Sắp tới đây, Vietcombank, Agribank, BIDV, VietinBank, VPBank, MB,TPBank…sẽ dừng hoạt động ứng dụng trên loạt điện thoại sau
Nhiều ngân hàng lớn như Vietcombank, Agribank, BIDV, VietinBank, VPBank, MB, TPBank,… sẽ buộc phải ngừng vận hành ứng dụng Mobile Banking trên các thiết bị không đáp ứng yêu cầu an toàn, bảo mật theo quy định mới của cơ quan quản lý.
Chuyên trang An ninh tiền tệ ngày 1/2/2026 đưa tin: "Sắp tới đây, Vietcombank, Agribank, BIDV, VietinBank, VPBank, MB,TPBank…sẽ dừng hoạt động ứng dụng trên loạt điện thoại sau", nội dung như sau:
Đây là nội dung đáng chú ý tại Thông tư 77/2025/TT-NHNN do Ngân hàng Nhà nước Việt Nam ban hành, sửa đổi, bổ sung một số điều của Thông tư 50/2024, nhằm siết chặt các tiêu chuẩn kỹ thuật trong cung cấp dịch vụ ngân hàng số trước bối cảnh tội phạm công nghệ cao ngày càng gia tăng.
Theo Ngân hàng Nhà nước, Thông tư 77 tập trung nâng cao mức độ an toàn cho tài khoản và tài sản của khách hàng, đặc biệt trước các hình thức gian lận sử dụng trí tuệ nhân tạo (AI), giả mạo sinh trắc học và tấn công ứng dụng ngày càng tinh vi.
Một trong những yêu cầu then chốt là các ngân hàng phải triển khai giải pháp phát hiện giả mạo sinh trắc học đáp ứng tiêu chuẩn quốc tế ISO 30107 – cấp độ 2. Đây được xem là bước nâng chuẩn quan trọng trong xác thực người dùng, đặc biệt với các giao dịch tài chính giá trị cao trên nền tảng số.
Ứng dụng ngân hàng sẽ tự động "khóa" nếu thiết bị không an toàn
Đáng chú ý, tại Điều 5 Thông tư 77, Ngân hàng Nhà nước quy định ứng dụng Mobile Banking phải có khả năng tự động phát hiện và ngừng hoạt động khi thiết bị người dùng không đáp ứng yêu cầu an toàn.
Cụ thể, ứng dụng ngân hàng sẽ bị chặn vận hành nếu phát hiện:
- Thiết bị đã root (Android) hoặc jailbreak (iOS)
- Thiết bị bị mở khóa bootloader
- Ứng dụng chạy trên môi trường giả lập
- Kích hoạt trình gỡ lỗi (debugging)
- Có dấu hiệu bị can thiệp như chèn mã lạ, hook theo dõi dữ liệu, đóng gói lại hoặc chỉnh sửa trái phép
Quy định này được coi là một "hàng rào kỹ thuật" nhằm ngăn chặn nguy cơ hacker chiếm quyền điều khiển ứng dụng ngân hàng, đánh cắp thông tin và thực hiện giao dịch gian lận.
Không cho phép sử dụng phiên bản ứng dụng cũ
Bên cạnh yêu cầu về thiết bị, Thông tư 77 cũng siết chặt việc quản lý vòng đời ứng dụng Mobile Banking. Theo đó: Người dùng không được phép hạ cấp ứng dụng xuống các phiên bản cũ tiềm ẩn rủi ro bảo mật.
Các tổ chức tín dụng phải định kỳ tối thiểu 3 tháng/lần rà soát, đánh giá và khắc phục lỗ hổng an toàn thông tin.
Không chỉ áp dụng với hệ thống ngân hàng, Thông tư 77 còn mở rộng phạm vi điều chỉnh sang các đơn vị cung ứng dịch vụ Tiền di động (Mobile Money). Các đơn vị này phải đáp ứng yêu cầu an toàn, bảo mật tương đương hệ thống ngân hàng khi cung cấp dịch vụ cho khách hàng.
Theo quy định, Thông tư 77/2025/TT-NHNN sẽ chính thức có hiệu lực từ ngày 1/3/2026.
