Xây dựng hệ sinh thái tài chính số an toàn, minh bạch, bảo vệ quyền lợi và tài sản của khách hàng

Ảnh minh họa (Nguồn: Internet)

Thông tư số 77/2025/TT-NHNN có hiệu lực thi hành kể từ ngày 01/3/2026. Đối tượng áp dụng của Thông tư là các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, tổ chức cung ứng dịch vụ Tiền di động, công ty thông tin tín dụng. Thông tư được ban hành đã tiếp tục hoàn thiện và đồng bộ hành lang pháp lý về an toàn, bảo mật hệ thống thông tin cung cấp dịch vụ trực tuyến trong ngành Ngân hàng.

Hàng rào bảo mật được tăng cường với những quy định kỹ thuật nghiêm ngặt

Trước thực trạng tội phạm lợi dụng tài khoản doanh nghiệp “ma” và các công nghệ tinh vi như Deepfake hay mã độc để lừa đảo, Thông tư số 77/2025/TT-NHNN đã thiết lập cơ chế phòng vệ chủ động bằng cách bổ sung các quy định kỹ thuật nghiêm ngặt.

Điểm nổi bật là Thông tư bổ sung hoạt động cung ứng dịch vụ Tiền di động vào phạm vi điều chỉnh (tại Điều 1), đồng thời siết chặt an ninh ứng dụng ngân hàng và tăng yêu cầu xác thực đối với nhóm khách hàng tổ chức mới trong các giao dịch trực tuyến.

Theo đó, các tổ chức cung ứng dịch vụ Tiền di động sẽ phải tuân thủ yêu cầu về an toàn, bảo mật tương tự như tổ chức tín dụng và tổ chức trung gian thanh toán. Quy định này nhằm bảo đảm sự thống nhất trong quản lý rủi ro, đặc biệt trong bối cảnh tiền di động ngày càng được sử dụng rộng rãi cho thanh toán và chuyển tiền điện tử.

Thông tư số 77/2025/TT-NHNN cũng bổ sung khái niệm “khách hàng tổ chức mới”, cụ thể, theo Điều 2 của Thông tư:

“Khách hàng tổ chức mới là tổ chức mới đăng ký thành lập trong vòng 12 tháng hoặc tổ chức mới thiết lập quan hệ với đơn vị trong vòng 12 tháng và được đơn vị thực hiện đánh giá rủi ro, xác định thời gian cần áp dụng hình thức khớp đúng thông tin sinh trắc học hoặc chữ ký điện tử an toàn cho khách hàng này khi thực hiện giao dịch. Quy định này không bao gồm: a) Các cơ quan nhà nước, đơn vị sự nghiệp công lập; b) Các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài; c) Các tổ chức niêm yết theo quy định tại Luật Chứng khoán; d) Các tổ chức thuộc danh sách Fortune Global 500 do Tạp chí Fortune công bố vào năm liền trước; đ) Nhà đầu tư nước ngoài là người không cư trú mở tài khoản thanh toán để thực hiện hoạt động đầu tư gián tiếp tại Việt Nam; e) Các tổ chức khác do đơn vị lựa chọn và chịu hoàn toàn trách nhiệm về các rủi ro từ việc lựa chọn này. Đơn vị phải bảo đảm xác minh chính xác về khách hàng và chịu hoàn toàn trách nhiệm đối với việc nhận biết khách hàng”.

Liên quan đến an toàn ứng dụng ngân hàng, khoản 1 Điều 5 Thông tư siết chặt việc kiểm soát các phiên bản Mobile Banking được phát hành. Theo đó, định kỳ tối thiểu 03 tháng một lần, đơn vị phải đánh giá an toàn, bảo mật của các phiên bản phần mềm ứng dụng đang cho phép khách hàng cài đặt, sử dụng nhằm xác định các lỗ hổng bảo mật và đánh giá khả năng bị can thiệp bởi tội phạm mạng.

Trong trường hợp khách hàng kích hoạt trên thiết bị mới hoặc kích hoạt loại ứng dụng Mobile Banking, khách hàng phải cài đặt, sử dụng phiên bản mới nhất hoặc phiên bản gần nhất bảo đảm các yêu cầu về an toàn, bảo mật theo quy định. Đơn vị phải có giải pháp kiểm soát không cho phép hạ phiên bản (downgrading) xuống sử dụng các phiên bản thấp hơn trong trường hợp này.

Khi phát hiện lỗ hổng bảo mật được đánh giá ở mức cao hoặc nghiêm trọng, đơn vị phải có biện pháp kiểm tra, không cho thực hiện giao dịch hoặc có các biện pháp kiểm soát nhằm phòng, chống tội phạm lợi dụng lỗ hổng bảo mật để tấn công mạng, thực hiện giao dịch gian lận và chiếm đoạt tài sản; đồng thời đơn vị phải thực hiện xử lý, khắc phục, cập nhật ngay phiên bản mới trong thời gian quy định tại khoản 6 Điều 14 Thông tư này.

