Từ ngày 1/3/2026, ngân hàng có trách nhiệm dừng hoạt động ứng dụng ngân hàng nếu phát hiện thiết bị di động của khách hàng không đáp ứng tiêu chuẩn an toàn và bảo mật.
Ứng dụng ngân hàng không được hoạt động trên các thiết bị di động bị can thiệp trái phép.
Theo quy định mới tại Thông tư số 77/2025/TT-NHNN, sửa đổi và bổ sung một số điều của Thông tư số 50/2024/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành ngân hàng, từ ngày 1/3 tới đây, ứng dụng Mobile Banking (ứng dụng ngân hàng trên thiết bị di động) sẽ phải tự động thoát hoặc ngừng hoạt động.
Đồng thời thông báo cho người dùng thiết bị được biết nếu phát hiện một trong 3 trường hợp sau:
Thứ nhất, thiết bị di động xuất hiện trình gỡ lỗi (debugger) được gắn vào hoặc môi trường có trình gỡ lỗi đang hoạt động; hoặc khi ứng dụng bị chạy trong môi trường giả lập (emulator), máy ảo, thiết bị giả lập; hoặc hoạt động ở chế độ cho phép máy tính giao tiếp trực tiếp với thiết bị Android (Android Debug Bridge).
Thứ hai, phần mềm ứng dụng bị chèn mã bên ngoài ứng dụng khi đang chạy, thực hiện các hành vi như theo dõi các hàm được chạy, ghi lại log dữ liệu truyền qua các hàm, API…(hook) hoặc phần mềm ứng dụng bị can thiệp, đóng gói lại (repacking).
Thứ ba, thiết bị đã bị phá khóa (root/jailbreak) hoặc bị mở khóa cơ chế bảo vệ (unlock_bootloader). Đây đang là cách mà nhiều người dùng thường làm trên iPhone bản khóa mạng hoặc trên smartphone chạy Android để thay đổi các thiết lập của hệ thống, cài đặt thêm ứng dụng từ bên ngoài… tiềm ẩn nhiều nguy cơ về bảo mật, nhiễm mã độc.
Không dừng ở việc đưa ra yêu cầu đối với thiết bị của người dùng, Thông tư 77/2025/TT-NHNN còn đặt ra nghĩa vụ giám sát nghiêm ngặt cho các tổ chức tín dụng. Theo đó, tối thiểu 3 tháng/lần, đơn vị phát hành ứng dụng Mobile Banking phải tiến hành đánh giá mức độ an toàn, bảo mật của phiên bản đang được sử dụng nhằm sớm phát hiện các lỗ hổng.
Khi phát hiện lỗ hổng bảo mật được xếp loại “Cao” hoặc “Nghiêm trọng”, ngân hàng phải triển khai các biện pháp kiểm soát cần thiết, trong đó có thể bao gồm việc chặn giao dịch để ngăn tội phạm mạng lợi dụng tấn công.
Về thời gian xử lý, Thông tư 77 quy định hạn khắc phục rất chặt: Trong vòng 24 giờ, đơn vị phát hành phần mềm phải cập nhật phiên bản mới hoặc bản vá cho các thành phần hệ thống có kết nối trực tiếp với Internet. Với các thành phần còn lại, nếu lỗ hổng ở mức "Nghiêm trọng" thì phải hoàn tất trong 1 tháng; còn nếu ở mức "Cao" thì thời hạn xử lý là 2 tháng.
Thông tư 77 sẽ chính thức có hiệu lực từ ngày 1/3/2026. Vì vậy, người dùng đang sử dụng thiết bị đã can thiệp hệ thống hoặc cài phần mềm giả lập nên rà soát và sớm khôi phục về cài đặt gốc để tránh việc giao dịch tài chính bị gián đoạn.
