Tăng cường an toàn, bảo mật dịch vụ ngân hàng trực tuyến trước mối đe dọa tội phạm công nghệ cao

ThS. Nguyễn Khánh Thu Hằng

 

Tóm tắt

Ngân hàng Nhà nước ban hành Thông tư 77/2025/TT-NHNN: Tăng cường an toàn, bảo mật dịch vụ ngân hàng trực tuyến trước mối đe dọa tội phạm công nghệ cao. Bài viết trao đổi về vấn đề này.

Từ khoá: Ngân hàng Nhà nước, ….

Trong bối cảnh giao dịch ngân hàng số bùng nổ nhưng các hình thức tấn công mạng ngày càng tinh vi, Ngân hàng Nhà nước Việt Nam (NHNN) đã chính thức ban hành Thông tư số 77/2025/TT-NHNN ngày 31/12/2025. Văn bản này sửa đổi, bổ sung một số điều của Thông tư số 50/2024/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng. Thông tư mới có hiệu lực thi hành từ ngày 01/3/2026 (một số quy định áp dụng dần từ 01/7/2026 và 01/10/2026), đánh dấu bước tiến mạnh mẽ trong việc bảo vệ tài sản và thông tin của khách hàng.

Thông tư 77/2025/TT-NHNN áp dụng đối với tất cả tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức trung gian thanh toán, tổ chức cung ứng dịch vụ Tiền di động và công ty thông tin tín dụng (gọi chung là “đơn vị”). Mục tiêu chính là nâng cao khả năng phòng thủ trước các lỗ hổng bảo mật, ngăn chặn can thiệp trái phép và giảm thiểu rủi ro gian lận chiếm đoạt tài sản.

Những điểm sửa đổi, bổ sung nổi bật

1. Kiểm soát chặt chẽ phiên bản ứng dụng Mobile Banking Đơn vị phải định kỳ ít nhất 03 tháng một lần đánh giá an toàn, bảo mật của các phiên bản phần mềm đang cho phép khách hàng cài đặt và sử dụng. Mục đích là phát hiện sớm lỗ hổng và khả năng bị tội phạm mạng can thiệp. Khi khách hàng kích hoạt ứng dụng trên thiết bị mới hoặc kích hoạt lại, bắt buộc phải dùng phiên bản mới nhất (hoặc phiên bản gần nhất đáp ứng tiêu chuẩn). Không cho phép “downgrading” (hạ phiên bản cũ). Nếu phát hiện lỗ hổng bảo mật ở mức cao hoặc nghiêm trọng, đơn vị phải kiểm tra ngay, tạm dừng giao dịch nếu cần và khắc phục, cập nhật phiên bản mới trong thời gian quy định.
2. Ứng dụng tự động “thoát” trên thiết bị rủi ro cao Đây là điểm được nhiều khách hàng quan tâm nhất. Ứng dụng Mobile Banking phải tự động thoát hoặc dừng hoạt động và thông báo rõ lý do nếu phát hiện một trong các dấu hiệu sau:
   • Có trình gỡ lỗi (debugger) hoạt động, chạy trong môi trường giả lập (emulator/máy ảo), hoặc chế độ Android Debug Bridge (ADB).
   • Phần mềm bị chèn mã bên ngoài (hook), repacking.
   • Thiết bị đã bị root/jailbreak hoặc mở khóa bootloader.

Quy định này nhằm ngăn chặn hoàn toàn việc sử dụng ứng dụng trên các thiết bị đã bị “bẻ khóa” hoặc cài phần mềm độc hại – những môi trường dễ bị hacker lợi dụng.

3. Tăng cường phòng chống lỗ hổng kỹ thuật theo tiêu chuẩn quốc tế
   • Online Banking (web): Phải phòng chống ít nhất 10 lỗ hổng phổ biến nhất theo OWASP Top Ten (phiên bản mới nhất hoặc trong vòng 6 tháng).
   • Mobile Banking: Đáp ứng đầy đủ OWASP Mobile Application Security. Đồng thời, giao dịch thanh toán của khách hàng tổ chức phải thực hiện ít nhất hai bước (tạo lập và phê duyệt), trừ trường hợp hộ kinh doanh/doanh nghiệp siêu nhỏ.
4. Xác thực giao dịch nghiêm ngặt hơn với khách hàng tổ chức mới Khách hàng tổ chức mới (thành lập dưới 12 tháng hoặc mới thiết lập quan hệ) phải áp dụng khớp đúng thông tin sinh trắc học hoặc chữ ký điện tử an toàn sau khi đánh giá rủi ro. Thông tư bổ sung các hình thức xác thực mới như PGP theo tiêu chuẩn IETF và chữ ký điện tử an toàn, đồng thời quy định rõ mức độ xác nhận cho từng nhóm giao dịch (Phụ lục 01 và 02 được thay thế).
5. Mở rộng phạm vi áp dụng Thông tư bổ sung hoạt động cung ứng dịch vụ Tiền di động vào đối tượng điều chỉnh, đảm bảo an toàn đồng bộ cho cả hệ thống thanh toán số.

Ý nghĩa thực tiễn và lưu ý cho khách hàng

Thông tư 77/2025/TT-NHNN ra đời trong bối cảnh tội phạm công nghệ cao gia tăng mạnh, với nhiều thủ đoạn sử dụng thiết bị “bẻ khóa” để đánh cắp thông tin và thực hiện giao dịch gian lận. Việc siết chặt bảo mật không chỉ bảo vệ tài sản khách hàng mà còn nâng cao uy tín và sự an toàn của toàn ngành ngân hàng.

Khách hàng cần lưu ý:

• Luôn cập nhật phiên bản Mobile Banking mới nhất từ kho ứng dụng chính thức (App Store/Google Play hoặc kênh của ngân hàng).
• Không root/jailbreak thiết bị hoặc cài phần mềm lạ để tránh ứng dụng tự động ngừng hoạt động.
• Khi kích hoạt trên điện thoại mới, phải dùng phiên bản mới nhất.
• Các ngân hàng lớn như Vietcombank, BIDV, VietinBank, Agribank… đã bắt đầu gửi thông báo tới khách hàng về quy định này.

Các đơn vị thuộc đối tượng áp dụng phải khẩn trương triển khai, hoàn thiện hệ thống và hướng dẫn khách hàng. NHNN sẽ tăng cường thanh tra, giám sát việc thực hiện.

Kết luận

Với Thông tư 77/2025/TT-NHNN, Việt Nam tiếp tục khẳng định cam kết xây dựng môi trường ngân hàng số an toàn, hiện đại, góp phần bảo vệ quyền lợi người dân và thúc đẩy chuyển đổi số quốc gia bền vững. Khách hàng và các tổ chức tín dụng hãy chủ động nắm bắt và tuân thủ để cùng nhau bảo vệ tài chính trong kỷ nguyên số.

Tài liệu tham khảo

1.  Ngân hàng Nhà nước Việt Nam. (2025). Thông tư số 77/2025/TT-NHNN ngày 31 tháng 12 năm 2025 sửa đổi, bổ sung một số điều của Thông tư số 50/2024/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng.

2. Ngân hàng Nhà nước Việt Nam. (2024). Thông tư số 50/2024/TT-NHNN ngày 31 tháng 10 năm 2024 quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng