Mobile Banking sẽ tự động dừng hoạt động khi phát hiện 3 dấu hiệu bất thường từ ngày 01/3/2026
Từ ngày 01/3/2026 Ứng dụng Mobile Banking phải tự động thoát hoặc dừng hoạt động và thông báo cho khách hàng lý do nếu phát hiện 3 dấu hiệu bất thường dưới đây.
1. Từ 01/3/2026, Mobile Banking sẽ tự động dừng hoạt động khi phát hiện 3 dấu hiệu bất thường
Ngày 31/12/2025, Thống đốc Ngân hàng Nhà nước Việt Nam đã ban hành Thông tư 77/2025/TT-NHNN sửa đổi, bổ sung một số điều của Thông tư 50/2024/TT-NHNN của Thống đốc Ngân hàng Nhà nước Việt Nam quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng.
Thông tư 77/2025/TT-NHNN có hiệu lực từ ngày 01/3/2026.
Căn cứ khoản 4 Điều 8 Thông tư 50/2024/TT-NHNN (được sửa đổi, bổ sung bởi khoản 2 Điều 5 Thông tư 77/2025/TT-NHNN), quy định như sau:
“Điều 8. Phần mềm ứng dụng Mobile Banking
…
4. Triển khai các giải pháp nhằm phòng, chống, phát hiện các hành vi can thiệp trái phép vào ứng dụng Mobile Banking đã cài đặt trong thiết bị di động của khách hàng. Ứng dụng Mobile Banking phải tự động thoát hoặc dừng hoạt động và thông báo cho khách hàng lý do nếu phát hiện một trong các dấu hiệu sau:
a) Có trình gỡ lỗi (debugger) được gắn vào hoặc môi trường có trình gỡ lỗi đang hoạt động; hoặc khi ứng dụng bị chạy trong môi trường giả lập (emulator)/ máy ảo/ thiết bị giả lập; hoặc hoạt động ở chế độ cho phép máy tính giao tiếp trực tiếp với thiết bị Android (Android Debug Bridge);
b) Phần mềm ứng dụng bị chèn mã bên ngoài ứng dụng khi đang chạy, thực hiện các hành vi như theo dõi các hàm được chạy, ghi lại log dữ liệu truyền qua các hàm, API…. (hook); hoặc phần mềm ứng dụng bị can thiệp, đóng gói lại (repacking);
c) Thiết bị đã bị phá khóa (root / jailbreak); hoặc bị mở khóa cơ chế bảo vệ (unlockbootloader)”
Theo đó, từ ngày 01/3/2026 Ứng dụng Mobile Banking phải tự động thoát hoặc dừng hoạt động và thông báo cho khách hàng lý do nếu phát hiện một trong các dấu hiệu sau:
– Thứ nhất, ứng dụng bị gắn trình gỡ lỗi (debugger) được gắn vào hoặc môi trường có trình gỡ lỗi đang hoạt động; hoặc khi ứng dụng bị chạy trong môi trường giả lập (emulator)/ máy ảo/ thiết bị giả lập; hoặc hoạt động ở chế độ cho phép máy tính giao tiếp trực tiếp với thiết bị Android (Android Debug Bridge);
– Thứ hai, phần mềm ứng dụng bị chèn mã bên ngoài ứng dụng khi đang chạy, thực hiện các hành vi như theo dõi các hàm được chạy, ghi lại log dữ liệu truyền qua các hàm, API…. (hook); hoặc phần mềm ứng dụng bị can thiệp, đóng gói lại (repacking);
– Thứ ba, thiết bị của khách hàng đã bị phá khóa (root / jailbreak); hoặc bị mở khóa cơ chế bảo vệ (unlockbootloader)
2. Hướng dẫn truy cập phần mềm ứng dụng Online Banking
Căn cứ Điều 9 Thông tư 50/2024/TT-NHNN, quy định truy cập phần mềm ứng dụng Online Banking như sau:
(i) Khách hàng đăng ký sử dụng phần mềm ứng dụng Online Banking phải được đơn vị nhận biết khách hàng và cấp tài khoản giao dịch điện tử.
Tài khoản giao dịch điện tử gồm tên đăng nhập và tối thiểu một trong các hình thức xác nhận quy định tại khoản 1, khoản 2, khoản 3, khoản 4, khoản 5, khoản 6, khoản 7, khoản 8, khoản 9 Điều 11 Thông tư 50/2024/TT-NHNN (được sửa đổi, bổ sung bởi khoản 1, khoản 2, khoản 3 Điều 7 Thông tư 77/2025/TT-NHNN)
(ii) Khách hàng truy cập phần mềm ứng dụng Online Banking bằng tài khoản giao dịch điện tử do đơn vị cấp hoặc truy cập bằng hình thức đăng nhập một lần (Single Sign On) thông qua tài khoản giao dịch điện tử của hệ thống thông tin khác đã được đơn vị tích hợp và theo đăng ký của khách hàng.
