Thông tư 77/2025/TT-NHNN: Chống Deepfake, siết Online Banking

Mục lục

Ngân hàng Nhà nước Việt Nam ban hành Thông tư 77/2025/TT-NHNN sửa đổi Thông tư 50/2024/TT-NHNN về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng, có hiệu lực từ ngày 01/3/2026. Trước thực trạng tội phạm lợi dụng tài khoản doanh nghiệp “ma” và các công nghệ tinh vi như Deepfake, mã độc để lừa đảo, Thông tư bổ sung các yêu cầu kỹ thuật và cơ chế kiểm soát nhằm tăng năng lực phòng vệ chủ động cho hệ thống và giao dịch trực tuyến.

I. Phạm vi sửa đổi của Thông tư 77/2025/TT-NHNN

Thông tư 77/2025/TT-NHNN tập trung sửa đổi, bổ sung các quy định về an toàn, bảo mật đối với dịch vụ trực tuyến trong ngành Ngân hàng theo hướng:

Siết chặt cơ chế xác thực khách hàng tổ chức theo ngưỡng giao dịch.
Tăng “tự vệ” cho ứng dụng Mobile Banking trước can thiệp hệ thống/giả lập.
Bổ sung yêu cầu chống giả mạo sinh trắc học theo chuẩn quốc tế.
Đồng bộ quy định về chữ ký điện tử để phù hợp quy định mới.
Bổ sung phương thức xác nhận giao dịch tự động giữa các hệ thống theo chuẩn quốc tế.
Thiết lập cơ chế kiểm soát phiên bản ứng dụng Mobile Banking theo chu kỳ.

II. Các điểm sửa đổi, bổ sung chính theo Thông tư 77/2025/TT-NHNN

1. Tăng cường xác thực khách hàng tổ chức

Thông tư bổ sung định nghĩa “khách hàng tổ chức mới” nhằm nhận diện nhóm khách hàng có mức độ rủi ro cao, cần áp dụng biện pháp xác thực mạnh. Theo đó, hình thức khớp đúng thông tin sinh trắc học hoặc chữ ký điện tử an toàn bắt buộc phải áp dụng khi:

Giao dịch có giá trị trên 50 triệu đồng.
Tổng giá trị giao dịch trong ngày vượt quá 100 triệu đồng.

Yêu cầu này nhằm tăng độ tin cậy của quy trình xác thực với nhóm khách hàng tổ chức có rủi ro cao, giảm nguy cơ bị lợi dụng thông qua các hồ sơ/định danh không bảo đảm.

2. Nâng cao tính tự vệ của ứng dụng Mobile Banking

Đối với ứng dụng Mobile Banking, Thông tư yêu cầu cơ chế tự bảo vệ theo hướng bắt buộc:

Ứng dụng tự dừng hoạt động khi phát hiện thiết bị bị Root/Jailbreak.
Ứng dụng tự dừng hoạt động khi phát hiện bị can thiệp bởi trình gỡ lỗi hoặc chạy trong môi trường giả lập.
Thực hiện kiểm soát lỗ hổng theo chuẩn quốc tế OWASP.

Nhóm yêu cầu này hướng tới hạn chế nguy cơ bị chiếm quyền điều khiển, cấy mã độc hoặc giả lập môi trường để thao túng giao dịch.

3. Chống giả mạo sinh trắc học

Thông tư đặt yêu cầu giải pháp phát hiện vật thể sống (PAD) phải đạt chuẩn quốc tế ISO 30107 Level 2. Đây là yêu cầu kỹ thuật nhằm tăng khả năng phát hiện các hình thức giả mạo sinh trắc học và hạn chế rủi ro bị lợi dụng bởi công nghệ giả mạo ngày càng tinh vi.

4. Đồng bộ chữ ký điện tử

Thông tư thực hiện bãi bỏ chữ ký điện tử chuyên dùng cho khách hàng để phù hợp với quy định mới. Việc đồng bộ này nhằm thống nhất cơ chế chữ ký điện tử, tránh tồn tại song song nhiều loại chữ ký gây khó khăn trong triển khai và kiểm soát.

