Hoàng Anh
Writer
Một thay đổi quan trọng sắp diễn ra trong hệ thống ngân hàng số tại Việt Nam sẽ tác động trực tiếp đến thói quen sử dụng thiết bị di động của hàng triệu người dùng. Theo thông báo mới nhất, các ngân hàng lớn như Vietcombank, Agribank, BIDV, VietinBank, VPBank, MB, TPBank cùng nhiều tổ chức tín dụng khác sẽ buộc phải ngừng cung cấp dịch vụ Mobile Banking trên các thiết bị không đảm bảo tiêu chuẩn an toàn bảo mật. Đây là động thái nhằm tuân thủ Thông tư 77/2025/TT-NHNN do Ngân hàng Nhà nước Việt Nam vừa ban hành, dự kiến có hiệu lực chính thức từ ngày 1/3/2026.
Thiết lập "hàng rào kỹ thuật" chặn đứng thiết bị kém an toàn
Thông tư 77/2025/TT-NHNN được ban hành nhằm sửa đổi, bổ sung một số điều của Thông tư 50/2024, tập trung vào việc siết chặt các tiêu chuẩn kỹ thuật trước bối cảnh tội phạm công nghệ cao đang gia tăng với các thủ đoạn ngày càng tinh vi. Quy định đáng chú ý nhất nằm tại Điều 5 của Thông tư, yêu cầu các ứng dụng Mobile Banking phải được trang bị khả năng tự động phát hiện và ngay lập tức ngừng hoạt động nếu nhận thấy thiết bị của người dùng không đáp ứng các yêu cầu về an toàn.
Cụ thể, ứng dụng ngân hàng sẽ bị "treo" hoặc khóa quyền truy cập nếu hệ thống phát hiện điện thoại của người dùng đã bị can thiệp vào hệ điều hành. Đối với thiết bị Android, điều này áp dụng cho các máy đã bị bẻ khóa quyền truy cập gốc (Root), còn với thiết bị iOS là các máy đã bị Jailbreak. Ngoài ra, các thiết bị đã mở khóa bộ nạp khởi động (bootloader), thiết bị kích hoạt chế độ gỡ lỗi (debugging) hoặc các ứng dụng chạy trên môi trường giả lập cũng nằm trong danh sách bị chặn. Quy định cũng nghiêm cấm các thiết bị có dấu hiệu bị can thiệp sâu như chèn mã lạ, sử dụng kỹ thuật hook để theo dõi dữ liệu, hoặc ứng dụng bị đóng gói lại và chỉnh sửa trái phép. Đây được xem là biện pháp mạnh tay nhằm ngăn chặn tin tặc chiếm quyền điều khiển, nghe lén hoặc đánh cắp thông tin tài chính từ các thiết bị đã mất đi lớp bảo mật gốc của nhà sản xuất.
Nâng chuẩn sinh trắc học và quản lý vòng đời ứng dụng
Bên cạnh việc sàng lọc thiết bị, Ngân hàng Nhà nước cũng đặt ra các tiêu chuẩn cao hơn về xác thực người dùng để đối phó với nạn giả mạo bằng trí tuệ nhân tạo (AI) và Deepfake. Các ngân hàng bắt buộc phải triển khai giải pháp phát hiện giả mạo sinh trắc học đáp ứng tiêu chuẩn quốc tế ISO 30107 ở cấp độ 2. Việc nâng cấp này nhằm đảm bảo rằng khuôn mặt hoặc vân tay được sử dụng để xác thực giao dịch là của người thật, không phải là sản phẩm giả mạo từ các công cụ kỹ thuật số, đặc biệt quan trọng đối với các giao dịch tài chính có giá trị lớn.
Đồng thời, Thông tư 77 cũng siết chặt quy trình quản lý phiên bản ứng dụng. Người dùng sẽ không được phép hạ cấp ứng dụng Mobile Banking xuống các phiên bản cũ hơn vốn tiềm ẩn nhiều lỗ hổng bảo mật đã được vá. Các tổ chức tín dụng cũng phải chịu trách nhiệm rà soát, đánh giá và khắc phục các lỗ hổng an toàn thông tin định kỳ tối thiểu 3 tháng một lần để đảm bảo hệ thống luôn trong trạng thái phòng thủ tốt nhất.
Lộ trình triển khai và phạm vi ảnh hưởng
Quy định mới không chỉ giới hạn trong phạm vi các ngân hàng thương mại mà còn mở rộng sang các đơn vị cung ứng dịch vụ Tiền di động (Mobile Money), yêu cầu các đơn vị này phải đáp ứng tiêu chuẩn an toàn tương đương. Về lộ trình thực hiện, Thông tư 77 sẽ bắt đầu có hiệu lực thi hành từ ngày 1/3/2026. Tuy nhiên, các quy định cụ thể liên quan đến thanh toán trực tuyến sẽ có độ trễ nhất định để các bên kịp chuẩn bị. Cụ thể, quy định sẽ áp dụng đối với khách hàng cá nhân từ tháng 7/2026 và đối với khách hàng tổ chức từ tháng 10/2026.
