Theo Thông tư 77, ứng dụng Mobile Banking phải tự động thoát hoặc dừng hoạt động, đồng thời thông báo rõ lý do cho khách hàng nếu phát hiện dấu hiệu rủi ro.
Ngân hàng Nhà nước (NHNN) vừa ban hành Thông tư số 77/2025/TT-NHNN (Thông tư 77), sửa đổi, bổ sung một số điều của Thông tư 50/2024/TT-NHNN, nhằm tăng cường an ninh mạng và bảo vệ tài sản khách hàng trong bối cảnh giao dịch trực tuyến ngày càng phổ biến. Thông tư 77 sẽ chính thức có hiệu lực từ ngày 1/3/2026.
Một trong những điểm đáng chú ý của Thông tư 77 là quy định siết chặt việc quản lý các phiên bản ứng dụng Mobile Banking được phép phát hành và sử dụng. Theo đó, định kỳ tối thiểu 3 tháng một lần, các tổ chức tín dụng phải đánh giá mức độ an toàn, bảo mật của các phiên bản ứng dụng đang cung cấp cho khách hàng, nhằm kịp thời phát hiện lỗ hổng bảo mật và nguy cơ bị tội phạm mạng lợi dụng, can thiệp.
Trường hợp khách hàng kích hoạt ứng dụng trên thiết bị mới hoặc kích hoạt lại Mobile Banking, bắt buộc phải cài đặt và sử dụng phiên bản mới nhất hoặc phiên bản gần nhất đáp ứng đầy đủ yêu cầu về an toàn, bảo mật theo quy định. Đồng thời, các đơn vị phải triển khai giải pháp kỹ thuật để ngăn chặn việc hạ phiên bản (downgrading) xuống các phiên bản cũ, tiềm ẩn rủi ro bảo mật.
Đáng lưu ý, khi phát hiện lỗ hổng bảo mật được đánh giá ở mức cao hoặc nghiêm trọng, tổ chức tín dụng phải áp dụng ngay các biện pháp kiểm soát, bao gồm việc tạm dừng giao dịch hoặc triển khai giải pháp phòng ngừa nhằm ngăn chặn tội phạm mạng lợi dụng lỗ hổng để tấn công, gian lận và chiếm đoạt tài sản. Đồng thời, việc xử lý, khắc phục và cập nhật phiên bản mới phải được thực hiện kịp thời theo thời hạn quy định tại khoản 6 Điều 14 của Thông tư.
Thông tư 77 cũng yêu cầu các tổ chức tín dụng triển khai đồng bộ các giải pháp nhằm phòng ngừa, phát hiện và ngăn chặn hành vi can thiệp trái phép vào ứng dụng Mobile Banking đã được cài đặt trên thiết bị di động của khách hàng.
Cụ thể, ứng dụng Mobile Banking phải tự động thoát hoặc dừng hoạt động, đồng thời thông báo rõ lý do cho khách hàng nếu phát hiện một trong ba dấu hiệu rủi ro sau: ứng dụng đang chạy trong môi trường có trình gỡ lỗi (debugger), môi trường giả lập, máy ảo hoặc chế độ cho phép máy tính giao tiếp trực tiếp với thiết bị Android (Android Debug Bridge); ứng dụng bị chèn mã độc, theo dõi hoạt động hàm, ghi log dữ liệu, can thiệp API (hook) hoặc bị đóng gói, chỉnh sửa lại (repacking); thiết bị của khách hàng đã bị phá khóa (root/jailbreak) hoặc mở khóa cơ chế bảo vệ (unlock bootloader).
Đặc biệt, nhằm đối phó với các hình thức tấn công ngày càng tinh vi sử dụng trí tuệ nhân tạo như Deepfake, Thông tư 77 quy định các giải pháp phát hiện giả mạo sinh trắc học (Presentation Attack Detection – PAD) phải đáp ứng tiêu chuẩn quốc tế ISO 30107 cấp độ 2 (Level 2) hoặc tiêu chuẩn tương đương. Các đơn vị cung cấp giải pháp này cũng phải được công nhận bởi các tổ chức uy tín quốc tế, điển hình như Liên minh FIDO.
Nam Anh / Vietnamfinance.vn
