3 trường hợp mobile banking tự ngừng hoạt động từ ngày 1/3/2026

3 trường hợp mobile banking tự ngừng hoạt động từ ngày 1/3/2026

Ngân hàng Nhà nước đã ban hành Thông tư 77/2025/TT-NHNN có hiệu lực từ ngày 1/3/2026 sửa đổi, bổ sung một số điều của Thông tư số 50/2024/TT-NHNN của Thống đốc ngân hàng nhà nước Việt Nam quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyển trong ngành ngân hàng.

Theo đó, để tránh sự tấn công của mã độc từ bên ngoài, Thông tư 77/2025/TT-NHNN yêu cầu ứng dụng này phải tự động ngắt kết nối hoặc ngừng hoạt động ngay lập tức nếu phát hiện điện thoại thuộc trường hợp:

- Điện thoại có trình gỡ lỗi (debugger) được gắn vào hoặc môi trường có trình gỡ lỗi đang hoạt động; hoặc khi ứng dụng bị chạy trong môi trường giả lập (emulator)/ máy ảo/ thiết bị giả lập; hoặc hoạt động ở chế độ cho phép máy tính giao tiếp trực tiếp với thiết bị Android (Android Debug Bridge);

- Điện thoại bị chèn mã bên ngoài ứng dụng khi đang chạy, thực hiện các hành vi như theo dõi các hàm được chạy, ghi lại log dữ liệu truyền qua các hàm, API.... (hook); hoặc phần mềm ứng dụng bị can thiệp, đóng gói lại (repacking);

- Điện thoại đã bị phá khóa (root / jailbreak); hoặc bị mở khóa cơ chế bảo vệ (unlockbootloader).

Quy định mới các hình thức xác nhận giao dịch điện tử thông qua hệ thống online banking

Tại Điều 11 Thông tư 50/2024/TT-NHNN được sửa đổi, bổ sung Thông tư 77/2025/TT-NHNN các hình thức xác nhận được quy định như sau:

- Hình thức xác nhận bằng mã khóa bí mật (Password): khách hàng sử dụng mã khóa bí mật là một chuỗi ký tự để xác nhận quyền truy cập của khách hàng vào hệ thống thông tin, ứng dụng, dịch vụ hoặc xác nhận khách hàng thực hiện giao dịch. Hình thức xác nhận bằng mã khóa bí mật phải đáp ứng yêu cầu:

+ Mã khóa bí mật có độ dài tối thiểu 08 ký tự và cấu tạo bao gồm tối thiểu các ký tự: số, chữ hoa, chữ thường;

+ Thời gian hiệu lực của mã khóa bí mật tối đa 12 tháng, đối với mã khóa bí mật được cấp phát mặc định lần đầu: thời gian hiệu lực tối đa là 30 ngày.

- Hình thức xác nhận bằng mã PIN (Personal Identification Number) là hình thức xác nhận bằng mã khóa bí mật trong đó mã khóa bí mật được tạo từ một chuỗi các chữ số. Hình thức xác nhận bằng mã PIN (trừ trường hợp mã PIN gắn với thẻ vật lý) phải đáp ứng yêu cầu:

+ Mã PIN có độ dài tối thiểu 06 ký tự;

+ Thời gian hiệu lực của mã PIN tối đa 12 tháng, đối với mã PIN được cấp phát mặc định lần đầu: thời gian hiệu lực tối đa là 30 ngày.

- Hình thức xác nhận bằng mã khóa bí mật dùng một lần (One Time Password - OTP) là hình thức xác nhận bằng mã khóa bí mật trong đó mã khóa bí mật có giá trị sử dụng một lần và có hiệu lực trong một khoảng thời gian nhất định, bao gồm các hình thức sau:

+ SMS OTP là hình thức xác nhận thông qua mã OTP được gửi qua tin nhắn SMS (Short Message Services) hoặc tin nhắn thông qua dịch vụ viễn thông cơ bản trên Internet. SMS OTP phải đáp ứng yêu cầu:

++ OTP gửi tới khách hàng phải kèm thông tin thông báo để khách hàng nhận biết được mục đích của OTP;

++ OTP có hiệu lực tối đa 05 phút.

+ Voice OTP là hình thức xác nhận thông qua mã OTP được gửi qua cuộc gọi thoại hoặc cuộc gọi thông qua dịch vụ viễn thông cơ bản trên Internet. Voice OTP phải đáp ứng yêu cầu:

++ OTP gửi tới khách hàng phải kèm thông tin thông báo để khách hàng nhận biết được mục đích của OTP;

++ OTP có hiệu lực tối đa 03 phút.