Riêng các quy định liên quan đến thanh toán trực tuyến sẽ được triển khai theo lộ trình: Áp dụng với khách hàng cá nhân từ tháng 7/2026 và áp dụng với khách hàng tổ chức từ tháng 10/2026
Thông tư cũng bổ sung khái niệm "khách hàng tổ chức mới". Theo đó, các doanh nghiệp thiết lập quan hệ với ngân hàng trong vòng 12 tháng, trừ một số trường hợp đặc thù như cơ quan nhà nước hoặc tập đoàn lớn, sẽ phải áp dụng xác thực mạnh bằng sinh trắc học hoặc chữ ký điện tử an toàn khi sử dụng dịch vụ ngân hàng.
Trước đó, chuyên trang của báo Người đưa tin cũng đăng bài: "Nóng: Từ 1/3/2026, ứng dụng Mobile Banking sẽ dừng hoạt động đối với các thiết bị sau", nội dung cho biết:
Ngân hàng Nhà nước Việt Nam đã ban hành Thông tư số 77/2025/TT-NHNN sửa đổi, bổ sung một số điều của Thông tư số 50/2024/TT-NHNN về an toàn, bảo mật trong cung cấp dịch vụ trực tuyến ngành ngân hàng. Thông tin này có hiệu lực từ 01/03/2026
Theo quy định mới, các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài phải định kỳ tối thiểu 3 tháng một lần đánh giá mức độ an toàn, bảo mật của các phiên bản ứng dụng Mobile Banking đang cho phép khách hàng cài đặt và sử dụng. Việc đánh giá nhằm xác định các lỗ hổng bảo mật và khả năng bị tội phạm mạng can thiệp. Trường hợp phát hiện lỗ hổng được đánh giá ở mức cao hoặc nghiêm trọng, đơn vị cung ứng dịch vụ phải có biện pháp kiểm tra, kiểm soát giao dịch, phòng ngừa gian lận, chiếm đoạt tài sản, đồng thời thực hiện xử lý, khắc phục và cập nhật phiên bản mới theo thời hạn quy định.
Thông tư 77 cũng quy định rõ việc không cho phép hạ phiên bản ứng dụng (downgrading) trong một số trường hợp. Khi khách hàng kích hoạt Mobile Banking trên thiết bị mới hoặc kích hoạt lại ứng dụng, người dùng bắt buộc phải cài đặt và sử dụng phiên bản mới nhất hoặc phiên bản gần nhất đáp ứng yêu cầu an toàn, bảo mật. Các ngân hàng phải triển khai giải pháp kỹ thuật để ngăn việc quay về sử dụng các phiên bản cũ tiềm ẩn rủi ro bảo mật.
Bên cạnh đó, các tổ chức cung ứng dịch vụ phải triển khai các giải pháp nhằm phòng, chống và phát hiện hành vi can thiệp trái phép vào ứng dụng Mobile Banking đã cài đặt trên thiết bị di động của khách hàng.
Ứng dụng Mobile Banking phải tự động thoát hoặc dừng hoạt động và thông báo cho khách hàng lý do nếu phát hiện các dấu hiệu như: thiết bị bị gắn trình gỡ lỗi (debugger), ứng dụng chạy trong môi trường giả lập (emulator), máy ảo, kết nối thông qua Android Debug Bridge; ứng dụng bị chèn mã, theo dõi hàm, ghi log dữ liệu, can thiệp API (hook) hoặc bị đóng gói lại (repacking); thiết bị đã bị root, jailbreak hoặc bị mở khóa cơ chế bảo vệ (unlock bootloader).
Một nội dung quan trọng khác được bổ sung là không cho phép chức năng ghi nhớ mã khóa bí mật truy cập Mobile Banking, trừ trường hợp áp dụng hình thức xác nhận theo quy định riêng của Ngân hàng Nhà nước. Quy định này nhằm hạn chế nguy cơ lộ thông tin đăng nhập khi người dùng làm mất thiết bị, bị cài phần mềm gián điệp hoặc sử dụng điện thoại không đảm bảo an toàn.