Ngoài ra, tại khoản 2 Điều 5 Thông tư cũng yêu cầu các tổ chức tín dụng và đơn vị cung cấp dịch vụ thanh toán triển khai giải pháp phòng, chống và phát hiện các hành vi can thiệp trái phép vào ứng dụng Mobile Banking đã cài đặt trên thiết bị của khách hàng.

Theo đó, ứng dụng Mobile Banking phải tự động thoát hoặc dừng hoạt động và thông báo rõ lý do cho khách hàng khi phát hiện một trong ba dấu hiệu rủi ro:

Thứ nhất, có trình gỡ lỗi (debugger) được gắn vào hoặc môi trường có trình gỡ lỗi đang hoạt động; hoặc khi ứng dụng chạy trong môi trường giả lập (emulator)/máy ảo/thiết bị giả lập; hoặc hoạt động ở chế độ cho phép máy tính giao tiếp trực tiếp với thiết bị Android (Android Debug Bridge).

Thứ hai, phần mềm ứng dụng bị chèn mã bên ngoài ứng dụng khi đang chạy, thực hiện các hành vi như theo dõi các hàm được chạy, ghi lại log dữ liệu truyền qua các hàm, API… (hook); hoặc phần mềm ứng dụng bị can thiệp, đóng gói lại (repacking).

Thứ ba, thiết bị đã bị phá khóa (root/jailbreak); hoặc bị mở khóa cơ chế bảo vệ (unlock bootloader).

Để đối phó với các hình thức tấn công ngày càng tinh vi, đặc biệt là tấn công bằng trí tuệ nhân tạo như Deepfake, Thông tư quy định giải pháp phát hiện giả mạo thông tin sinh trắc học (PAD) phải đáp ứng tiêu chuẩn quốc tế ISO 30107 cấp độ 2 hoặc tiêu chuẩn tương đương. Các tổ chức cung cấp giải pháp này phải được các tổ chức uy tín như Liên minh FIDO công nhận (theo Điều 7 của Thông tư).

Hoàn thiện hạ tầng công nghệ phục vụ chuyển đổi số, tăng cường kết nối dữ liệu

Bảo đảm an ninh, an toàn hệ thống công nghệ thông tin, quyền lợi hợp pháp của khách hàng là nhiệm vụ thường xuyên, quan trọng của ngành Ngân hàng, thời gian qua, ngành Ngân hàng đã triển khai đồng bộ nhiều giải pháp cụ thể:

Về hành lang pháp lý, NHNN đã ban hành được một hệ thống các văn bản quy định về an ninh, an toàn, bảo mật đối với các hệ thống thông tin cung cấp dịch vụ ngân hàng điện tử. Bên cạnh đó, cơ quan quản lý cũng thường xuyên có các văn bản chỉ đạo, cảnh báo đến các tổ chức tín dụng, trung gian thanh toán về tình hình tội phạm lừa đảo trên không gian mạng liên quan đến lĩnh vực Ngân hàng.

Bên cạnh đó, NHNN đã và đang chỉ đạo, tổ chức triển khai làm sạch dữ liệu khách hàng, loại bỏ các tài khoản ngân hàng không chính chủ. Cụ thể, NHNN đã ban hành các Thông tư hướng dẫn Nghị định số 52/2024/NĐ-CP ngày 15/5/2024 của NHNN về thanh toán không dùng tiền mặt, trong đó có quy định bắt buộc khách hàng chỉ được rút tiền, thực hiện giao dịch thanh toán bằng phương tiện điện tử khi đã hoàn thành việc đối chiếu khớp đúng giấy tờ tùy thân và thông tin sinh trắc học với: (i) Dữ liệu sinh trắc học được lưu trong chíp của thẻ căn cước công dân (CCCD) đã được xác thực chính xác là do cơ quan Công an cấp hoặc thông qua xác thực tài khoản định danh điện tử do Hệ thống định danh và xác thực điện tử tạo lập; (ii) Dữ liệu sinh trắc học được thu thập thông qua gặp mặt trực tiếp đối với trường hợp là người nước ngoài không sử dụng danh tính điện tử, người gốc Việt Nam chưa xác định được quốc tịch. Đối với khách hàng cá nhân: Áp dụng từ ngày 01/01/2025; đối với khách hàng tổ chức: Áp dụng từ ngày 01/7/2025.

