Từ 1/3, app ngân hàng sẽ tự động dừng hoạt động khi phát hiện một trong 3 dấu hiệu

Đây là một trong những quy định mới tại Thông tư số 77/2025/TT-NHNN của Ngân hàng Nhà nước, sửa đổi, bổ sung một số điều của Thông tư số 50/2024/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành ngân hàng.

Quy định sẽ có hiệu lực từ ngày 1/3/2026, nhằm tăng cường an ninh mạng, bảo mật cho việc cung cấp dịch vụ trực tuyến trong bối cảnh tội phạm công nghệ cao đang lợi dụng tài khoản doanh nghiệp "ma" và các công nghệ tinh vi như Deepfake (giả mạo gương mặt người khác bằng AI) hoặc mã độc để lừa đảo, chiếm đoạt tài sản.

Nhiều tổ chức tín dụng tại Việt Nam có tỉ lệ trên 95% giao dịch thực hiện trên kênh số.

Theo đó, các app ngân hàng số sẽ phải tự động thoát hoặc dừng hoạt động và thông báo cho người dùng nếu phát hiện 3 dấu hiệu gian lận, can thiệp trái phép hoặc rủi ro an toàn sau.

Một là, phát hiện có trình gỡ lỗi (debugger) được gắn vào hoặc môi trường có trình gỡ lỗi đang hoạt động, hoặc khi ứng dụng chạy trong môi trường giả lập (emulator)/máy ảo/thiết bị giả lập; hoặc hoạt động ở chế độ cho phép máy tính giao tiếp trực tiếp với thiết bị chạy Android (Android Debug Bridge).

Hai là, phần mềm ứng dụng bị chèn mã bên ngoài ứng dụng khi đang chạy, thực hiện các hành vi như theo dõi các hàm được chạy, ghi lại log dữ liệu truyền qua các hàm, API…; hoặc phần mềm ứng dụng bị can thiệp, đóng gói lại.

Ba là, thiết bị đã bị bẻ khóa (root/jailbreak) hoặc đã bị mở khóa cơ chế bảo vệ (unlock bootloader).

Đáng chú ý, thông tư quy định các tổ chức tín dụng, tổ chức cung ứng dịch vụ trung gian thanh toán, tổ chức cung ứng dịch vụ Tiền di động (Mobile Money) phải tăng cường giải pháp bảo mật cho ứng dụng ngân hàng (Mobile Banking).

App ngân hàng phải tự động dừng nếu phát hiện dấu hiệu gian lận, can thiệp trái phép. Ảnh minh họa.

Tại Điều 5, Thông tư 77/2025, Ngân hàng Nhà nước yêu cầu kiểm soát phiên bản cài đặt được phát hành của ứng dụng Mobile Banking. Định kỳ tối thiểu 3 tháng một lần, đơn vị phải đánh giá an toàn, bảo mật của các phiên bản phần mềm ứng dụng đang cho phép khách hàng cài đặt, sử dụng nhằm xác định các lỗ hổng bảo mật và đánh giá khả năng bị can thiệp bởi tội phạm mạng.

Trường hợp khách hàng kích hoạt trên thiết bị mới hoặc kích hoạt lại ứng dụng Mobile Banking, khách hàng phải cài đặt, sử dụng phiên bản mới nhất hoặc phiên bản gần nhất bảo đảm các yêu cầu về an toàn, bảo mật theo quy định. Đơn vị phải có giải pháp kiểm soát không cho phép hạ phiên bản (downgrading) xuống sử dụng các phiên bản thấp hơn trong trường hợp này.

Khi phát hiện có lỗ hổng bảo mật được đánh giá ở mức cao hoặc nghiêm trọng, đơn vị phải có biện pháp kiểm tra, không cho thực hiện giao dịch hoặc có biện pháp kiểm soát nhằm phòng chống tội phạm lợi dụng lỗ hổng bảo mật để tấn công mạng, thực hiện các giao dịch gian lận, chiếm đoạt tài sản.

Đơn vị phải thực hiện xử lý, khắc phục, cập nhật ngay phiên bản mới trong thời gian theo quy định. Bên cạnh đó, quy định không cho phép chức năng ghi nhớ mã khóa bí mật truy cập, trừ trường hợp áp dụng hình thức xác nhận theo quy định tại thông tư.

Để ngăn chặn các cuộc tấn công bằng trí tuệ nhân tạo (Deepfake), Thông tư 77 cũng quy định giải pháp phát hiện giả mạo thông tin sinh trắc học (PAD) phải đạt tiêu chuẩn quốc tế ISO 30107 cấp độ 2 (Level 2) hoặc tương đương. Các tổ chức cung cấp giải pháp này phải được các tổ chức uy tín như Liên minh FIDO công nhận…

Thông tư 77 sẽ chính thức có hiệu lực từ ngày 1/3. Lộ trình áp dụng cụ thể đối với các quy định về thanh toán trực tuyến cho khách hàng cá nhân và tổ chức sẽ lần lượt được triển khai vào tháng 7 và tháng 10/2026.

T.Lâm (theo znews,nld)