Nội dung chính
Ngân hàng tại Việt Nam phải triển khai giải pháp tự động ngừng hoạt động ứng dụng Mobile Banking khi phát hiện dấu hiệu gian lận, theo Thông tư 77/2025 của NHNN.
Thông tư 77/2025: Yêu cầu mới về an toàn Mobile Banking
Thông tư số 77/2025/TT‑NHNN, có hiệu lực từ 01‑03‑2026, sửa đổi một số điều của Thông tư 50/2024/TT‑NHNN, đưa ra các biện pháp bắt buộc nhằm bảo vệ tài sản khách hàng khi giao dịch qua kênh số. Đặc biệt, ngân hàng, tổ chức cung cấp dịch vụ trung gian thanh toán và các nhà cung cấp Mobile Money phải đảm bảo ứng dụng không bị can thiệp trái phép và phải có cơ chế tự động ngừng hoạt động khi phát hiện rủi ro.
Ba dấu hiệu khiến app tự động ngừng hoạt động
1. Trình gỡ lỗi (debugger) hoặc môi trường giả lập
Nếu ứng dụng được khởi chạy trong môi trường có debugger, Android Debug Bridge (ADB), máy ảo, hoặc emulator, hệ thống sẽ phát hiện và ngay lập tức ngừng giao dịch để tránh kẻ tấn công khai thác lỗ hổng.
2. Chèn mã độc hoặc đóng gói lại ứng dụng
Trong trường hợp phần mềm bị chèn mã bên ngoài, theo dõi hàm, ghi log API hoặc bị tái đóng gói (re‑packaging), ứng dụng sẽ tự động thoát và thông báo cho người dùng.
3. Thiết bị bị root, jailbreak hoặc mở khóa bootloader
Root (Android) hoặc jailbreak (iOS), cũng như việc mở khóa bootloader, làm giảm mức độ kiểm soát hệ thống, do đó ứng dụng sẽ dừng lại để ngăn kẻ xấu khai thác quyền truy cập sâu.
Quy trình đánh giá và cập nhật phiên bản
Theo Điều 5, ngân hàng phải kiểm soát phiên bản cài đặt và thực hiện đánh giá bảo mật ít nhất mỗi 3 tháng. Khi phát hiện lỗ hổng mức cao hoặc nghiêm trọng, ngân hàng phải ngừng cho phép giao dịch và phát hành bản cập nhật trong thời gian quy định, đồng thời không cho phép hạ phiên bản (downgrading).
Đối phó với Deepfake và xác thực sinh trắc học
Để ngăn chặn tấn công AI (Deepfake), Thông tư 77 yêu cầu giải pháp phát hiện giả mạo sinh trắc học (PAD) đạt tiêu chuẩn ISO 30107‑2 hoặc tương đương, và phải được các tổ chức uy tín như Liên minh FIDO công nhận.
“Cần xem rủi ro công nghệ thông tin ngang với rủi ro tín dụng và tăng cường các biện pháp phòng vệ,” Phó thống đốc Ngân hàng Nhà nước Phạm Tiến Dũng nhấn mạnh tại hội nghị ngành.
Kết luận
Với việc áp dụng các biện pháp trên, ngân hàng không chỉ tuân thủ pháp luật mà còn nâng cao niềm tin của khách hàng trong môi trường giao dịch số ngày càng phức tạp. Bạn đã chuẩn bị đủ hệ thống bảo mật cho Mobile Banking của mình chưa? Hãy chia sẻ quan điểm và theo dõi các cập nhật mới nhất tại blog của chúng tôi.