+ Email OTP là hình thức xác nhận thông qua mã OTP được gửi qua thư điện tử. Email OTP phải đáp ứng yêu cầu:

++ OTP gửi tới khách hàng phải kèm thông tin thông báo để khách hàng nhận biết được mục đích của OTP;

++ OTP có hiệu lực tối đa 05 phút.

+ Thẻ ma trận OTP là hình thức xác nhận thông qua mã OTP được xác định từ một bảng 2 chiều (dòng, cột), tương ứng với mỗi dòng, cột là một mã OTP. Thẻ ma trận OTP phải đáp ứng yêu cầu:

++ Thẻ ma trận OTP có thời hạn sử dụng tối đa 01 năm kể từ ngày đăng ký thẻ;

++ OTP có hiệu lực tối đa 02 phút.

+ Soft OTP là hình thức xác nhận thông qua mã OTP được tạo bởi phần mềm cài đặt trên thiết bị di động của khách hàng, phần mềm Soft OTP có thể là phần mềm độc lập hoặc được tích hợp với phần mềm ứng dụng Mobile Banking.

Soft OTP có 02 loại: Soft OTP loại cơ bản: Mã OTP được sinh ngẫu nhiên theo thời gian, đồng bộ với hệ thống Online Banking; Soft OTP loại nâng cao: Mã OTP được tạo kết hợp với mã của từng giao dịch, khi thực hiện giao dịch, hệ thống Online Banking tạo ra một mã giao dịch thông báo cho khách hàng hoặc truyền cho phần mềm Soft OTP, khách hàng hoặc phần mềm Soft OTP tự động nhập mã giao dịch vào phần mềm Soft OTP để phần mềm Soft OTP tạo ra mã OTP.

Soft OTP phải đáp ứng yêu cầu:

Trường hợp phần mềm Soft OTP độc lập với phần mềm ứng dụng Mobile Banking, phải được đơn vị đăng ký, quản lý tại kho ứng dụng chính thức của hãng cung cấp hệ điều hành cho thiết bị di động và hướng dẫn cài đặt rõ ràng trên trang tin điện tử của đơn vị để khách hàng tải và cài đặt phần mềm Soft OTP;

Phần mềm Soft OTP phải yêu cầu kích hoạt trước khi sử dụng. Mã kích hoạt sử dụng Soft OTP do đơn vị cung cấp cho khách hàng và chỉ được sử dụng để kích hoạt trên một thiết bị di động. Mã kích hoạt phải được thiết lập thời hạn hiệu lực sử dụng;

Phần mềm Soft OTP phải có chức năng kiểm soát truy cập. Trường hợp truy cập sai liên tiếp quá số lần do đơn vị quy định (nhưng không quá 10 lần), phần mềm Soft OTP phải tự động khóa không cho khách hàng sử dụng tiếp. Đơn vị chỉ mở khóa phần mềm Soft OTP khi khách hàng yêu cầu và phải kiểm tra, nhận biết khách hàng trước khi thực hiện mở khóa, bảo đảm chống gian lận, giả mạo.

Trường hợp phần mềm Soft OTP độc lập với phần mềm ứng dụng Mobile Banking phải có chức năng kiểm tra khách hàng cá nhân trước khi cho phép khách hàng sử dụng lần đầu hoặc trước khi khách hàng sử dụng trên thiết bị khác với thiết bị sử dụng lần gần nhất. Việc kiểm tra khách hàng tối thiểu bao gồm: (i) khớp đúng SMS OTP hoặc Voice OTP thông qua số điện thoại đã được khách hàng đăng ký, (ii) và khớp đúng thông tin sinh trắc học của khách hàng;

Mã OTP có hiệu lực tối đa 02 phút.

+ Token OTP là hình thức xác nhận thông qua mã OTP tạo bởi thiết bị chuyên dụng. Token OTP có 02 loại: Token OTP loại cơ bản: Mã OTP được tạo một cách ngẫu nhiên theo thời gian, đồng bộ với hệ thống Online Banking; Token OTP loại nâng cao: Mã OTP được tạo ra kết hợp với mã của từng giao dịch. Khi thực hiện giao dịch, hệ thống Online Banking tạo ra một mã giao dịch thông báo cho khách hàng, khách hàng nhập mã giao dịch vào Token OTP để thiết bị tạo ra mã OTP. Token OTP có hiệu lực tối đa 02 phút.