5. Bổ sung phương thức xác nhận giao dịch bằng giải pháp PGP

Thông tư cho phép sử dụng tiêu chuẩn quốc tế PGP (Pretty Good Privacy) để xác nhận các giao dịch tự động giữa các hệ thống theo mô hình Host-to-Host. Quy định này mở rộng lựa chọn kỹ thuật cho các giao dịch giữa hệ thống với hệ thống, phục vụ nhu cầu kết nối, tích hợp và xác nhận giao dịch tự động.

III. Kiểm soát phiên bản cài đặt được phát hành của ứng dụng Mobile Banking

Thông tư bổ sung khoản 1a vào sau khoản 1 Điều 8, quy định cơ chế kiểm soát phiên bản cài đặt phát hành của ứng dụng Mobile Banking, với các nội dung chính:

1. Đánh giá định kỳ tối thiểu 03 tháng một lần

Định kỳ tối thiểu 03 tháng/lần, đơn vị phải đánh giá an toàn, bảo mật các phiên bản phần mềm ứng dụng đang cho phép khách hàng cài đặt, sử dụng nhằm:

Xác định lỗ hổng bảo mật.
Đánh giá khả năng ứng dụng bị can thiệp bởi tội phạm mạng.

2. Bắt buộc sử dụng phiên bản mới nhất hoặc phiên bản gần nhất khi kích hoạt trên thiết bị mới/kích hoạt lại

Khi khách hàng kích hoạt trên thiết bị mới hoặc kích hoạt lại ứng dụng Mobile Banking:

Khách hàng phải cài đặt, sử dụng phiên bản mới nhất hoặc phiên bản gần nhất bảo đảm yêu cầu an toàn, bảo mật theo quy định.
Đơn vị phải có giải pháp kiểm soát không cho phép hạ phiên bản (downgrading) xuống sử dụng các phiên bản thấp hơn trong trường hợp này.

3. Xử lý khi phát hiện lỗ hổng mức cao hoặc nghiêm trọng

Khi phát hiện lỗ hổng bảo mật được đánh giá ở mức cao hoặc nghiêm trọng, đơn vị phải:

Có biện pháp kiểm tra, không cho thực hiện giao dịch hoặc áp dụng biện pháp kiểm soát nhằm phòng chống việc lợi dụng lỗ hổng để tấn công mạng, thực hiện giao dịch gian lận, chiếm đoạt tài sản.
Thực hiện xử lý, khắc phục, cập nhật ngay phiên bản mới theo thời hạn quy định tại khoản 6 Điều 14 của Thông tư.

IV. Đối tượng áp dụng

Đối tượng áp dụng của Thông tư 77/2025/TT-NHNN gồm:

Tổ chức tín dụng.
Chi nhánh ngân hàng nước ngoài.
Tổ chức cung ứng dịch vụ trung gian thanh toán.
Tổ chức cung ứng dịch vụ Tiền di động.
Công ty thông tin tín dụng.

V. Mốc hiệu lực 01/3/2026 và các nhóm yêu cầu trọng tâm

Kể từ 01/3/2026, các quy định sửa đổi, bổ sung tại Thông tư 77/2025/TT-NHNN được áp dụng trong hoạt động cung cấp dịch vụ trực tuyến ngành Ngân hàng, nổi bật là:

Xác thực mạnh đối với khách hàng tổ chức mới theo ngưỡng trên 50 triệu đồng/giao dịch và trên 100 triệu đồng/ngày.
Yêu cầu ứng dụng Mobile Banking tự dừng hoạt động khi phát hiện Root/Jailbreak, trình gỡ lỗi, môi trường giả lập; kiểm soát lỗ hổng theo OWASP.
Yêu cầu giải pháp chống giả mạo sinh trắc học PAD ISO 30107 Level 2.
Đồng bộ quy định về chữ ký điện tử; bổ sung lựa chọn xác nhận giao dịch Host-to-Host bằng PGP.
Kiểm soát phiên bản ứng dụng theo chu kỳ và chặn hạ phiên bản khi kích hoạt lại/kích hoạt thiết bị mới.