Từ ngày 1-3, nhiều ngân hàng chính thức dừng cung cấp dịch vụ ngân hàng số trên các thiết bị di động không đáp ứng tiêu chuẩn an toàn bảo mật theo quy định của Ngân hàng Nhà nước Việt Nam.

Các ngân hàng lớn như Ngân hàng TMCP Đầu tư và Phát triển Việt Nam (BIDV), Ngân hàng TMCP Ngoại thương Việt Nam (Vietcombank), Ngân hàng TMCP Công Thương Việt Nam (VietinBank), Ngân hàng Nông nghiệp và Phát triển Nông thôn Việt Nam (Agribank) cùng nhiều ngân hàng thương mại cổ phần khác đã thông báo tới khách hàng về việc ứng dụng Mobile Banking sẽ tự động thoát hoặc ngừng hoạt động nếu phát hiện dấu hiệu rủi ro bảo mật. Động thái này nhằm tuân thủ Thông tư số 77/2025/TT-NHNN (sửa đổi, bổ sung Thông tư 50/2024/TT-NHNN) do Thống đốc Ngân hàng Nhà nước ban hành, quy định về an toàn, bảo mật trong cung cấp dịch vụ trực tuyến ngành ngân hàng. Thông tư có hiệu lực từ ngày 1-3-2026.

Theo quy định, ứng dụng ngân hàng sẽ tự động dừng hoạt động và hiển thị lý do nếu phát hiện một trong ba nhóm dấu hiệu mất an toàn. Thứ nhất, thiết bị đang bật trình gỡ lỗi (debugger), chạy trong môi trường giả lập (emulator), máy ảo hoặc kích hoạt chế độ cho phép máy tính giao tiếp trực tiếp với Android qua Android Debug Bridge (ADB). Thứ hai, ứng dụng bị can thiệp trái phép trong quá trình vận hành, như bị chèn mã lạ, theo dõi hàm, ghi lại dữ liệu truyền qua API (hook) hoặc bị chỉnh sửa, đóng gói lại (repacking). Thứ ba, thiết bị đã bị phá khóa bảo mật như root (đối với Android), jailbreak (đối với iOS) hoặc mở khóa cơ chế bảo vệ (unlock bootloader).

Trước đó, BIDV cho biết từ 1-3 sẽ dừng cung cấp dịch vụ BIDV SmartBanking trên các thiết bị không đáp ứng yêu cầu an toàn. Ngân hàng cảnh báo thiết bị bị root, jailbreak hoặc mở khóa bootloader có thể tiềm ẩn nguy cơ lừa đảo, rửa tiền và thất thoát tài sản. Tương tự, Agribank thông tin hệ thống Mobile Banking sẽ tự động từ chối truy cập đối với thiết bị không đạt chuẩn bảo mật hoặc có dấu hiệu rủi ro. Ngân hàng TMCP Xuất Nhập khẩu Việt Nam (Eximbank) cũng cho biết ứng dụng Eximbank EDigi sẽ tự động thoát nếu phát hiện thiết bị bật debugger, chạy giả lập, kích hoạt ADB hoặc bị can thiệp trái phép.

Thông tư 77/2025 được ban hành trong bối cảnh tội phạm công nghệ cao gia tăng với nhiều thủ đoạn tinh vi, thậm chí có sự hỗ trợ của trí tuệ nhân tạo. Một điểm đáng chú ý là yêu cầu các ngân hàng triển khai giải pháp phát hiện giả mạo sinh trắc học đạt tiêu chuẩn quốc tế ISO 30107 cấp độ 2, nâng cao chuẩn xác thực người dùng khi giao dịch ngân hàng số. Theo quy định, ứng dụng Mobile Banking phải có khả năng tự động phát hiện và dừng hoạt động nếu thiết bị không đảm bảo an toàn. Quy định này được xem là "hàng rào kỹ thuật" nhằm ngăn chặn nguy cơ chiếm quyền kiểm soát ứng dụng ngân hàng.

Để tránh gián đoạn giao dịch, các ngân hàng khuyến nghị người dùng chủ động kiểm tra tình trạng thiết bị; gỡ bỏ chế độ root, jailbreak hoặc unlock bootloader nếu có; tắt chế độ nhà phát triển; không sử dụng môi trường giả lập hoặc công cụ can thiệp hệ thống khi truy cập ứng dụng ngân hàng; đồng thời tắt các tính năng chia sẻ màn hình trong quá trình giao dịch. Người dùng cũng cần cập nhật ứng dụng lên phiên bản mới nhất từ cửa hàng chính thức; theo dõi cảnh báo bảo mật từ ngân hàng; tuyệt đối không cung cấp thông tin cá nhân, mật khẩu, mã OTP hay dữ liệu xác thực cho bất kỳ tổ chức, cá nhân nào. Việc siết chặt tiêu chuẩn kỹ thuật được xem là bước nâng cấp quan trọng trong quản trị rủi ro công nghệ của ngành ngân hàng, góp phần bảo vệ tài sản và củng cố niềm tin của người dùng vào hệ sinh thái ngân hàng số.

B.T