Trước làn sóng tội phạm mạng gia tăng với thủ đoạn ngày càng tinh vi, quy định này được xem là "chốt chặn" kỹ thuật quan trọng nhằm bảo vệ tài sản người dân, đặc biệt trong bối cảnh lừa đảo dịp cuối năm đang diễn biến phức tạp.

Theo đó, Thông tư 77/2025/TT-NHNN, đặt ra các yêu cầu kỹ thuật nghiêm ngặt đối với tổ chức tín dụng. Đáng chú ý nhất tại Điều 5 là quy định về cơ chế vận hành của ứng dụng Mobile Banking.

Cụ thể, các ứng dụng ngân hàng bắt buộc phải có khả năng tự phát hiện và tự động ngắt hoạt động nếu nhận thấy môi trường thiết bị thiếu an toàn. Các trường hợp bị chặn bao gồm: Thiết bị đã bị bẻ khóa (root/jailbreak) hoặc mở khóa bootloader; Ứng dụng chạy trên môi trường giả lập (emulator) hoặc có trình gỡ lỗi (debugger); Phát hiện phần mềm bị chèn mã lạ, bị theo dõi hàm dữ liệu (hook) hoặc đóng gói lại.

Quy định này nhằm ngăn chặn hacker chiếm quyền điều khiển ứng dụng từ xa. Đồng thời, để đối phó với nạn giả mạo bằng trí tuệ nhân tạo (AI), NHNN yêu cầu giải pháp xác thực sinh trắc học phải đạt chuẩn quốc tế ISO 30107 cấp độ 2. Các ngân hàng cũng phải kiểm soát chặt chẽ, không cho phép người dùng hạ cấp ứng dụng xuống phiên bản cũ và định kỳ đánh giá lỗ hổng bảo mật 3 tháng/lần.

Thông tư 77 cũng mở rộng phạm vi sang dịch vụ Tiền di động và yêu cầu xác thực mạnh (sinh trắc học/chữ ký điện tử) đối với các khách hàng tổ chức mới thiết lập quan hệ trong vòng 12 tháng. Thông tư có hiệu lực từ ngày 01/03/2026, với lộ trình áp dụng cho thanh toán trực tuyến lần lượt vào tháng 7 và tháng 10/2026.

Quy định mới ra đời trong bối cảnh các ngân hàng liên tục phát đi cảnh báo đỏ về tình trạng tài khoản bị xâm nhập. Thực tế, nhiều khách hàng đã bị rút sạch tiền dù không thực hiện lệnh chuyển khoản, do điện thoại bị cài mã độc.

Ông Nguyễn Mạnh Luật, CEO Cyberjutsu, thành viên Chongluadao.vn, liệt kê các hình thức lừa đảo phổ biến hiện nay. Đó là tình trạng kẻ gian gửi tin nhắn SMS Brandname giả mạo ngân hàng, điện lực, BHXH... chứa đường dẫn độc hại (phishing). Khi người dùng truy cập và điền thông tin, hacker sử dụng kỹ thuật Real-Time Phishing để chiếm quyền đăng nhập và thực hiện giao dịch ngay lập tức.

Mã QR giả mạo được dán đè lên mã thật tại các quán ăn, bãi xe, trạm thanh toán. Người dùng quét mã sẽ bị dẫn đến website giả lừa lấy thông tin thẻ hoặc OTP.

Giả danh Shipper cũng là thủ đoạn "nở rộ" dịp mua sắm cuối năm. Kẻ lừa đảo gọi điện xưng là shipper, yêu cầu chuyển khoản phí nhỏ (phí giao hàng, hoàn đơn). Sau đó, chúng dụ nạn nhân cài đặt ứng dụng lạ để "hủy gói cước" hoặc "nhận tiền hoàn". Khi cài đặt, ứng dụng giả mạo này sẽ chiếm quyền kiểm soát điện thoại và tự động rút tiền.

Ông Ngô Minh Hiếu, Giám đốc dự án Chống lừa đảo, nhận định tội phạm mạng đang tận dụng tối đa AI và Deepfake để tạo ra các phần mềm gián điệp tinh vi, có khả năng vượt qua tường lửa bảo mật thông thường.

Trước khi các quy định của Thông tư 77 chính thức đi vào cuộc sống, các chuyên gia khuyến cáo người dân cần tự bảo vệ mình bằng nguyên tắc "3 Không": Không quét mã QR thanh toán tại các điểm công cộng thiếu tin cậy. Không bấm vào đường link lạ trong tin nhắn SMS, Zalo, Email kể cả khi tên người gửi giống hệt ngân hàng. Không cài đặt ứng dụng qua các đường dẫn không chính thống (file APK) theo hướng dẫn của người lạ.

Việc thường xuyên cập nhật phần mềm điện thoại và tuân thủ khuyến cáo từ ngân hàng là cách tốt nhất để hạn chế rủi ro mất tiền trong thời điểm nhạy cảm này.

Thanh Hoa