Ngày 31/12/2025, Thống đốc Ngân hàng Nhà nước (NHNN) đã ký ban hành Thông tư số 77/2025/TT-NHNN, sửa đổi, bổ sung một số điều của Thông tư số 50/2024/TT-NHNN (ban hành ngày 31/10/2024) quy định về bảo đảm an toàn, bảo mật trong việc cung cấp dịch vụ trực tuyến của ngành Ngân hàng.

Thông tư 77 được ban hành trong bối cảnh tội phạm công nghệ cao ngày càng gia tăng, lợi dụng tài khoản doanh nghiệp “ma” cùng các công nghệ tinh vi như deepfake (giả mạo khuôn mặt bằng trí tuệ nhân tạo) hoặc mã độc để lừa đảo, chiếm đoạt tài sản. Theo đó, NHNN thiết lập cơ chế phòng vệ chủ động thông qua việc bổ sung nhiều yêu cầu kỹ thuật chặt chẽ hơn đối với các ứng dụng ngân hàng.

Cụ thể, ứng dụng Mobile Banking sẽ phải tự động thoát hoặc ngừng hoạt động và đồng thời thông báo cho người dùng nếu phát hiện một trong ba dấu hiệu sau:

Thứ nhất, thiết bị đã bị bẻ khóa (root/jailbreak) hoặc bị mở khóa cơ chế bảo vệ (unlock bootloader). Đây là tình trạng thường gặp ở iPhone khóa mạng hoặc các smartphone chạy Android khi người dùng can thiệp sâu vào hệ thống, cài đặt ứng dụng ngoài, tiềm ẩn nhiều rủi ro về bảo mật và nguy cơ nhiễm mã độc.

Thứ hai, phần mềm ứng dụng bị chèn mã bên ngoài trong quá trình hoạt động, thực hiện các hành vi như ghi lại lịch sử dữ liệu, hoặc ứng dụng đã bị can thiệp, chỉnh sửa, đóng gói lại.

Thứ ba, ứng dụng có trình gỡ lỗi (debugger) được gắn vào, đang chạy trong môi trường giả lập (emulator), máy ảo hoặc thiết bị giả lập; hoặc hoạt động ở chế độ cho phép máy tính giao tiếp trực tiếp với thiết bị Android thông qua Android Debug Bridge (ADB).

Bên cạnh đó, Thông tư 77 cũng siết chặt việc kiểm soát các phiên bản Mobile Banking được phát hành. Theo quy định mới, tối thiểu 3 tháng một lần, đơn vị phát hành ứng dụng phải thực hiện đánh giá an toàn, bảo mật đối với phiên bản đang cung cấp cho người dùng, nhằm phát hiện các lỗ hổng bảo mật và đánh giá nguy cơ bị tội phạm mạng can thiệp.

Trường hợp phát hiện lỗ hổng bảo mật ở mức cao hoặc nghiêm trọng, đơn vị phát hành phải áp dụng biện pháp kiểm soát, không cho thực hiện giao dịch hoặc triển khai các giải pháp phòng, chống việc lợi dụng lỗ hổng để tấn công mạng, thực hiện hành vi gian lận và chiếm đoạt tài sản.

Đồng thời, các đơn vị phát triển ứng dụng có trách nhiệm khắc phục, cập nhật phiên bản mới trong thời hạn tối đa 1 ngày đối với các thành phần hệ thống kết nối trực tiếp với Internet; trong vòng 1 tháng đối với các thành phần còn lại nếu lỗ hổng ở mức nghiêm trọng, hoặc trong vòng 2 tháng nếu lỗ hổng được đánh giá ở mức cao.

Thông tư 77 sẽ chính thức có hiệu lực từ ngày 1/3. Do đó, người dùng đang sử dụng smartphone thuộc một trong ba nhóm thiết bị nêu trên cần sớm có biện pháp khắc phục, điều chỉnh thiết bị để bảo đảm tiếp tục sử dụng các ứng dụng ngân hàng phục vụ giao dịch trực tuyến.