Từ ngày 1/3/2026: Vietcombank, VietinBank, Agribank… dừng hoạt động ứng dụng ngân hàng đối với các thiết bị sau
Ngân hàng Nhà nước Việt Nam vừa ban hành Thông tư 77/2025/TT-NHNN với nhiều quy định mới nhằm tăng cường an ninh mạng, trong đó yêu cầu ứng dụng Mobile Banking phải tự động ngắt nếu phát hiện thiết bị người dùng đã bị can thiệp trái phép.
Theo chuyên trang Phụ nữ số đăng tải bài viết với tiêu đề: "Từ ngày 1/3/2026: Vietcombank, VietinBank, Agribank… dừng hoạt động ứng dụng ngân hàng đối với các thiết bị sau", nội dung như sau:
Trước bối cảnh tội phạm công nghệ cao gia tăng các hình thức tấn công vào tài khoản ngân hàng, Ngân hàng Nhà nước (NHNN) đã ban hành Thông tư số 77/2025/TT-NHNN sửa đổi, bổ sung một số điều của Thông tư 50/2024/TT-NHNN. Văn bản pháp lý mới này đặt ra các yêu cầu kỹ thuật nghiêm ngặt đối với các tổ chức tín dụng nhằm bảo vệ tài sản khách hàng. Đáng chú ý nhất tại Điều 5 của Thông tư là quy định về cơ chế vận hành của ứng dụng Mobile Banking trên thiết bị khách hàng.
Theo đó, các ứng dụng ngân hàng bắt buộc phải có khả năng tự phát hiện và tự động dừng hoạt động nếu nhận thấy môi trường thiết bị không an toàn. Các trường hợp cụ thể bao gồm: thiết bị đã bị bẻ khóa (root/jailbreak) hoặc mở khóa bootloader; ứng dụng chạy trên môi trường giả lập (emulator) hoặc có trình gỡ lỗi (debugger) đang hoạt động. Quy định này cũng áp dụng khi phát hiện phần mềm bị chèn mã lạ, bị theo dõi hàm dữ liệu (hook) hoặc bị đóng gói lại (repacking). Đây được xem là "chốt chặn" kỹ thuật quan trọng để ngăn ngừa hacker chiếm quyền điều khiển ứng dụng.
Song song với việc kiểm soát thiết bị đầu cuối, Thông tư 77 cũng mở rộng phạm vi điều chỉnh sang dịch vụ Tiền di động. Các đơn vị cung ứng dịch vụ này sẽ phải tuân thủ các chuẩn mực bảo mật tương đương tổ chức tín dụng. Ngoài ra, khái niệm "Khách hàng tổ chức mới" cũng được bổ sung, yêu cầu các doanh nghiệp mới thiết lập quan hệ trong vòng 12 tháng (trừ các trường hợp đặc biệt như cơ quan nhà nước, tập đoàn lớn) phải thực hiện xác thực mạnh bằng sinh trắc học hoặc chữ ký điện tử an toàn.
Về mặt công nghệ xác thực, để đối phó với làn sóng lừa đảo sử dụng trí tuệ nhân tạo (AI), NHNN yêu cầu các giải pháp phát hiện giả mạo sinh trắc học phải đạt chuẩn quốc tế ISO 30107 cấp độ 2. Đồng thời, các ngân hàng phải kiểm soát chặt chẽ phiên bản ứng dụng, không cho phép người dùng hạ cấp xuống các phiên bản cũ và phải thực hiện đánh giá lỗ hổng bảo mật định kỳ 3 tháng/lần.
Thông tư 77/2025/TT-NHNN sẽ chính thức có hiệu lực từ ngày 1/3/2026. Lộ trình áp dụng cụ thể đối với các quy định về thanh toán trực tuyến cho khách hàng cá nhân và tổ chức sẽ lần lượt được triển khai vào tháng 7 và tháng 10 năm 2026.
