Từ ngày 1/3 tới, ứng dụng Mobile Banking phải tự động dừng hoạt động nếu phát hiện dấu hiệu gian lận hoặc thiết bị bị bẻ khóa nhằm bảo đảm an toàn tài sản tuyệt đối cho khách hàng.
Trong nỗ lực thiết lập một "lá chắn" an ninh vững chắc cho môi trường thanh toán số, Ngân hàng Nhà nước (NHNN) đã ban hành Thông tư số 77/2025 sửa đổi, bổ sung một số điều của Thông tư 50/2024, đặt ra những yêu cầu kỹ thuật khắt khe đối với các ứng dụng ngân hàng di động (Mobile Banking).
Quy định mới chính thức có hiệu lực từ ngày 1/3. Lộ trình triển khai cụ thể đối với hoạt động thanh toán trực tuyến sẽ lần lượt áp dụng cho khách hàng cá nhân vào tháng 7 và khách hàng tổ chức vào tháng 10 năm nay.
Cơ chế "tự vệ" chủ động trước mã độc
Điểm đột phá nhất của Thông tư 77 là quy định ứng dụng ngân hàng phải tự động thoát hoặc dừng hoạt động khi phát hiện các rủi ro về an toàn thông tin. Đây không còn là tính năng tùy chọn mà trở thành biện pháp cưỡng bách kỹ thuật nhằm ngăn chặn tội phạm chiếm quyền điều khiển thiết bị.
Hệ thống bảo mật của app ngân hàng sẽ lập tức kích hoạt lệnh dừng nếu phát hiện một trong ba dấu hiệu cảnh báo đỏ:
- Môi trường can thiệp kỹ thuật: Phát hiện các trình gỡ lỗi (debugger) đang hoạt động, ứng dụng chạy trong môi trường giả lập (emulator), máy ảo hoặc thiết bị đang giao tiếp trực tiếp với máy tính qua chế độ nhà phát triển.
- Tấn công thay đổi cấu trúc app: Ứng dụng bị chèn mã độc bên ngoài khi đang vận hành, thực hiện các hành vi theo dõi hàm (hooking), ghi lại log dữ liệu truyền qua API hoặc app bị đóng gói lại trái phép.
- Thiết bị mất tính toàn vẹn: Hệ thống phát hiện điện thoại đã bị bẻ khóa (root đối với Android hoặc jailbreak đối với iOS), làm vô hiệu hóa các lớp bảo mật gốc của hệ điều hành.
Giao dịch chuyển tiền bằng app ngân hàng (Ảnh: Hoàng Lam).
Siết chặt kỷ luật quản lý phiên bản
Không chỉ bảo vệ ở cấp độ người dùng, NHNN còn yêu cầu các tổ chức tín dụng phải nâng cao trách nhiệm trong việc quản lý phần mềm. Định kỳ tối thiểu 3 tháng một lần, các ngân hàng phải thực hiện đánh giá an toàn, bảo mật cho toàn bộ các phiên bản Mobile Banking đang lưu hành để kịp thời phát hiện và vá các lỗ hổng.
Đặc biệt, Thông tư 77 đưa ra quy định "chống hạ cấp" (anti-downgrading). Khi khách hàng kích hoạt lại ứng dụng hoặc cài đặt trên thiết bị mới, họ bắt buộc phải sử dụng phiên bản mới nhất. Ngân hàng phải có giải pháp kỹ thuật để ngăn người dùng quay lại sử dụng các phiên bản cũ vốn thường chứa đựng những lỗ hổng bảo mật đã bị tội phạm khai thác.
Trường hợp phát hiện lỗ hổng ở mức độ nghiêm trọng, đơn vị phát hành app có quyền và trách nhiệm ngắt giao dịch ngay lập tức để phòng chống gian lận, chiếm đoạt tài sản. Việc khắc phục và cập nhật phiên bản mới phải được thực hiện trong thời gian ngắn nhất theo quy định.
Thay đổi thói quen để bảo mật tài sản
Một thay đổi lớn khác tác động trực tiếp đến thói quen của người dùng là quy định không cho phép chức năng ghi nhớ mã khóa bí mật (mật khẩu/PIN) truy cập ứng dụng. Mặc dù điều này có thể gây ra một chút bất tiện trong thao tác, nhưng đây là mắt xích quan trọng để ngăn chặn rủi ro khi thiết bị rơi vào tay người lạ hoặc bị xâm nhập từ xa.
Thông tư 77 là bước đi quyết liệt của NHNN trong bối cảnh các vụ lừa đảo công nghệ cao năm 2025 diễn biến phức tạp. Việc biến các ứng dụng ngân hàng thành những thực thể "nhạy cảm" với rủi ro sẽ giúp bảo vệ túi tiền của người dân một cách chủ động hơn, thay vì chỉ xử lý hậu quả sau khi sự cố đã xảy ra.
Trong tương lai gần, sự an toàn của tài khoản không chỉ phụ thuộc vào mật khẩu của khách hàng, mà còn nằm ở sự sạch sẽ và tính toàn vẹn của thiết bị di động mà họ đang sở hữu.