- Hình thức xác nhận hai kênh là hình thức xác nhận khi khách hàng thực hiện giao dịch, hệ thống Online Banking sẽ gửi thông tin yêu cầu xác nhận giao dịch đến thiết bị di động của khách hàng qua cuộc gọi thoại hoặc cuộc gọi thông qua dịch vụ viễn thông cơ bản trên Internet hoặc qua mã tin nhắn nhanh USSD (Unstructured Supplementary Service Data) hoặc qua phần mềm chuyên dụng, khách hàng phản hồi trực tiếp qua kênh đã kết nối để xác nhận hoặc không xác nhận thực hiện giao dịch. Yêu cầu xác nhận của hình thức xác nhận hai kênh có hiệu lực tối đa 05 phút.

- Hình thức xác nhận khớp đúng thông tin sinh trắc học là việc đối chiếu, so sánh để bảo đảm trùng khớp thông tin sinh trắc học của khách hàng đang thực hiện giao dịch với thông tin sinh trắc học của khách hàng đã thu thập, lưu trữ tại đơn vị theo quy định của Thống đốc Ngân hàng Nhà nước. Hình thức khớp đúng thông tin sinh trắc học phải đáp ứng tối thiểu yêu cầu:

+ Trường hợp áp dụng hình thức khớp đúng thông tin sinh trắc học sử dụng khuôn mặt:

++ Có độ chính xác được xác định theo tiêu chuẩn quốc tế như sau (hoặc tương đương): Có tỷ lệ từ chối sai < 5% với tỷ lệ chấp nhận sai < 0,01% theo tiêu chuẩn FIDO Biometric Requirement (áp dụng đối với tập mẫu tối thiểu 10.000 mẫu);

++ Có khả năng phát hiện tấn công giả mạo thông tin sinh trắc học của vật thể sống (Presentation Attack Detection - PAD) dựa trên các tiêu chuẩn quốc tế (như NIST Special Publication 800-63B Digital Identity Guidelines: Authentication and Lifecycle Management hoặc ISO 30107 - Biometric presentation attack detection hoặc FIDO Biometric Requirements) để phòng, chống gian lận, giả mạo khách hàng qua hình ảnh, video, mặt nạ 3D.

+ Trường hợp áp dụng các hình thức khớp đúng thông tin sinh trắc học khác, phải bảo đảm phòng, chống gian lận, giả mạo khách hàng theo tiêu chuẩn tương đương;

+ Giải pháp phát hiện tấn công giả mạo thông tin sinh trắc học của vật thể sống (Presentation Attack Detection - PAD) theo quy định tại điểm a khoản này do đơn vị tự triển khai hoặc sử dụng của bên thứ ba cung cấp phải được cấp chứng nhận của tổ chức/phòng thí nghiệm sinh trắc học được Liên minh FIDO (FIDO Alliance) công nhận hoặc của Tổ chức chứng nhận (Certification Body) cấp phép xác nhận tuân thủ tiêu chuẩn quốc tế (ISO), đáp ứng tiêu chuẩn ISO 30107 cấp độ 2 (Level 2) hoặc tương đương. Tổ chức chứng nhận (Certification Body) phải được cấp phép bởi Cơ quan công nhận (Accreditation Body) đã tham gia Thỏa thuận công nhận lẫn nhau đa phương của Diễn đàn Công nhận Quốc tế (International Accreditation Forum - IAF Multilateral Recognition Arrangement, IAF MLA).

+ Trường hợp khách hàng xác nhận bằng hình thức khớp đúng thông tin sinh trắc học quá số lần sai liên tiếp do đơn vị quy định (nhưng không quá 10 lần): khóa chức năng thực hiện xác nhận giao dịch bằng hình thức khớp đúng thông tin sinh trắc học, chỉ mở khóa khi khách hàng yêu cầu và phải kiểm tra khách hàng trước khi thực hiện, bảo đảm chống gian lận, giả mạo;

+ Thời gian thực hiện khớp đúng thông tin sinh trắc học tối đa 03 phút.