NHNN và các tổ chức tín dụng đã và đang triển khai nhiều giải pháp về mặt quy trình và công nghệ nhằm phòng, chống lừa đảo, gian lận trong lĩnh vực ngân hàng. Đồng thời, các tổ chức tín dụng đã và đang tích cực phối hợp với các đơn vị của Bộ Công an triển khai các giải pháp công nghệ ứng dụng dữ liệu dân cư theo định hướng tại Đề án 06 (Quyết định số 06/QĐ-TTg ngày 06/01/2022 của Thủ tướng Chính phủ phê duyệt Đề án phát triển ứng dụng dữ liệu về dân cư, định danh và xác thực điện tử phục vụ chuyển đổi số quốc gia giai đoạn 2022 - 2025, tầm nhìn đến năm 2030) nhằm làm sạch dữ liệu khách hàng, loại bỏ các tài khoản ngân hàng không chính chủ. Tính đến ngày 26/12/2025, cả ngành Ngân hàng đã có hơn 143 triệu hồ sơ khách hàng (CIF) cá nhân; hơn 1,5 triệu hồ sơ khách hàng tổ chức có tài khoản thanh toán đã được đối chiếu thông tin sinh trắc học qua CCCD gắn chíp hoặc ứng dụng VNeID. Khoảng 22,14 triệu khách hàng cá nhân và 392 khách hàng tổ chức có ví điện tử đang hoạt động đã được thu thập, đối chiếu thông tin sinh trắc học với CCCD gắn chíp thông qua ứng dụng ví điện tử.

Bên cạnh đó, các tổ chức tín dụng đã tích cực triển khai các biện pháp xác thực đa thành tố, xác thực mạnh bằng sinh trắc học (qua dữ liệu CCCD gắn chíp, VNeID); triển khai tích hợp các biện pháp bảo vệ tăng cường như: Áp dụng các cơ chế giám sát, phòng chống giao dịch bất thường, giao dịch gian lận (Antifraud) đối với kênh ngân hàng điện tử để có cảnh báo sớm và biện pháp ngăn chặn kịp thời với các giao dịch đáng ngờ của khách hàng. Thực hiện nhận diện khách hàng (KYC) đối với các giao dịch nhạy cảm như chuyển tiền số lượng lớn, kích hoạt lại thiết bị mới...

Đặc biệt, NHNN đã nghiên cứu xây dựng và đưa vào vận hành Hệ thống thông tin hỗ trợ quản lý, giám sát và phòng ngừa rủi ro gian lận cho khách hàng (SIMO). Hệ thống SIMO cho phép các tổ chức thành viên tham gia thực hiện báo cáo thông tin về các tài khoản đáng ngờ khi phát hiện và chia sẻ thông tin tới các thành viên khác. Trên cơ sở nguồn dữ liệu tập trung của hệ thống SIMO và nguồn dữ liệu về danh sách tài khoản đã tham gia vào quá trình luân chuyển dòng tiền lừa đảo đã được Bộ Công an thu thập, các tổ chức tín dụng có thể đưa ra các quyết định thực hiện ngăn chặn giao dịch ngay lập tức hoặc yêu cầu xác thực, định danh tài khoản trước thực hiện giao dịch trực tuyến. Theo Vụ Thanh toán, NHNN, tính đến ngày 19/12/2025, đã có 122/149 đơn vị báo cáo thành công lên hệ thống, với tổng số 596 nghìn bản ghi tài khoản thanh toán và ví điện tử có dấu hiệu nghi ngờ gian lận, lừa đảo, vi phạm pháp luật. Hệ thống đã hỗ trợ cảnh báo hơn 2,26 triệu lượt khách hàng, trong đó trên 700 nghìn lượt khách hàng đã tạm dừng hoặc hủy bỏ giao dịch sau khi nhận cảnh báo, với tổng giá trị giao dịch tương ứng hơn 2,78 nghìn tỉ đồng.

Đồng thời, ngành Ngân hàng đẩy mạnh tuyên truyền, phổ biến kiến thức, hướng dẫn người dân, doanh nghiệp hiểu rõ và sử dụng các sản phẩm, dịch vụ ngân hàng trên nền tảng số một cách an toàn, đúng quy định pháp luật; đồng thời cảnh báo các thủ đoạn, hành vi tội phạm, lừa đảo phổ biến mới xuất hiện liên quan đến hoạt động ngân hàng.

Ngoài ra, ngành Ngân hàng đã phối hợp chặt chẽ với Bộ Công an và các tổ chức liên quan trong công tác bảo đảm an ninh, an toàn thông tin và phòng, chống lừa đảo qua mạng trong ngành Ngân hàng.

