Từ ngày 1/3/2026: Vietcombank, VietinBank, Agribank… dừng hoạt động ứng dụng ngân hàng đối với các thiết bị sau
Ngân hàng Nhà nước Việt Nam vừa ban hành Thông tư 77/2025/TT-NHNN với nhiều quy định mới nhằm tăng cường an ninh mạng, trong đó yêu cầu ứng dụng Mobile Banking phải tự động ngắt nếu phát hiện thiết bị người dùng đã bị can thiệp trái phép.
Ngày 12 tháng 1 năm 2026, chuyên trang Phụ Nữ Số đăng tải bài viết với tiêu đề "Từ ngày 1/3/2026: Vietcombank, VietinBank, Agribank… dừng hoạt động ứng dụng ngân hàng đối với các thiết bị sau". Nội dung như sau:
Trước bối cảnh tội phạm công nghệ cao gia tăng các hình thức tấn công vào tài khoản ngân hàng, Ngân hàng Nhà nước (NHNN) đã ban hành Thông tư số 77/2025/TT-NHNN sửa đổi, bổ sung một số điều của Thông tư 50/2024/TT-NHNN. Văn bản pháp lý mới này đặt ra các yêu cầu kỹ thuật nghiêm ngặt đối với các tổ chức tín dụng nhằm bảo vệ tài sản khách hàng. Đáng chú ý nhất tại Điều 5 của Thông tư là quy định về cơ chế vận hành của ứng dụng Mobile Banking trên thiết bị khách hàng.
Theo đó, các ứng dụng ngân hàng bắt buộc phải có khả năng tự phát hiện và tự động dừng hoạt động nếu nhận thấy môi trường thiết bị không an toàn. Các trường hợp cụ thể bao gồm: thiết bị đã bị bẻ khóa (root/jailbreak) hoặc mở khóa bootloader; ứng dụng chạy trên môi trường giả lập (emulator) hoặc có trình gỡ lỗi (debugger) đang hoạt động. Quy định này cũng áp dụng khi phát hiện phần mềm bị chèn mã lạ, bị theo dõi hàm dữ liệu (hook) hoặc bị đóng gói lại (repacking). Đây được xem là "chốt chặn" kỹ thuật quan trọng để ngăn ngừa hacker chiếm quyền điều khiển ứng dụng.
Song song với việc kiểm soát thiết bị đầu cuối, Thông tư 77 cũng mở rộng phạm vi điều chỉnh sang dịch vụ Tiền di động. Các đơn vị cung ứng dịch vụ này sẽ phải tuân thủ các chuẩn mực bảo mật tương đương tổ chức tín dụng. Ngoài ra, khái niệm "Khách hàng tổ chức mới" cũng được bổ sung, yêu cầu các doanh nghiệp mới thiết lập quan hệ trong vòng 12 tháng (trừ các trường hợp đặc biệt như cơ quan nhà nước, tập đoàn lớn) phải thực hiện xác thực mạnh bằng sinh trắc học hoặc chữ ký điện tử an toàn.
Về mặt công nghệ xác thực, để đối phó với làn sóng lừa đảo sử dụng trí tuệ nhân tạo (AI), NHNN yêu cầu các giải pháp phát hiện giả mạo sinh trắc học phải đạt chuẩn quốc tế ISO 30107 cấp độ 2. Đồng thời, các ngân hàng phải kiểm soát chặt chẽ phiên bản ứng dụng, không cho phép người dùng hạ cấp xuống các phiên bản cũ và phải thực hiện đánh giá lỗ hổng bảo mật định kỳ 3 tháng/lần.
Thông tư 77/2025/TT-NHNN sẽ chính thức có hiệu lực từ ngày 1/3/2026. Lộ trình áp dụng cụ thể đối với các quy định về thanh toán trực tuyến cho khách hàng cá nhân và tổ chức sẽ lần lượt được triển khai vào tháng 7 và tháng 10 năm 2026.
