Trong bối cảnh chuyển đổi số diễn ra mạnh mẽ trong lĩnh vực ngân hàng – tài chính, các dịch vụ ngân hàng số, thanh toán trực tuyến,… ngày càng trở thành kênh giao dịch chủ đạo của người dân và doanh nghiệp. Cùng với sự phát triển đó, các rủi ro về an toàn, bảo mật thông tin, gian lận công nghệ cao cũng gia tăng cả về quy mô và mức độ tinh vi, đặt ra yêu cầu cấp thiết phải hoàn thiện khuôn khổ pháp lý phù hợp với thực tiễn.
Việc Ngân hàng Nhà nước Việt Nam (NHNN) ban hành Thông tư số 77/2025/TT-NHNN ngày 31/12/2025 (Thông tư số 77) sửa đổi, bổ sung Thông tư 50/2024/TT-NHNN về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng được đánh giá là bước điều chỉnh kịp thời, thể hiện rõ sự chuyển biến trong tư duy quản lý, hướng tới chuẩn mực quốc tế và quản lý rủi ro hiện đại.
Mở rộng phạm vi điều chỉnh, bao quát toàn diện hệ sinh thái số
Một trong những điểm mới đáng chú ý của Thông tư số 77 là việc mở rộng phạm vi điều chỉnh đối với dịch vụ Tiền di động (Mobile Money) và các chủ thể tham gia cung ứng dịch vụ tài chính số. Theo đó, các quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành ngân hàng được áp dụng đối với cả tổ chức cung ứng dịch vụ Tiền di động, cùng với các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, công ty thông tin tín dụng.
Cách tiếp cận này giúp khắc phục khoảng trống pháp lý phát sinh từ các mô hình dịch vụ mới, bảo đảm tính thống nhất trong quản lý rủi ro công nghệ và tạo môi trường cạnh tranh lành mạnh giữa các loại hình cung ứng dịch vụ. Đây là bước đi phù hợp với xu hướng quản lý dựa trên hoạt động và mức độ rủi ro, thay vì chỉ dựa trên mô hình tổ chức truyền thống.
Tăng cường xác thực đối với khách hàng tổ chức có rủi ro cao
Trước thực trạng tội phạm công nghệ cao lợi dụng tài khoản doanh nghiệp “ma”, sử dụng Deepfake, mã độc và các công nghệ giả mạo tinh vi để thực hiện hành vi lừa đảo, Thông tư số 77 đã thiết lập cơ chế phòng vệ chủ động với việc bổ sung các quy định kỹ thuật nghiêm ngặt, nhằm tăng cường năng lực tự bảo vệ.
Một điểm nổi bật trong đó là tăng cường xác thực khách hàng tổ chức. Thông tư đã bổ sung khái niệm “khách hàng tổ chức mới” – nhằm xác định nhóm khách hàng được xác định có mức độ rủi ro cao. Đây là các tổ chức mới đăng ký thành lập trong vòng 12 tháng hoặc mới thiết lập quan hệ với đơn vị trong vòng 12 tháng. Đối với nhóm này, Thông tư số 77 yêu cầu áp dụng biện pháp xác thực mạnh nhằm hạn chế nguy cơ bị lợi dụng làm trung gian cho các hành vi gian lận.
Cụ thể, hình thức khớp đúng thông tin sinh trắc học hoặc chữ ký điện tử an toàn được yêu cầu bắt buộc trong các trường hợp: Giao dịch có giá trị trên 50 triệu đồng; Tổng giá trị giao dịch trong ngày vượt quá 100 triệu đồng.
Tuy nhiên, Thông tư cũng loại trừ các nhóm khách hàng rủi ro thấp như: các cơ quan nhà nước, đơn vị sự nghiệp công lập; các TCTD, tổ chức niêm yết, các tổ chức thuộc danh sách Fortune Global 500,…
Quy định này cho thấy sự thay đổi quan trọng trong tư duy quản lý, tập trung kiểm soát chặt vào điểm rủi ro cao, tránh việc áp dụng cứng nhắc cho mọi đối tượng.
Chuẩn hóa yêu cầu an toàn kỹ thuật theo chuẩn quốc tế
Một điểm mới đáng lưu ý khác của Thông tư số 77 là việc chuẩn hóa yêu cầu an toàn kỹ thuật đối với các nền tảng ngân hàng số theo các tiêu chuẩn quốc tế phổ biến. Cụ thể, Online Banking và Mobile Banking phải đáp ứng tối thiểu các yêu cầu về an toàn, bảo mật được công bố bởi tổ chức OWASP (OWASP Top Ten, OWASP Mobile Application Security). Đồng thời đây phải là các phiên bản mới nhất hoặc gần nhất để bảo đảm khả năng phòng vệ trước các phương thức tấn công mới.
Bên cạnh đó, Thông tư bổ sung nhiều biện pháp kỹ thuật nhằm phát hiện và ngăn chặn các hành vi tấn công nâng cao như sử dụng môi trường giả lập, can thiệp trái phép vào ứng dụng, bẻ khóa thiết bị hay ghi log trái phép. Các quy định này đã nâng yêu cầu bảo mật từ mức phòng ngừa thụ động lên phòng thủ chủ động, góp phần giảm thiểu nguy cơ gian lận công nghệ cao và lộ lọt dữ liệu khách hàng.