3. Các chức năng bắt buộc của phần mềm ứng dụng Online Banking
Căn cứ khoản 6 Điều 7 Thông tư 50/2024/TT-NHNN (được sửa đổi, bổ sung bởi khoản 2 Điều 4 Thông tư 77/2025/TT-NHNN), các chức năng bắt buộc của phần mềm ứng dụng Online Banking bao gồm:
a) Toàn bộ dữ liệu khi truyền trên môi trường mạng hoặc dữ liệu trao đổi giữa phần mềm ứng dụng Online Banking với các trang thiết bị liên quan được áp dụng cơ chế mã hóa điểm đầu đến điểm cuối;
b) Bảo đảm tính toàn vẹn của dữ liệu giao dịch, mọi sửa đổi trái phép phải được phát hiện, cảnh báo, ngăn chặn hoặc có biện pháp xử lý phù hợp để bảo đảm sự chính xác của dữ liệu giao dịch trong quá trình thực hiện giao dịch, lưu trữ dữ liệu;
c) Kiểm soát phiên giao dịch: hệ thống có cơ chế tự động ngắt phiên giao dịch khi người sử dụng không thao tác trong một khoảng thời gian do đơn vị quy định hoặc áp dụng các biện pháp bảo vệ khác;
d) Có chức năng che giấu đối với việc hiển thị các mã khóa bí mật, mã PIN dùng để đăng nhập vào hệ thống;
đ) Có chức năng chống đăng nhập tự động;
e) Trong trường hợp tài khoản giao dịch điện tử quy định tại khoản 1 Điều 9 Thông tư này sử dụng mã PIN hoặc mã khóa bí mật làm hình thức xác nhận, phần mềm ứng dụng Online Banking phải có các chức năng kiểm soát mã PIN và mã khóa bí mật;
(i) Yêu cầu khách hàng thay đổi mã PIN hoặc mã khóa bí mật trong trường hợp khách hàng được cấp phát mã PIN hoặc mã khóa bí mật mặc định lần đầu;
(ii) Thông báo cho khách hàng khi mã PIN hoặc mã khóa bí mật sắp hết hiệu lực sử dụng;
(iii) Hủy hiệu lực của mã PIN hoặc mã khóa bí mật khi hết hạn sử dụng; yêu cầu khách hàng thay đổi mã PIN hoặc mã khóa bí mật đã hết hạn sử dụng khi khách hàng sử dụng mã PIN hoặc mã khóa bí mật để đăng nhập;
(iv) Hủy hiệu lực của mã PIN hoặc mã khóa bí mật trong trường hợp bị nhập sai mã PIN hoặc mã khóa bí mật liên tiếp quá số lần do đơn vị quy định (nhưng không quá 10 lần) và thông báo cho khách hàng;
(v) Đơn vị chỉ cấp phát lại mã PIN hoặc mã khóa bí mật khi khách hàng yêu cầu và phải kiểm tra, nhận biết khách hàng trước khi thực hiện cấp phát lại, bảo đảm chống gian lận, giả mạo.
g) Đối với khách hàng là tổ chức, phần mềm ứng dụng được thiết kế để bảo đảm việc thực hiện giao dịch thanh toán trực tuyến (ngoại trừ thanh toán thẻ trực tuyến qua đơn vị chấp nhận thanh toán) bao gồm tối thiểu hai bước: tạo lập và phê duyệt giao dịch.
Trường hợp khách hàng là hộ kinh doanh hoặc doanh nghiệp siêu nhỏ áp dụng chế độ kế toán đơn giản, việc thực hiện giao dịch không bắt buộc tách biệt hai bước tạo lập và phê duyệt giao dịch;
h) Có chức năng thông báo việc đăng nhập lần đầu phần mềm ứng dụng Online Banking hoặc việc đăng nhập phần mềm ứng dụng Online Banking trên thiết bị khác với thiết bị thực hiện đăng nhập phần mềm ứng dụng Online Banking lần gần nhất qua SMS hoặc các kênh khác do khách hàng đăng ký (điện thoại, thư điện tử…), ngoại trừ trường hợp khách hàng tổ chức: đăng nhập trên các thiết bị đã đăng ký sử dụng dịch vụ; hoặc đăng nhập sử dụng tối thiểu một trong các hình thức xác nhận quy định tại khoản 3, khoản 4, khoản 5, khoản 7, khoản 8, khoản 9 Điều 11 Thông tư này.
