Từ 1/3/2026, ứng dụng Mobile Banking phải tự động dừng hoạt động nếu phát hiện rủi ro

Quy định này được nêu tại Thông tư số 77/2025/TT-NHNN do Ngân hàng Nhà nước Việt Nam ban hành, sửa đổi, bổ sung một số điều của Thông tư 50/2024/TT-NHNN về bảo đảm an toàn, bảo mật trong cung cấp dịch vụ ngân hàng trực tuyến.

Thông tư 77/2025 được ban hành trong bối cảnh giao dịch số phát triển mạnh mẽ, khi kênh ngân hàng điện tử đã trở thành phương thức thanh toán chủ đạo của người dân và doanh nghiệp. Việc bổ sung các yêu cầu kỹ thuật và kiểm soát rủi ro nhằm tăng cường an ninh mạng, hạn chế nguy cơ tội phạm công nghệ cao lợi dụng lỗ hổng để chiếm đoạt tài sản của khách hàng.

Theo quy định mới, các tổ chức tín dụng, tổ chức cung ứng dịch vụ trung gian thanh toán và đơn vị cung cấp dịch vụ Tiền di động (Mobile Money) phải triển khai đồng bộ các giải pháp bảo mật đối với ứng dụng Mobile Banking. Một trong những yêu cầu trọng tâm là kiểm soát chặt chẽ các phiên bản ứng dụng được phát hành. Định kỳ tối thiểu 3 tháng một lần, các đơn vị phải đánh giá mức độ an toàn, bảo mật của các phiên bản phần mềm đang cho phép khách hàng cài đặt và sử dụng, nhằm phát hiện kịp thời lỗ hổng bảo mật và nguy cơ bị tội phạm mạng can thiệp.

Trường hợp khách hàng kích hoạt ứng dụng Mobile Banking trên thiết bị mới hoặc kích hoạt lại, bắt buộc phải cài đặt và sử dụng phiên bản mới nhất hoặc phiên bản gần nhất đáp ứng đầy đủ các yêu cầu về an toàn, bảo mật. Các tổ chức cung ứng dịch vụ phải có giải pháp kỹ thuật để ngăn chặn việc hạ phiên bản xuống các bản cũ, vốn tiềm ẩn nhiều rủi ro an ninh.

Khi phát hiện lỗ hổng bảo mật được đánh giá ở mức cao hoặc nghiêm trọng, tổ chức tín dụng phải kịp thời áp dụng các biện pháp kiểm soát cần thiết, bao gồm việc không cho thực hiện giao dịch hoặc hạn chế chức năng nhằm phòng, chống hành vi lợi dụng lỗ hổng để tấn công mạng, thực hiện giao dịch gian lận, chiếm đoạt tài sản. Đồng thời, các đơn vị phải nhanh chóng xử lý, khắc phục và cập nhật phiên bản ứng dụng mới theo thời hạn quy định.

Đáng chú ý, Thông tư 77/2025 quy định ứng dụng Mobile Banking phải được tích hợp giải pháp phát hiện hành vi can thiệp trái phép và tự động dừng hoạt động, đồng thời thông báo rõ lý do cho khách hàng nếu phát hiện một trong ba nhóm dấu hiệu rủi ro.

Thứ nhất, ứng dụng bị gắn trình gỡ lỗi (debugger), hoạt động trong môi trường giả lập, máy ảo, thiết bị giả lập hoặc chạy ở chế độ cho phép máy tính giao tiếp trực tiếp với thiết bị Android thông qua Android Debug Bridge.

Thứ hai, ứng dụng bị chèn mã từ bên ngoài khi đang hoạt động, bị theo dõi các hàm, ghi log dữ liệu truyền qua các hàm hoặc API, hoặc bị can thiệp, đóng gói lại.

Thứ ba, thiết bị di động đã bị phá khóa hệ điều hành (root/jailbreak) hoặc bị mở khóa cơ chế bảo vệ hệ thống (unlock bootloader).

Bên cạnh đó, nhằm ứng phó với các hình thức tấn công công nghệ cao như giả mạo sinh trắc học bằng trí tuệ nhân tạo (deepfake), thông tư yêu cầu các giải pháp phát hiện giả mạo sinh trắc học (PAD) phải đáp ứng tiêu chuẩn quốc tế ISO 30107 cấp độ 2 hoặc tiêu chuẩn tương đương. Các tổ chức cung cấp giải pháp sinh trắc học cũng phải được các tổ chức uy tín quốc tế, như Liên minh FIDO, công nhận.

Với các quy định mới này, Ngân hàng Nhà nước kỳ vọng sẽ tăng cường “hàng rào kỹ thuật” cho hệ thống ngân hàng số, góp phần nâng cao mức độ an toàn, bảo mật và củng cố niềm tin của người dùng trong quá trình sử dụng các dịch vụ tài chính trực tuyến từ năm 2026.