Nâng cao tính tự vệ của ứng dụng Mobile Banking
Mobile Banking hiện là kênh giao dịch phổ biến nhất của khách hàng, đồng thời cũng là mục tiêu tấn công chủ yếu của các đối tượng gian lận. Nhận diện rõ thực tế này, Thông tư số 77 bổ sung hàng loạt yêu cầu mới nhằm tăng cường tính tự vệ của ứng dụng Mobile Banking, như: tối thiểu 3 tháng/lần, các đơn vị phải đánh giá an toàn, bảo mật của các phiên bản phàn mềm ứng dụng,… không cho phép hạ cấp phiên bản và áp dụng biện pháp kiểm soát chặt chẽ đối với các lỗ hổng bảo mật nghiêm trọng.
Đặc biệt, Thông tư số 77 quy định bắt buộc ứng dụng Mobile Banking phải tự động thoát hoặc dừng hoạt động và thông báo cho khách hàng lý do nếu phát hiện thiết bị bị bẻ khóa (root/jailbreak), hoặc bị mở khoá cơ chế bảo vệ (unlock_bootloader); bị can thiệp bởi trình gỡ lỗi hoặc chạy trong môi trường giả lập,… Việc kiểm soát lỗ hổng theo chuẩn quốc tế OWASP.
Những quy định này góp phần nâng cao mức độ an toàn của kênh Mobile Banking, đồng thời thúc đẩy các tổ chức cung ứng dịch vụ đầu tư bài bản hơn cho công tác quản trị, vận hành và cập nhật ứng dụng. Đồng thời, quy định cũng nâng cao đáng kể khả năng tự bảo vệ của ứng dụng phía người dùng, giảm nguy cơ bị cài cắm mã độc hoặc bị lợi dụng thông qua các thiết bị không an toàn.
Tăng cường các công nghệ xác thực tiên tiến
Trước sự phát triển nhanh của công nghệ Deepfake và các hình thức giả mạo khuôn mặt, Thông tư số 77 yêu cầu các giải pháp sinh trắc học phải tích hợp cơ chế phát hiện vật thể sống (Presentation Attack Detection – PAD) đạt chuẩn quốc tế ISO 30107 Level 2 hoặc tương đương. Tổ chức chứng nhận phải được cấp phép bởi Cơ quan công nhận đã tham gia Thoả thuận công nhận lẫn nhau đa phương của Diễn đàn Công nhận Quốc tế (IAF-MLA). Việc chuẩn hóa yêu cầu PAD ở mức cao thể hiện rõ quyết tâm của cơ quan quản lý trong việc ngăn chặn gian lận ngay từ khâu xác thực, bảo đảm sinh trắc học thực sự trở thành lớp bảo vệ tin cậy.
Thông tư số 77 cũng thực hiện bãi bỏ chữ ký điện tử chuyên dùng cho khách hàng, nhằm bảo đảm sự thống nhất với Nghị định số 23/2025/NĐ-CP ngày 21/02/2025 của Chính phủ quy định về chữ ký điện tử và dịch vụ tin cậy. Thay đổi này giúp đồng bộ hệ thống pháp luật và tạo thuận lợi cho các tổ chức và khách hàng sử dụng các hình thức chữ ký điện tử đã được chuẩn hóa, công nhận rộng rãi.
Một điểm mới đáng chú ý khác của Thông tư số 77 là việc bổ sung hình thức xác nhận giao dịch bằng giải pháp tiêu chuẩn quốc tế PGP (Pretty Good Privacy), cho phép áp dụng trong các giao dịch tự động giữa các hệ thống (Host-to-Host). Việc ghi nhận chính thức tiêu chuẩn PGP giúp mở rộng dư địa ứng dụng cho các mô hình giao dịch tự động, giao dịch giá trị lớn, đồng thời vẫn bảo đảm yêu cầu an toàn, bảo mật theo chuẩn quốc tế
Mục tiêu xây dựng hệ sinh thái tài chính số an toàn
Có thể khẳng định, Thông tư số 77 là một bước nâng cấp quan trọng trong khuôn khổ pháp lý về an toàn, bảo mật dịch vụ ngân hàng số tại Việt Nam. Thông tư không chỉ cập nhật theo xu hướng công nghệ và chuẩn mực quốc tế, mà còn thể hiện rõ tư duy quản lý hiện đại: linh hoạt, dựa trên rủi ro và lấy thực tiễn triển khai làm trung tâm. Đây sẽ là nền tảng quan trọng góp phần bảo đảm an toàn hệ thống tài chính – ngân hàng, đồng thời thúc đẩy phát triển bền vững các dịch vụ tài chính số trong thời gian tới.
Ngoài ra, việc NHNN ban hành Thông tư số 77 không chỉ nhằm tiếp tục hoàn thiện và đồng bộ hành lang pháp lý về an toàn, bảo mật dịch vụ trực tuyến trong ngành Ngân hàng; mà còn thể hiện rõ quyết tâm của Ngân hàng Nhà nước trong việc xây dựng một hệ sinh thái tài chính số an toàn, minh bạch, bảo vệ tối đa quyền lợi và tài sản của khách hàng trước các thách thức ngày càng gia tăng về an ninh mạng.
MN