đảm bảo tuân thủ các tiêu chuẩn an toàn.

Bổ sung quy định chống tấn công Deepfake và tầm quan trọng của đầu tư công nghệ

Ngoài các biện pháp trên, Thông tư 77/2025 cũng quy định các giải pháp phát hiện giả mạo thông tin sinh trắc học (PAD) phải đạt tiêu chuẩn quốc tế ISO 30107 cấp độ 2 hoặc tương đương, nhằm ngăn chặn các cuộc tấn công bằng trí tuệ nhân tạo như Deepfake. Các tổ chức cung cấp giải pháp này phải được các tổ chức uy tín như Liên minh FIDO công nhận.

Banner sau bài viết Pickt — ứng dụng danh sách mua sắm cộng tác với hình minh họa gia đình

Theo Ngân hàng Nhà nước, việc ban hành thông tư mới nhằm yêu cầu các tổ chức tín dụng, tổ chức cung ứng dịch vụ trung gian thanh toán và tổ chức cung ứng dịch vụ Tiền di động (Mobile Money) tăng cường giải pháp bảo mật cho ứng dụng ngân hàng. Điều này đặc biệt quan trọng trong bối cảnh hiện nay, khi có tới 90% giao dịch ngân hàng được thực hiện qua các kênh số, và việc đầu tư cho công nghệ thông tin để phòng ngừa rủi ro an ninh mạng là không thể lơ là.