Nhiều điện thoại xách tay không sử dụng được app ngân hàng từ 01/3/2026

Nhiều điện thoại xách tay không sử dụng được app ngân hàng từ 01/3/2026 (Hình từ Internet)

Nhiều điện thoại xách tay không sử dụng được app ngân hàng từ 01/3/2026

Thống đốc Ngân hàng Nhà nước Việt Nam ban hành Thông tư 77/2025/TT-NHNN sửa đổi Thông tư 50/2024/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành ngân hàng, có hiệu lực từ 01/3/2026.

Theo đó sửa đổi khoản 4 Điều 8 theo đó quy định: Triển khai các giải pháp nhằm phòng, chống, phát hiện các hành vi can thiệp trái phép vào ứng dụng Mobile Banking đã cài đặt trong thiết bị di động của khách hàng, ứng dụng Mobile Banking phải tự động thoát hoặc dừng hoạt động và thông báo cho khách hàng lý do nếu phát hiện một trong các dấu hiệu sau:

(i) Có trình gỡ lỗi (debugger) được gắn vào hoặc môi trường có trình gỡ lỗi đang hoạt động; hoặc khi ứng dụng bị chạy trong môi trường giả lập (emulator)/ máy ảo/ thiết bị giả lập; hoặc hoạt động ở chế độ cho phép máy tính giao tiếp trực tiếp với thiết bị Android (Android Debug Bridge);

(ii) Phần mềm ứng dụng bị chèn mã bên ngoài ứng dụng khi đang chạy, thực hiện các hành vi như theo dõi các hàm được chạy, ghi lại log dữ liệu truyền qua các hàm, API.... (hook); hoặc phần mềm ứng dụng bị can thiệp, đóng gói lại (repacking);

(iii) Thiết bị đã bị phá khóa (root / jailbreak); hoặc bị mở khóa cơ chế bảo vệ (unlockbootloader).

Như vậy, đối với nhiều điện thoại không chính hãng, điện thoại xách tay có cài đặt các chương trình root / jailbreak, unlockbootloader, … như nêu trên sẽ không sư dụng được app ngân hàng từ 01/3/2026.

Ngoài ra Thông tư 77/2025/TT-NHNN bổ sung khoản 1a Điều 8 Thông tư 50/2024/TT-NHNN theo đó quy định kiểm soát phiên bản cài đặt được phát hành của ứng dụng Mobile Banking như sau:

(i) Định kỳ tối thiểu 03 tháng một lần, đơn vị phải đánh giá an toàn, bảo mật của các phiên bản phần mềm ứng dụng đang cho phép khách hàng cài đặt, sử dụng nhằm xác định các lỗ hổng bảo mật và đánh giá khả năng bị can thiệp bởi tội phạm mạng.

(ii) Trường hợp khách hàng kích hoạt trên thiết bị mới hoặc kích hoạt lại ứng dụng Mobile Banking, khách hàng phải cài đặt, sử dụng phiên bản mới nhất hoặc phiên bản gần nhất bảo đảm các yêu cầu về an toàn, bảo mật theo quy định. Đơn vị phải có giải pháp kiểm soát không cho phép hạ phiên bản (downgrading) xuống sử dụng các phiên bản thấp hơn trong trường hợp này.

(iii) Khi phát hiện có lỗ hổng bảo mật được đánh giá ở mức cao hoặc nghiêm trọng, đơn vị phải có biện pháp kiểm tra, không cho thực hiện giao dịch hoặc có biện pháp kiểm soát nhằm phòng chống tội phạm lợi dụng lỗ hổng bảo mật để tấn công mạng, thực hiện các giao dịch gian lận, chiếm đoạt tài sản; đồng thời đơn vị phải thực hiện xử lý, khắc phục, cập nhật ngay phiên bản mới trong thời gian theo quy định tại khoản 6 Điều 14 Thông tư 50/2024/TT-NHNN sửa đổi tại Thông tư 77/2025/TT-NHNN.

Thông tư 77/2025/TT-NHNN chống Deepfake hay mã độc để lừa đảo

Trước thực trạng tội phạm lợi dụng tài khoản doanh nghiệp “ma” và các công nghệ tinh vi như Deepfake hay mã độc để lừa đảo, Thông tư 77/2025/TT-NHNN đã thiết lập cơ chế phòng vệ chủ động bằng cách bổ sung các quy định kỹ thuật nghiêm ngặt.

Các nội dung sửa đổi, bổ sung chính quy định tại Thông tư cụ thể như sau:

- Tăng cường xác thực khách hàng tổ chức: Thông tư bổ sung định nghĩa “khách hàng tổ chức mới” nhằm xác định nhóm khách hàng có mức độ rủi ro cao, cần áp dụng biện pháp xác thực mạnh. Theo đó, hình thức khớp đúng thông tin sinh trắc học hoặc hình thức chữ ký điện tử an toàn bắt buộc phải áp dụng trong các trường hợp:

+ Giao dịch có giá trị trên 50 triệu đồng.

+ Tổng giá trị giao dịch trong ngày vượt quá 100 triệu đồng.

- Nâng cao tính tự vệ của ứng dụng (Mobile Banking): Bắt buộc ứng dụng tự dừng hoạt động khi phát hiện thiết bị bị bẻ khóa (Root/Jailbreak), bị can thiệp bởi trình gỡ lỗi hoặc môi trường giả lập. Kiểm soát lỗ hổng theo chuẩn quốc tế OWASP.

- Chống giả mạo sinh trắc học: Yêu cầu giải pháp phát hiện vật thể sống (PAD) đạt chuẩn quốc tế ISO 30107 Level 2.

- Đồng bộ chữ ký điện tử: Bãi bỏ chữ ký điện tử chuyên dùng cho khách hàng để phù hợp với Nghị định 23/2025/NĐ-CP.

- Bổ sung hình thức xác nhận giao dịch bằng giải pháp PGP: Cho phép sử dụng tiêu chuẩn quốc tế PGP (Pretty Good Privacy) để xác nhận các giao dịch tự động giữa các hệ thống (Host-to-Host).

Đối tượng áp dụng của Thông tư là các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, tổ chức cung ứng dịch vụ Tiền di động, công ty thông tin tín dụng.