Ứng dụng Mobile Banking phải tự động dừng hoạt động nếu nghi ngờ gian lận

Từ đầu tháng 3 tới, các ứng dụng ngân hàng số sẽ phải tự động thoát hoặc dừng hoạt động khi phát hiện dấu hiệu gian lận, can thiệp trái phép hoặc rủi ro an toàn thông tin. Đây là yêu cầu mới tại Thông tư số 77/2025/TT-NHNN (Thông tư 77) của Ngân hàng Nhà nước Việt Nam, sửa đổi, bổ sung Thông tư số 50/2024/TT-NHNN về an toàn, bảo mật trong cung cấp dịch vụ trực tuyến ngành ngân hàng.

Đáng chú ý, Điều 5, Thông tư 77 yêu cầu kiểm soát chặt chẽ phiên bản cài đặt của ứng dụng Mobile Banking. Theo quy định, các tổ chức cung ứng dịch vụ phải định kỳ tối thiểu 3 tháng một lần đánh giá an toàn, bảo mật đối với các phiên bản phần mềm đang cho phép khách hàng cài đặt và sử dụng. Việc đánh giá nhằm xác định các lỗ hổng bảo mật và khả năng bị can thiệp bởi tội phạm mạng.

Trường hợp khách hàng kích hoạt ứng dụng Mobile Banking trên thiết bị mới hoặc kích hoạt lại, tổ chức cung ứng dịch vụ chỉ được phép cho cài đặt, sử dụng phiên bản mới nhất hoặc phiên bản gần nhất đáp ứng đầy đủ các yêu cầu an toàn, bảo mật. Đồng thời, các đơn vị phải có giải pháp kỹ thuật để ngăn chặn việc hạ phiên bản (downgrading) xuống các phiên bản cũ hơn, tiềm ẩn rủi ro bị khai thác lỗ hổng.

Khi phát hiện lỗ hổng bảo mật được đánh giá ở mức cao hoặc nghiêm trọng, tổ chức tín dụng phải áp dụng biện pháp kiểm soát, không cho thực hiện giao dịch hoặc áp dụng các biện pháp cần thiết nhằm ngăn chặn việc lợi dụng lỗ hổng để tấn công mạng, thực hiện giao dịch gian lận, chiếm đoạt tài sản. Việc khắc phục, xử lý và cập nhật phiên bản mới phải được triển khai ngay theo thời hạn quy định.

Quy định giải pháp phát hiện giả mạo thông tin sinh trắc học

Thông tư 77 cũng quy định rõ việc triển khai giải pháp kỹ thuật nhằm phòng, chống và phát hiện các hành vi can thiệp trái phép vào ứng dụng Mobile Banking đã cài đặt trên thiết bị di động của khách hàng.

Theo đó, ứng dụng Mobile Banking bắt buộc phải tự động thoát hoặc dừng hoạt động, đồng thời thông báo rõ lý do cho khách hàng nếu phát hiện một trong ba dấu hiệu rủi ro nghiêm trọng.

Thứ nhất, ứng dụng phát hiện có trình gỡ lỗi (debugger) được gắn vào, môi trường có trình gỡ lỗi đang hoạt động, ứng dụng đang chạy trong môi trường giả lập, máy ảo, thiết bị giả lập, hoặc đang hoạt động ở chế độ cho phép máy tính giao tiếp trực tiếp với thiết bị Android thông qua Android Debug Bridge.

Thứ hai, phần mềm ứng dụng bị chèn mã bên ngoài trong quá trình chạy, có các hành vi như theo dõi hàm thực thi, ghi lại log dữ liệu truyền qua các hàm, API, hoặc ứng dụng bị can thiệp, đóng gói lại.

Thứ ba, thiết bị của khách hàng đã bị phá khóa hệ thống bảo mật như root đối với Android, jailbreak đối với iOS, hoặc bị mở khóa cơ chế bảo vệ (unlock bootloader).

Để ngăn chặn các cuộc tấn công bằng trí tuệ nhân tạo (Deepfake), Thông tư 77 cũng quy định giải pháp phát hiện giả mạo thông tin sinh trắc học (PAD) phải đạt tiêu chuẩn quốc tế ISO 30107 cấp độ 2 (Level 2) hoặc tương đương. Các tổ chức cung cấp giải pháp này phải được các tổ chức uy tín như Liên minh FIDO công nhận…