Đề xuất việc phòng ngừa lỗ hổng an ninh ngân hàng

Theo Ngân hàng Nhà nước , phạm vi điều chỉnh của dự thảo được mở rộng thêm đối với hoạt động cung ứng dịch vụ tiền di động (mobile money), bên cạnh các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, đơn vị trung gian thanh toán và công ty thông tin tín dụng. Đây là bước đi nhằm đảm bảo an toàn cho các mô hình giao dịch điện tử mới đang phát triển nhanh tại Việt Nam.

Điểm đáng chú ý nhất là siết chặt quy định bảo mật đối với các ứng dụng ngân hàng trực tuyến (online banking, mobile banking) - hay còn gọi là app ngân hàng .

Theo dự thảo, các ứng dụng này phải tuân thủ tiêu chuẩn bảo mật quốc tế OWASP , bao gồm việc phòng ngừa 10 lỗ hổng an ninh phổ biến nhất và tuân thủ đầy đủ các yêu cầu về an toàn của ứng dụng di động.

Ngoài ra, Ngân hàng Nhà nước yêu cầu các ngân hàng phải kiểm soát định kỳ và cập nhật ứng dụng ít nhất hai tháng một lần. Người dùng sẽ không được sử dụng phiên bản quá hai thế hệ so với bản mới nhất và không được phép “hạ cấp” xuống phiên bản cũ khi đã có bản vá bảo mật.

Khi phát hiện lỗ hổng, ngân hàng phải lập tức ngừng giao dịch, xử lý và phát hành bản cập nhật mới. Ứng dụng cũng cần có khả năng tự động dừng hoạt động nếu phát hiện dấu hiệu bị tấn công, như thiết bị bị root, jailbreak hoặc có can thiệp mã độc .

Dự thảo cũng bổ sung quy định yêu cầu xác thực sinh trắc học (vân tay, khuôn mặt) khi thay đổi thông tin định danh khách hàng tổ chức. Quy định này được đưa ra theo chỉ đạo tại Công điện 139 nhằm ngăn chặn tình trạng tội phạm công nghệ lợi dụng lập doanh nghiệp “ma” để mở tài khoản thanh toán.

Một thay đổi quan trọng khác là trong xác nhận giao dịch điện tử, Ngân hàng Nhà nước đề xuất loại bỏ hình thức chữ ký điện tử thông thường, chỉ giữ lại chữ ký điện tử an toàn, chữ ký số hoặc chữ ký điện tử nước ngoài được công nhận tại Việt Nam. Điều này giúp đồng bộ với Luật Giao dịch điện tử 2023 và Nghị định 23/2025 đảm bảo tính pháp lý và an toàn cao hơn trong các giao dịch ngân hàng trực tuyến.

Bên cạnh đó, phụ lục phân loại giao dịch thanh toán trực tuyến cũng được điều chỉnh rõ ràng hơn, chia thành nhiều nhóm theo giá trị, hạn mức và đối tượng khách hàng. Các giao dịch giá trị cao hoặc liên quan đến doanh nghiệp mới thành lập sẽ phải bổ sung thêm bước xác thực sinh trắc học để hạn chế rủi ro gian lận.

Theo Ngân hàng Nhà nước, việc sửa đổi, bổ sung quy định lần này nhằm chuẩn hóa bảo mật ngân hàng số theo tiêu chuẩn quốc tế, tăng khả năng phòng chống tội phạm mạng, đồng thời tạo khung pháp lý minh bạch và đồng bộ cho các mô hình mới như Tiền di động và xác thực sinh trắc học.

Khi được ban hành, thông tư mới được kỳ vọng sẽ nâng cao mức độ an toàn cho người dùng, củng cố niềm tin đối với hệ thống ngân hàng số Việt Nam.