- Hình thức xác nhận khớp đúng thông tin sinh trắc học thiết bị là việc đối chiếu, so sánh để bảo đảm trùng khớp thông tin sinh trắc học của khách hàng đang thực hiện giao dịch với thông tin sinh trắc học của khách hàng đã lưu trữ trên thiết bị di động của khách hàng. Hình thức khớp đúng thông tin sinh trắc học thiết bị phải đáp ứng yêu cầu:

+ Chỉ cho phép kích hoạt sử dụng sau khi có sự đồng ý của khách hàng và khách hàng đã thực hiện ít nhất một giao dịch thành công bằng hình thức xác nhận khác;

+ Thời gian thực hiện khớp đúng thông tin sinh trắc học tối đa 02 phút.

- Hình thức xác nhận FIDO (Fast IDentity Online) là hình thức xác nhận theo tiêu chuẩn về xác nhận giao dịch sử dụng thuật toán khóa không đối xứng (gồm khóa bí mật và khóa công khai, trong đó khóa bí mật được dùng để ký số và khóa công khai được dùng để kiểm tra chữ ký số) do Liên minh FIDO (FIDO Alliance) ban hành. Hình thức xác nhận FIDO phải đáp ứng yêu cầu:

+ Khóa bí mật được lưu giữ an toàn trên thiết bị của khách hàng. Khách hàng sử dụng hình thức xác nhận bằng mã PIN hoặc khớp đúng thông tin sinh trắc học thiết bị để truy cập, sử dụng khóa bí mật khi thực hiện giao dịch;

+ Khóa công khai được lưu trữ an toàn tại đơn vị và được liên kết với tài khoản giao dịch điện tử của khách hàng;

+ Giải pháp do đơn vị tự triển khai hoặc sử dụng của bên thứ ba cung cấp phải được cấp chứng nhận của tổ chức được Liên minh FIDO (FIDO Alliance) công nhận.

- Hình thức xác nhận PGP (Pretty Good Privacy) là hình thức xác nhận theo tiêu chuẩn về bảo mật và xác thực sử dụng thuật toán mã hóa dùng cặp khóa không đối xứng (gồm khóa bí mật và khóa công khai, trong đó khóa bí mật được dùng để ký số và khóa công khai được dùng để kiểm tra chữ ký số) do tổ chức tiêu chuẩn quốc tế IETF (Internet Engineering Task Force) ban hành. Hình thức xác nhận PGP phải đáp ứng các yêu cầu:

+ Khóa công khai của khách hàng được đăng ký với đơn vị, được lưu trữ an toàn tại đơn vị và được liên kết với tài khoản giao dịch điện tử của khách hàng;

+ Có phương thức bảo đảm xác minh danh tính chủ thể gắn với khóa, cơ chế bảo mật và thu hồi khóa;

+ Có thỏa thuận về trách nhiệm pháp lý của đơn vị và khách hàng liên quan đến tính xác thực, tính toàn vẹn và không chối bỏ của các tệp tin giao dịch được ký theo phương thức này.

- Hình thức xác nhận bằng chữ ký điện tử an toàn là hình thức xác nhận bằng chữ ký điện tử, trong đó chữ ký điện tử là chữ ký số hoặc chữ ký điện tử nước ngoài được công nhận tại Việt Nam theo quy định của pháp luật về chữ ký điện tử.

- Hình thức xác nhận trên cơ sở đánh giá rủi ro đối với giao dịch thanh toán thẻ trực tuyến theo tiêu chuẩn EMV 3-D Secure (sau đây gọi tắt là hình thức xác nhận EMV 3DS). Hình thức xác nhận EMV 3DS phải đáp ứng yêu cầu: Tổ chức phát hành thẻ, tổ chức thanh toán thẻ và đơn vị chấp nhận thẻ phải triển khai tiêu chuẩn EMV 3-D Secure.

- Hình thức xác nhận thông qua các thao tác thể hiện sự xác nhận của khách hàng đối với thông điệp dữ liệu khi thực hiện giao dịch như bấm chấp nhận, phê duyệt, gửi hoặc các hoạt động tương tự trên phần mềm ứng dụng Online Banking. Hình thức xác nhận thông qua các thao tác thể hiện sự xác nhận của khách hàng đối với thông điệp dữ liệu khi thực hiện giao dịch phải đáp ứng yêu cầu:

+ Các thao tác xác nhận phải được lưu trữ nhật ký (log) để có thể truy vấn được thông tin liên quan đến các thao tác xác nhận này;

+ Khách hàng là tổ chức và đã thực hiện đăng nhập phần mềm ứng dụng Online Banking sử dụng hình thức xác nhận theo quy định tại Điều này trừ khoản 1, khoản 2, khoản 6, khoản 10.