Báo Sức Khỏe Đời Sống cũng đăng tải bài viết với tiêu đề "Từ 1/3, ứng dụng Mobile Banking sẽ tự động ngừng hoạt động hoặc thoát khi gặp 3 trường hợp này". Nội dung như sau:
Ngân hàng Nhà nước Việt Nam đã ban hành Thông tư số 77/2025/TT-NHNN sửa đổi, bổ sung một số điều của Thông tư số 50/2024/TT-NHNN của Thống đốc Ngân hàng Nhà nước Việt Nam quy định về an toàn bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng.
Trong đó, Thông tư nêu rõ triển khai các giải pháp nhằm phòng, chống, phát hiện các hành vi can thiệp trái phép vào ứng dụng Mobile Banking đã cài đặt trong thiết bị di động của khách hàng, ứng dụng Mobile Banking phải tự động thoát hoặc dừng hoạt động và thông báo cho khách hàng lý do nếu phát hiện một trong các dấu hiệu sau:
1. Có trình gỡ lỗi (debugger) được gắn vào hoặc môi trường có trình gỡ lỗi đang hoạt động; hoặc khi ứng dụng bị chạy trong môi trường giả lập (emulator)/ máy ảo/ thiết bị giả lập; hoặc hoạt động ở chế độ cho phép máy tính giao tiếp trực tiếp với thiết bị Android (Android Debug Bridge);
2. Phần mềm ứng dụng bị chèn mã bên ngoài ứng dụng khi đang chạy, thực hiện các hành vi như theo dõi các hàm được chạy, ghi lại log dữ liệu truyền qua các hàm, API.... (hook); hoặc phần mềm ứng dụng bị can thiệp, đóng gói lại (repacking);
3. Thiết bị đã bị phá khóa (root/jailbreak); hoặc bị mở khóa cơ chế bảo vệ (unlockbootloader)".
Theo Thông tư số 77/2025/TT-NHNN, từ 1/3, ứng dụng Mobile Banking sẽ tự động ngừng hoạt động hoặc thoát khi gặp 3 trường hợp. Ảnh minh họa: TL
Cũng theo Thông tư 77, phần mềm ứng dụng Mobile Banking do đơn vị cung cấp phải bảo đảm tuân thủ các quy định:
- Định kỳ tối thiểu 03 tháng một lần, đơn vị phải đánh giá an toàn, bảo mật của các phiên bản phần mềm ứng dụng đang cho phép khách hàng cài đặt, sử dụng nhằm xác định các lỗ hổng bảo mật và đánh giá khả năng bị can thiệp bởi tội phạm mạng.
- Trường hợp khách hàng kích hoạt trên thiết bị mới hoặc kích hoạt lại ứng dụng Mobile Banking, khách hàng phải cài đặt, sử dụng phiên bản mới nhất hoặc phiên bản gần nhất bảo đảm các yêu cầu về an toàn, bảo mật theo quy định. Đơn vị phải có giải pháp kiểm soát không cho phép hạ phiên bản (downgrading) xuống sử dụng các phiên bản thấp hơn trong trường hợp này.
- Khi phát hiện có lỗ hổng bảo mật được đánh giá ở mức cao hoặc nghiêm trọng, đơn vị phải có biện pháp kiểm tra, không cho thực hiện giao dịch hoặc có biện pháp kiểm soát nhằm phòng chống tội phạm lợi dụng lỗ hổng bảo mật để tấn công mạng, thực hiện các giao dịch gian lận, chiếm đoạt tài sản; đồng thời đơn vị phải thực hiện xử lý, khắc phục, cập nhật ngay phiên bản mới trong thời gian theo quy định tại khoản 6 Điều 14 Thông tư này.
Thông tư số 77/2025/TT-NHNN có hiệu lực thi hành kể từ ngày 1/3/2026.
Đối với các đơn vị cung cấp dịch vụ thanh toán trực tuyến cho cả khách hàng cá nhân và tổ chức, thời gian áp dụng từ ngày 1/7/2026.
Đối với các đơn vị chỉ cung cấp dịch vụ thanh toán trực tuyến cho khách hàng tổ chức (không cung cấp dịch vụ cho khách hàng cá nhân), thời gian áp dụng từ ngày 1/10/2026.