Ngoài ra, Thông tư cũng bổ sung khái niệm "khách hàng tổ chức mới", yêu cầu các doanh nghiệp thiết lập quan hệ với ngân hàng trong vòng 12 tháng (trừ các trường hợp đặc thù như cơ quan nhà nước hoặc tập đoàn lớn) phải áp dụng xác thực mạnh bằng sinh trắc học hoặc chữ ký điện tử an toàn. Những thay đổi này đánh dấu một bước ngoặt trong nỗ lực của cơ quan quản lý nhằm làm sạch môi trường thanh toán số và bảo vệ tài sản của người dân trước làn sóng tội phạm mạng đang bùng nổ.
Thiết lập "hàng rào kỹ thuật" chặn đứng thiết bị kém an toàn
Thông tư 77/2025/TT-NHNN được ban hành nhằm sửa đổi, bổ sung một số điều của Thông tư 50/2024, tập trung vào việc siết chặt các tiêu chuẩn kỹ thuật trước bối cảnh tội phạm công nghệ cao đang gia tăng với các thủ đoạn ngày càng tinh vi. Quy định đáng chú ý nhất nằm tại Điều 5 của Thông tư, yêu cầu các ứng dụng Mobile Banking phải được trang bị khả năng tự động phát hiện và ngay lập tức ngừng hoạt động nếu nhận thấy thiết bị của người dùng không đáp ứng các yêu cầu về an toàn.
Cụ thể, ứng dụng ngân hàng sẽ bị "treo" hoặc khóa quyền truy cập nếu hệ thống phát hiện điện thoại của người dùng đã bị can thiệp vào hệ điều hành. Đối với thiết bị Android, điều này áp dụng cho các máy đã bị bẻ khóa quyền truy cập gốc (Root), còn với thiết bị iOS là các máy đã bị Jailbreak. Ngoài ra, các thiết bị đã mở khóa bộ nạp khởi động (bootloader), thiết bị kích hoạt chế độ gỡ lỗi (debugging) hoặc các ứng dụng chạy trên môi trường giả lập cũng nằm trong danh sách bị chặn. Quy định cũng nghiêm cấm các thiết bị có dấu hiệu bị can thiệp sâu như chèn mã lạ, sử dụng kỹ thuật hook để theo dõi dữ liệu, hoặc ứng dụng bị đóng gói lại và chỉnh sửa trái phép. Đây được xem là biện pháp mạnh tay nhằm ngăn chặn tin tặc chiếm quyền điều khiển, nghe lén hoặc đánh cắp thông tin tài chính từ các thiết bị đã mất đi lớp bảo mật gốc của nhà sản xuất.
Nâng chuẩn sinh trắc học và quản lý vòng đời ứng dụng
Bên cạnh việc sàng lọc thiết bị, Ngân hàng Nhà nước cũng đặt ra các tiêu chuẩn cao hơn về xác thực người dùng để đối phó với nạn giả mạo bằng trí tuệ nhân tạo (AI) và Deepfake. Các ngân hàng bắt buộc phải triển khai giải pháp phát hiện giả mạo sinh trắc học đáp ứng tiêu chuẩn quốc tế ISO 30107 ở cấp độ 2. Việc nâng cấp này nhằm đảm bảo rằng khuôn mặt hoặc vân tay được sử dụng để xác thực giao dịch là của người thật, không phải là sản phẩm giả mạo từ các công cụ kỹ thuật số, đặc biệt quan trọng đối với các giao dịch tài chính có giá trị lớn.
Đồng thời, Thông tư 77 cũng siết chặt quy trình quản lý phiên bản ứng dụng. Người dùng sẽ không được phép hạ cấp ứng dụng Mobile Banking xuống các phiên bản cũ hơn vốn tiềm ẩn nhiều lỗ hổng bảo mật đã được vá. Các tổ chức tín dụng cũng phải chịu trách nhiệm rà soát, đánh giá và khắc phục các lỗ hổng an toàn thông tin định kỳ tối thiểu 3 tháng một lần để đảm bảo hệ thống luôn trong trạng thái phòng thủ tốt nhất.
Lộ trình triển khai và phạm vi ảnh hưởng
Quy định mới không chỉ giới hạn trong phạm vi các ngân hàng thương mại mà còn mở rộng sang các đơn vị cung ứng dịch vụ Tiền di động (Mobile Money), yêu cầu các đơn vị này phải đáp ứng tiêu chuẩn an toàn tương đương. Về lộ trình thực hiện, Thông tư 77 sẽ bắt đầu có hiệu lực thi hành từ ngày 1/3/2026. Tuy nhiên, các quy định cụ thể liên quan đến thanh toán trực tuyến sẽ có độ trễ nhất định để các bên kịp chuẩn bị. Cụ thể, quy định sẽ áp dụng đối với khách hàng cá nhân từ tháng 7/2026 và đối với khách hàng tổ chức từ tháng 10/2026.
Ngoài ra, Thông tư cũng bổ sung khái niệm "khách hàng tổ chức mới", yêu cầu các doanh nghiệp thiết lập quan hệ với ngân hàng trong vòng 12 tháng (trừ các trường hợp đặc thù như cơ quan nhà nước hoặc tập đoàn lớn) phải áp dụng xác thực mạnh bằng sinh trắc học hoặc chữ ký điện tử an toàn. Những thay đổi này đánh dấu một bước ngoặt trong nỗ lực của cơ quan quản lý nhằm làm sạch môi trường thanh toán số và bảo vệ tài sản của người dân trước làn sóng tội phạm mạng đang bùng nổ.