Theo chuyên trang Đời sống & Pháp luật đăng tải bài viết với tiêu đề: "Từ ngày 1/3, người dùng ngân hàng đang dùng điện thoại sau lưu ý", nội dung như sau:
Nhiều điện thoại sắp không chạy được ứng dụng ngân hàng.
Thông tư 77/2025/TT-NHNN do Ngân hàng Nhà nước Việt Nam ban hành, sửa đổi Thông tư 50/2024/TT-NHNN, sẽ chính thức có hiệu lực từ ngày 1/3. Điểm đáng chú ý của văn bản này là loạt yêu cầu mới liên quan đến an toàn, bảo mật đối với ứng dụng ngân hàng trên thiết bị di động.
Trong khi mục tiêu của chính sách là giảm thiểu rủi ro tấn công mạng và gian lận trực tuyến, nhiều quy định được đánh giá sẽ gây trở ngại cho nhóm người dùng sử dụng smartphone đã can thiệp phần mềm, đặc biệt là điện thoại Android xách tay.
Siết chặt quản lý phiên bản ứng dụng
Theo Thông tư 77, các tổ chức tín dụng phải tổ chức đánh giá mức độ an toàn, bảo mật của các phiên bản Mobile Banking tối thiểu 3 tháng/lần. Việc đánh giá này nhằm phát hiện sớm lỗ hổng kỹ thuật, nguy cơ bị chèn mã độc hoặc bị khai thác trái phép.
Đối với người dùng, thay đổi lớn nằm ở quy định về phiên bản ứng dụng. Khi khách hàng kích hoạt app trên thiết bị mới hoặc kích hoạt lại tài khoản, ngân hàng chỉ được phép cho sử dụng phiên bản mới nhất hoặc phiên bản gần nhất đã đáp ứng đầy đủ tiêu chuẩn bảo mật. Các ngân hàng đồng thời phải có biện pháp kỹ thuật để ngăn chặn hành vi hạ cấp ứng dụng về các bản cũ kém an toàn.
Thông tư 77 cũng đưa ra yêu cầu chặt chẽ hơn với môi trường vận hành ứng dụng. Cụ thể, app ngân hàng phải tự động thoát hoặc ngừng hoạt động và thông báo cho người dùng nếu phát hiện thiết bị có dấu hiệu mất an toàn.
Ba nhóm dấu hiệu chính gồm: thiết bị đã root, jailbreak hoặc mở khóa bootloader; ứng dụng bị can thiệp, chèn mã trong quá trình hoạt động; hoặc app đang chạy trong môi trường giả lập, máy ảo, có debugger, hay bật chế độ cho phép máy tính can thiệp sâu như Android Debug Bridge.
Những điều kiện này khiến nhiều thiết bị vốn được người dùng “tùy biến” để mở rộng tính năng không còn đủ điều kiện sử dụng dịch vụ ngân hàng trực tuyến.
Người dùng Android xách tay chịu ảnh hưởng lớn
Quy định mới đặc biệt tác động tới người dùng smartphone Android nội địa Trung Quốc được xách tay về Việt Nam. Phần lớn các thiết bị này buộc phải mở khóa bootloader để cài đặt ROM quốc tế, bổ sung tiếng Việt và dịch vụ Google. Khi bootloader đã bị mở, ứng dụng ngân hàng có thể tự động ngừng hoạt động theo tiêu chuẩn mới.
Trước đó, ứng dụng định danh điện tử VNeID không cho phép kích hoạt trên thiết bị root hoặc jailbreak. Nhiều ngân hàng lớn và ví điện tử cũng đã áp dụng biện pháp vô hiệu hóa ứng dụng trong các trường hợp tương tự, ngay cả trước khi Thông tư 77 được ban hành.
Với quy định mới, các biện pháp này sẽ được chuẩn hóa và áp dụng đồng loạt trong toàn hệ thống ngân hàng từ ngày 1/3.
