Siết xác thực giao dịch ngân hàng với tổ chức mới thành lập
Từ ngày 1/3/2026, các doanh nghiệp, tổ chức được thành lập dưới 12 tháng hoặc mới thiết lập quan hệ giao dịch trong vòng 12 tháng sẽ phải thực hiện xác thực sinh trắc học hoặc sử dụng chữ ký điện tử an toàn khi thực hiện các giao dịch có giá trị từ 50 triệu đồng trở lên, hoặc khi tổng giá trị giao dịch trong ngày vượt quá 100 triệu đồng.
Quy định trên được nêu tại Thông tư số 77/2025/TT-NHNN do Ngân hàng Nhà nước ban hành, có hiệu lực từ ngày 1/3/2026. Thông tư được xây dựng trong bối cảnh tội phạm công nghệ cao ngày càng tinh vi, lợi dụng tài khoản doanh nghiệp “ma”, kết hợp công nghệ deepfake, mã độc và các hình thức giả mạo để thực hiện hành vi gian lận, chiếm đoạt tài sản.
Theo Ngân hàng Nhà nước, Thông tư 77 tập trung bổ sung các biện pháp tăng cường xác thực đối với nhóm khách hàng tổ chức có mức độ rủi ro cao. Văn bản này có bốn điểm mới đáng chú ý, gồm: mở rộng phạm vi điều chỉnh bao phủ toàn diện hệ sinh thái số; siết chặt yêu cầu xác thực đối với khách hàng tổ chức rủi ro cao; chuẩn hóa yêu cầu an toàn kỹ thuật theo các tiêu chuẩn quốc tế; và nâng cao khả năng tự bảo vệ của các ứng dụng Mobile Banking.
Một nội dung quan trọng là việc bổ sung khái niệm “khách hàng tổ chức mới”. Đây là các tổ chức được thành lập trong vòng 12 tháng hoặc mới thiết lập quan hệ giao dịch với tổ chức cung ứng dịch vụ thanh toán trong cùng khoảng thời gian. Nhóm đối tượng này được đánh giá có rủi ro cao, do đó phải áp dụng các biện pháp xác thực mạnh nhằm hạn chế nguy cơ bị lợi dụng làm trung gian cho các hoạt động gian lận, rửa tiền.
Cụ thể, việc xác thực bằng sinh trắc học hoặc chữ ký điện tử an toàn là bắt buộc đối với các giao dịch có giá trị trên 50 triệu đồng, hoặc khi tổng giá trị giao dịch trong ngày vượt quá 100 triệu đồng. Tuy nhiên, Thông tư cũng loại trừ một số nhóm khách hàng được xếp loại rủi ro thấp, như cơ quan nhà nước, đơn vị sự nghiệp công lập, tổ chức tín dụng, doanh nghiệp niêm yết và các tổ chức thuộc danh sách Fortune Global 500.
Theo số liệu của Ngân hàng Nhà nước, tính đến ngày 26/12/2025, toàn hệ thống ngân hàng đã có hơn 143 triệu hồ sơ khách hàng cá nhân và hơn 1,5 triệu hồ sơ khách hàng tổ chức được đối chiếu, xác thực thông tin sinh trắc học thông qua căn cước công dân gắn chip hoặc ứng dụng VNeID.
Bên cạnh việc siết chặt xác thực giao dịch, Thông tư 77 cũng bổ sung nhiều yêu cầu mới nhằm tăng cường an toàn cho các ứng dụng Mobile Banking - kênh giao dịch phổ biến nhưng cũng là mục tiêu tấn công chính của tội phạm công nghệ cao.
Theo đó, các tổ chức cung ứng dịch vụ phải định kỳ tối thiểu ba tháng một lần đánh giá an toàn, bảo mật ứng dụng; không cho phép hạ cấp phiên bản phần mềm; đồng thời áp dụng biện pháp kiểm soát chặt chẽ đối với các lỗ hổng bảo mật nghiêm trọng theo chuẩn quốc tế OWASP.
Đáng chú ý, ứng dụng Mobile Banking bắt buộc phải tự động dừng hoạt động hoặc thoát ứng dụng và thông báo cho khách hàng nếu phát hiện thiết bị bị bẻ khóa (root/jailbreak), mở khóa cơ chế bảo vệ, bị can thiệp bởi trình gỡ lỗi hoặc vận hành trong môi trường giả lập.
Trước sự phát triển nhanh của công nghệ giả mạo khuôn mặt và deepfake, Thông tư 77 yêu cầu các giải pháp sinh trắc học phải tích hợp cơ chế phát hiện vật thể sống (Presentation Attack Detection – PAD), đạt tiêu chuẩn ISO 30107 cấp độ 2 hoặc tương đương. Các tổ chức chứng nhận phải được công nhận bởi cơ quan tham gia Thỏa thuận công nhận lẫn nhau đa phương của Diễn đàn Công nhận Quốc tế (IAF-MLA).
Ngoài ra, Thông tư 77 cũng chính thức bãi bỏ việc sử dụng chữ ký điện tử chuyên dùng cho khách hàng tổ chức, nhằm bảo đảm sự thống nhất với Nghị định số 23/2025/NĐ-CP về chữ ký điện tử và dịch vụ tin cậy. Quy định này được kỳ vọng sẽ góp phần đồng bộ hóa hệ thống pháp luật, tăng tính an toàn cho giao dịch ngân hàng, đồng thời tạo thuận lợi cho doanh nghiệp trong quá trình chuyển đổi số.