Trước những thách thức về sự gia tăng tội phạm sử dụng công nghệ cao với nhiều chiêu trò lừa đảo trực tuyến ngày càng tinh vi trên quy mô toàn cầu, để tăng cường an ninh, an toàn thông tin, bảo vệ dữ liệu của chính ngân hàng và khách hàng, bảo đảm quyền lợi hợp pháp của khách hàng, ngành Ngân hàng cần tiếp tục triển khai đồng bộ các giải pháp trên; đồng thời đẩy mạnh đầu tư hạ tầng công nghệ bảo mật, phát triển nguồn nhân lực về công nghệ có tay nghề cao.

Theo đó, về mặt công nghệ, ngành Ngân hàng đẩy mạnh nghiên cứu, xây dựng kho dữ liệu dùng chung cho ngành Ngân hàng để hướng tới các quyết định dựa trên dữ liệu; tiến tới triển khai các hạ tầng tính toán, lưu trữ, dữ liệu, ứng dụng dữ liệu lớn, trí tuệ nhân tạo, điện toán đám mây. Hoàn thiện hạ tầng công nghệ phục vụ chuyển đổi số, tăng cường kết nối, hợp tác với các ngành, lĩnh vực khác (kết nối Cơ sở dữ liệu quốc gia về dân cư, cơ sở dữ liệu CCCD, các cơ sở dữ liệu chuyên ngành khác...) nhằm tạo thuận lợi cho việc tích hợp, kết nối, chia sẻ thông tin với các ngân hàng, tổ chức cung ứng dịch vụ trung gian thanh toán để mở rộng hệ sinh thái số và phát triển dịch vụ ngân hàng số, thanh toán số.

Triển khai mở rộng việc kết nối, khai thác hệ thống SIMO cũng như kết nối, khai thác nguồn dữ liệu về danh sách tài khoản đã tham gia vào quá trình luân chuyển dòng tiền lừa đảo được Bộ Công an thu thập, chia sẻ để cảnh báo đến khách hàng khi thực hiện các giao dịch thanh toán trực tuyến.

Các tổ chức tín dụng, trung gian thanh toán cần hoàn thành đối chiếu khớp đúng thông tin sinh trắc học của chủ tài khoản thanh toán, ví điện tử hoặc người đại diện hợp pháp; tăng cường sử dụng dữ liệu lớn, trí tuệ nhân tạo và các công nghệ mới nhằm cung cấp dịch vụ cá nhân hóa nâng cao trải nghiệm khách hàng; phát hiện giao dịch gian lận, lừa đảo; đẩy mạnh triển khai ngân hàng mở (Open Banking), giao diện lập trình ứng dụng mở (Open API) nhằm tạo ra nhiều sản phẩm, dịch vụ đổi mới sáng tạo phục vụ nhu cầu ngày càng cao của khách hàng. Tăng cường sử dụng dịch vụ, công nghệ mới để sớm phát hiện các vụ việc lộ, lọt thông tin tài khoản, xác thực của khách hàng trên mạng Internet cũng như có cơ chế nhanh chóng gỡ bỏ các website giả mạo. Huấn luyện đội ngũ cán bộ thành thạo và am hiểu quy trình xử lý với các vụ việc lừa đảo và cách ứng xử phù hợp với khách hàng.

Đồng thời, ngành Ngân hàng cần tiếp tục phối hợp chặt chẽ với Bộ Công an và các bộ, ngành để triển khai các nhiệm vụ tại Đề án 06, Kế hoạch số 01/KHPH-BCA-NHNNVN (ký kết ngày 24/4/2023 giữa Bộ Công an và NHNN về triển khai thực hiện các nhiệm vụ tại Đề án 06); phối hợp trong công tác phòng, chống tội phạm sử dụng công nghệ cao và lừa đảo trong lĩnh vực tài chính, ngân hàng; tiếp tục đẩy mạnh truyền thông, thông tin đến khách hàng dưới nhiều hình thức để hướng dẫn, nâng cao nhận thức, kỹ năng cho khách hàng trong sử dụng dịch vụ ngân hàng trên môi trường mạng.

Tài liệu tham khảo

1. Quyết định số 06/QĐ-TTg ngày 06/01/2022 của Thủ tướng Chính phủ phê duyệt Đề án phát triển ứng dụng dữ liệu về dân cư, định danh và xác thực điện tử phục vụ chuyển đổi số quốc gia giai đoạn 2022 - 2025, tầm nhìn đến năm 2030.

2. Quyết định số 630/QĐ-NHNN ngày 31/3/2017 về việc ban hành Kế hoạch áp dụng các giải pháp về an toàn bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng.

3. Thông tư số 77/2025/TT-NHNN ngày 31/12/2025 của Thống đốc NHNN sửa đổi, bổ sung một số điều của Thông tư số 50/2024/TT-NHNN ngày 31/10/2024 của Thống đốc NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng.