Thông tư 77/2025/TT-NHNN: Sửa đổi Thông tư 50 bảo mật dịch vụ trực tuyến trong ngành Ngân hàng

Thông tư 77/2025/TT-NHNN: Sửa đổi Thông tư 50 bảo mật dịch vụ trực tuyến trong ngành Ngân hàng (Hình từ internet)

Thông tư 77/2025/TT-NHNN

Ngày 31/12/2025, Thống đốc Ngân hàng Nhà nước Việt Nam đã ban hành Thông tư 77/2025/TT-NHNN sửa đổi, bổ sung một số điều của Thông tư 50/2024/TT-NHNN của Thống đốc Ngân hàng Nhà nước Việt Nam quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng.

Thông tư 77/2025/TT-NHNN: Sửa đổi Thông tư 50 bảo mật dịch vụ trực tuyến trong ngành Ngân hàng

Theo đó, Thông tư 77/2025/TT-NHNN có sửa đổi, bổ sung một số điều tại Thông tư 50/2024/TT-NHNN như sau:

*Sửa đổi, bổ sung một số điểm, khoản của Điều 1

1. Bổ sung điểm d khoản 1 Điều 1 như sau:

“d) Hoạt động cung ứng dịch vụ Tiền di động;".

2. Sửa đổi, bổ sung khoản 2 Điều 1 như sau:

“2. Đối tượng áp dụng

Thông tư này áp dụng đối với các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, tổ chức cung ứng dịch vụ Tiền di động, công ty thông tin tín dụng (sau đây gọi chung là đơn vị).".

*Bổ sung khoản 11 Điều 2

“11. Khách hàng tổ chức mới là tổ chức mới đăng ký thành lập trong vòng 12 tháng hoặc tổ chức mới thiết lập quan hệ với đơn vị trong vòng 12 tháng và được đơn vị thực hiện đánh giá rủi ro, xác định thời gian cần áp dụng hình thức khớp đúng thông tin sinh trắc học hoặc chữ ký điện tử an toàn cho khách hàng này khi thực hiện giao dịch. Quy định này không bao gồm:

a) Các cơ quan nhà nước, đơn vị sự nghiệp công lập;

b) Các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài;

c) Các tổ chức niêm yết theo quy định tại Luật chứng khoán;

d) Các tổ chức thuộc danh sách Fortune Global 500 do Tạp chí Fortune công bố vào năm liền trước;

đ) Nhà đầu tư nước ngoài là người không cư trú mở tài khoản thanh toán để thực hiện hoạt động đầu tư gián tiếp tại Việt Nam;

e) Các tổ chức khác do đơn vị lựa chọn và chịu hoàn toàn trách nhiệm về các rủi ro từ việc lựa chọn này. Đơn vị phải bảo đảm xác minh chính xác về khách hàng và chịu hoàn toàn trách nhiệm đối với việc nhận biết khách hàng.".

*Sửa đổi, bổ sung điểm a khoản 3 Điều 3

“a) Áp dụng tối thiểu một trong các hình thức xác nhận quy định tại khoản 3, khoản 4, khoản 5, khoản 7, khoản 8, khoản 9 Điều 11 Thông tư này khi thay đổi thông tin định danh khách hàng.

Trường hợp khách hàng cá nhân, khách hàng tổ chức mới thay đổi thông tin giấy tờ tùy thân (bao gồm căn cước công dân, căn cước, căn cước điện tử, hộ chiếu của khách hàng cá nhân hoặc của người đại diện hợp pháp của khách hàng tổ chức) hoặc các thông tin để đăng ký, sử dụng các hình thức xác nhận giao dịch (tối thiểu bao gồm số điện thoại hoặc địa chỉ thư điện tử hoặc chữ ký điện tử), áp dụng các hình thức xác nhận quy định tại khoản 5 Điều 11 Thông tư này kết hợp với một trong các hình thức xác nhận quy định tại khoản 3, khoản 4, khoản 7, khoản 8, khoản 9 Điều 11 Thông tư này.".

*Sửa đổi, bổ sung một số điểm, khoản của Điều 7

- Sửa đổi, bổ sung điểm c khoản 3 Điều 7 như sau:

“c) Đánh giá, dò quét phát hiện lỗ hổng, điểm yếu về mặt kỹ thuật. Đánh giá khả năng phòng, chống các lỗ hồng, điểm yếu, kiểu tấn công bảo đảm tối thiểu các yêu cầu sau:

(1) Đối với phần mềm ứng dụng Online Banking cung cấp qua nền tảng web, phải phòng, chống 10 lỗ hổng phổ biến nhất được công bố bởi tổ chức OWASP (OWASP Top Ten).

(ii) Đối với phần mềm ứng dụng Mobile Banking, đáp ứng tối thiểu các yêu cầu về an toàn bảo mật ứng dụng di động do tổ chức OWASP công bố (OWASP Mobile Application Security).

(iii) Phiên bản OWASP Top Ten hoặc OWASP Mobile Application Security áp dụng là phiên bản mới nhất hoặc phiên bản gần nhất với phiên bản được ban hành trong vòng 06 tháng.".

- Sửa đổi, bổ sung điểm g khoản 6 Điều 7 như sau:

“g) Đối với khách hàng là tổ chức, phần mềm ứng dụng được thiết kế để bảo đảm việc thực hiện giao dịch thanh toán trực tuyến (ngoại trừ thanh toán thẻ trực tuyến qua đơn vị chấp nhận thanh toán) bao gồm tối thiểu hai bước: tạo lập và phê duyệt giao dịch.

Trường hợp khách hàng là hộ kinh doanh hoặc doanh nghiệp siêu nhỏ áp dụng chế độ kế toán đơn giản, việc thực hiện giao dịch không bắt buộc tách biệt hai bước tạo lập và phê duyệt giao dịch;".

- Sửa đổi, bổ sung điểm b khoản 8 Điều 7 như sau:

“b) Phần mềm ứng dụng Online Banking phải có chức năng xác thực kết nối với phần mềm của khách hàng tổ chức để bảo đảm an toàn, bảo mật, chống gian lận, giả mạo theo tiêu chuẩn, quy chuẩn quốc tế hoặc Việt Nam;".

Xem thêm chi tiết tại Thông tư 77/2025/TT-NHNN có hiệu lực thi hành kể từ ngày 01/3/2026, trừ trường hợp quy định đối với các đơn vị cung cấp dịch vụ thanh toán trực tuyến cho cả khách hàng cá nhân và tổ chức, thời gian áp dụng các quy định tại Điều 3, Điều 10 Thông tư này kể từ ngày 01/7/2026. Và đối với các đơn vị chỉ cung cấp dịch vụ thanh toán trực tuyến cho khách hàng tổ chức (không cung cấp dịch vụ cho khách hàng cá nhân), thời gian áp dụng các quy định tại Điều 3, Điều 10 Thông tư 77/2025/TT-NHNN kể từ ngày 01/10/2026.