Thông tư 77/2025/TT-NHNN "siết" bảo mật Online Banking từ 01/3/2026

1. Bổ sung bảo mật dịch vụ Mobile Money như ngân hàng

Theo đó, phạm vi và đối tượng áp dụng của Thông tư 50/2024/TT-NHNN được Ngân hàng Nhà nước bổ sung hoạt động cung ứng dịch vụ Tiền di động hay còn gọi là Mobile Money tại Điều 1 Thông tư 77/2025/TT-NHNN.

Khi đó, tổ chức cung ứng dịch vụ Mobile Money cũng được áp dụng biện pháp bảo mật như tổ chức tín dụng tại Thông tư 77/2025/TT-NHNN.

Mới đây, Chính phủ cũng chính thức ban hành Nghị định 368/2025/NĐ-CP về dịch vụ Tiền di động (Mobile Money), quy định cụ thể, rõ ràng về loại hình dịch vụ này.

2. Bổ sung xác nhận thay đổi thông tin định danh khách hàng

Theo Điều 3 Thông tư 77/2025/TT-NHNN, nếu khách hàng thay đổi thông tin thì áp dụng các hình thức xác nhận khớp sinh trắc học kết hợp với một trong các hình thức xác nhận:

• OTP.
• Xác thực qua cuộc gọi thoại/qua zalo… hoặc qua mã tin nhắn nhanh USSD hoặc qua phần mềm chuyên dụng.
• Hình thức xác nhận bằng chữ ký điện tử an toàn…

Trong đó, việc thay đổi thông tin của khách hàng gồm thông tin về:

• Giấy tờ tùy thân (bao gồm Căn cước công dân, thẻ Căn cước, Căn cước điện tử, hộ chiếu);
• Thông tin để đăng ký, sử dụng các hình thức xác nhận giao dịch (tối thiểu bao gồm số điện thoại hoặc địa chỉ thư điện tử hoặc chữ ký điện tử).

3. Phải cài đặt Mobile Banking mới nhất khi đổi điện thoại

Điểm mới Thông tư 77/2025/TT-NHNN từ 01/3/2026 là bổ sung về việc siết chặt việc kiểm soát phiên bản cài đặt của ứng dụng Mobile Banking tại Điều 5.

Cụ thể, tối thiểu 03 tháng một lần, các tổ chức tín dụng phải tổ chức đánh giá mức độ an toàn, bảo mật đối với các phiên bản ứng dụng đang được phép cài đặt, sử dụng, qua đó kịp thời phát hiện lỗ hổng và nguy cơ bị tội phạm mạng can thiệp.

Nếu khách hàng kích hoạt Mobile Banking trên điện thoại mới hoặc kích hoạt lại ứng dụng này thì phải cài đặt, sử dụng phiên bản mới nhất hoặc gần nhất để đảm bảo an toàn, bảo mật. Đặc biệt, khách hàng sẽ không thể hạ xuống các phiên bản thấp hơn.

4. Mobile Banking tự ngừng hoạt động trong 3 trường hợp

Song song với việc quản lý chặt phiên bản của ứng dụng Mobile Banking, đặc biệt là tránh sự tấn công của mã độc thì khoản 2 Điều 5 Thông tư 77/2025/TT-NHNN đã yêu cầu ứng dụng này phải tự động ngắt kết nối hoặc ngừng hoạt động ngay lập tức nếu phát hiện điện thoại thuộc trường hợp:

• Điện thoại đã bị bẻ khóa (jailbreak với iOS, root với Android) hoặc bị can thiệp mở khóa cơ chế bảo vệ khởi động (unlock bootloader). Người dùng thường sử dụng thao tác này khi muốn cài đặt ứng dụng không chính thống hoặc né bản quyền.
• Điện thoại đã bị chèn mã lạ từ bên ngoài nhằm theo dõi, lưu lại lịch sử thao tác… hoặc đã bị chỉnh sửa, đóng gói lại (repacking)
• Điện thoại có gắn trình gỡ lỗi (debugger), hoặc chạy ứng dụng trên các môi trường giả lập (emulator), máy ảo, thiết bị giả lập…

5. Bổ sung trường hợp Mobile Banking được ghi nhớ mật khẩu

Khoản 5 Điều 8 Thông tư 50/2024/TT-NHNN đã được Điều 5 Thông tư 77/2025/TT-NHNN sửa đổi, bổ sung như sau:

Không cho phép chức năng ghi nhớ mã khóa bí mật truy cập trừ trường hợp áp dụng hình thức xác nhận quy định tại khoản 6 Điều 11 Thông tư này

Theo đó, ứng dụng Mobile Banking không được ghi nhớ mật khẩu trừ trường hợp xác nhận khớp vân tay, mống mắt hoặc FaceID… của khách hàng với thông tin được lưu trên điện thoại. Hình thức này phải đáp ứng yêu cầu:

• Chỉ kích hoạt sử dụng sau khi được khách hàng đồng ý và khách hàng thực hiện ít nhất 01 giao dịch thành công bằng hình thức xác nhận khác.
• Thời gian xác thực tối đa 02 phút.

6. Giải pháp phát hiện giả mạo sinh trắc học phải đạt ISO 30107

Điểm mới Thông tư 77/2025/TT-NHNN từ 01/3/2026 cụ thể là khoản 1 Điều 7 Thông tư 77 đã bổ sung quy định mới về giải pháp phát hiện tấn công giả mạo thông tin sinh trắc học Presentation Attack Detection - PAD nhất là khi hiện này xuất hiện rất nhiều thủ đoạn lừa đảo ngày càng tinh vi như sử dụng AI tạo Deepfake.

Theo đó, giải pháp này ngoài phải được cấp chứng nhận của tổ chức/phòng thí nghiệm sinh trắc học được Liên minh FIDO (FIDO Alliance) công nhận thì còn có thể sử dụng công nhận bởi tổ chức chứng nhận cấp phép xác nhận tuân thủ tiêu chuẩn quốc tế ISO, đáp ứng tiêu chuẩn ISO 30107 cấp độ 2 hoặc tương đương.

Tổ chức chứng nhận (Cartification Body) phải được cấp phép bảo ơ quan công nhận đã tham gia Thỏa thuận công nhận lẫn nhau đa phương của Diễn đàn Công nhận Quốc tế.

Trên đây là tổng hợp điểm mới Thông tư 77/2025/TT-NHNN từ 01/3/2026 về bảo mật Online Banking.