Ngân hàng Nhà nước Việt Nam (NHNN) đang gấp rút hoàn thiện dự thảo Thông tư sửa đổi, bổ sung Thông tư 50/2024/TT-NHNN, quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng.

Điểm đáng chú ý là sự mở rộng đối tượng áp dụng sang cả dịch vụ tiền di động (Mobile Money) và những quy định vô cùng chặt chẽ để đối phó với làn sóng tội phạm mạng ngày càng tinh vi.

Theo dự thảo, các tổ chức tín dụng và đơn vị cung ứng dịch vụ sẽ phải thực hiện đánh giá, dò quét lỗ hổng kỹ thuật định kỳ cho các ứng dụng Online Banking. Đặc biệt với phần mềm ứng dụng Online Banking cung cấp qua nền tảng web phải phòng chống 10 lỗ hổng phổ biến nhất theo chuẩn OWASP Top Ten.

Đối với phần mềm ứng dụng Mobile Banking phải đáp ứng tối thiểu các yêu cầu bảo mật ứng dụng di động của OWASP (OWASP Mobile Application Security).

Để ngăn chặn các hình thức can thiệp trái phép, NHNN yêu cầu các tổ chức phải có giải pháp kiểm soát phiên bản Mobile Banking cài đặt trên thiết bị khách hàng, đánh giá định kỳ 2 tháng/lần. Khách hàng sẽ không được sử dụng các phiên bản cũ hơn quá 2 phiên bản so với bản mới nhất. Khi phát hiện lỗ hổng, hệ thống phải ngừng giao dịch và cập nhật ngay lập tức.

Một trong những quy định đột phá là yêu cầu ứng dụng Mobile Banking phải có khả năng tự động thoát hoặc dừng hoạt động khi phát hiện các dấu hiệu bất thường như: có trình gỡ lỗi (debugger), chạy trong môi trường giả lập (emulator)/máy ảo, bị chèn mã bên ngoài (hook), hoặc thiết bị đã bị phá khóa (root/jailbreak). Đây là động thái mạnh mẽ nhằm vô hiệu hóa các công cụ mà tội phạm mạng thường dùng để tấn công và chiếm đoạt thông tin.

Điểm nhấn quan trọng khác trong dự thảo là việc siết chặt quy định xác nhận giao dịch điện tử qua Online Banking, đặc biệt nhằm ngăn chặn tội phạm lợi dụng các tài khoản doanh nghiệp "ma" để lừa đảo. NHNN đề xuất áp dụng các hình thức xác thực giao dịch đa tầng, tùy theo giá trị và loại hình khách hàng:

Soft OTP/Token OTP cơ bản hoặc hai kênh: Áp dụng cho các giao dịch của doanh nghiệp mới thành lập (giá trị không quá 50 triệu đồng, tổng giao dịch trong ngày không quá 100 triệu đồng) hoặc các đối tượng khác (giá trị không quá 1 tỷ đồng, tổng giao dịch trong ngày không quá 10 tỷ đồng).

Kết hợp sinh trắc học và Soft OTP/Token OTP cơ bản hoặc hai kênh: Đối với giao dịch của doanh nghiệp mới thành lập có giá trị cao hơn hoặc tổng giá trị giao dịch trong ngày lớn hơn các ngưỡng trên.

Soft OTP/Token OTP nâng cao, FIDO hoặc chữ ký điện tử an toàn: Áp dụng cho các giao dịch giá trị lớn (tổng giao dịch trong ngày trên 10 tỷ đồng hoặc giao dịch trên 1 tỷ đồng).

Kết hợp sinh trắc học và Soft OTP/Token OTP nâng cao, FIDO hoặc chữ ký điện tử an toàn: Dành cho các giao dịch siêu lớn của doanh nghiệp mới thành lập.

Quy định này được đưa ra theo Công điện 139/CĐ-TTg, với mục tiêu rõ ràng là sử dụng hình thức đối khớp sinh trắc học để xác nhận giao dịch của khách hàng tổ chức, đặc biệt là các doanh nghiệp mới thành lập, nhằm ngăn chặn triệt để hành vi bán, cho thuê tài khoản thanh toán trái phép.

Với những thay đổi dự kiến này, NHNN đang thể hiện quyết tâm cao độ trong việc xây dựng một môi trường ngân hàng số an toàn, minh bạch hơn, bảo vệ tối đa quyền lợi của người dùng và góp phần đẩy lùi tội phạm công nghệ cao.

Thanh Hoa