Ngành Ngân hàng siết chặt an ninh, bảo mật dịch vụ trực tuyến

09/02/2026 - 11:159 phút đọc

Từ hoàn thiện pháp lý về an ninh, bảo mật

Nhằm đảm bảo an ninh, an toàn cho các giao dịch thanh toán thẻ và thanh toán trực tuyến, Ngân hàng Nhà nước Việt Nam (NHNN) đã ban hành một hệ thống các văn bản quy định về an ninh, an toàn, bảo mật đối với các hệ thống thông tin cung cấp dịch vụ ngân hàng điện tử.

Đáng chú ý, thực hiện Kế hoạch của ngành Ngân hàng triển khai Đề án 06 (Quyết định số 06/QĐ-TTg của Thủ tướng Chính phủ: Phê duyệt Đề án phát triển ứng dụng dữ liệu về dân cư, định danh và xác thực điện tử phục vụ chuyển đổi số quốc gia giai đoạn 2022 - 2025, tầm nhìn đến năm 2030) và Kế hoạch phối hợp với Bộ Công an triển khai các nhiệm vụ tại Đề án 06, nhằm ứng dụng dữ liệu dân cư, căn cước công dân (CCCD), tài khoản định danh và xác thực điện tử đối với các hoạt động trong lĩnh vực ngân hàng, góp phần chuyển đổi số, tăng cường hiệu quả công tác đấu tranh phòng, chống các loại tội phạm, NHNN đã ban hành nhiều văn bản, trong đó quy định từ ngày 1/7/2024, các tổ chức tín dụng (TCTD), trung gian thanh toán (TGTT) phải xác thực sinh trắc học cho các giao dịch có giá trị cao hoặc khi thay đổi thiết bị thực hiện giao dịch Mobile Banking. Việc triển khai quy định này góp phần bảo đảm các giao dịch thanh toán trực tuyến chỉ được thực hiện bởi chính chủ tài khoản, qua đó sẽ nâng cao an ninh, an toàn, bảo mật cho các giao dịch thanh toán trực tuyến, giảm thiểu rủi ro gian lận, lừa đảo trong giao dịch thanh toán trực tuyến.

Trong việc rà soát, sửa đổi, bổ sung văn bản quy phạm pháp luật để ứng dụng định danh điện tử (VNeID) trong công tác chuyển đổi số, NHNN đã hoàn thành triển khai từ năm 2024. Tại các Thông tư (như Thông tư quy định về việc quản lý, sử dụng chữ ký số, chứng thư số và dịch vụ chứng thực chữ ký số của NHNN; Thông tư quy định việc mở và sử dụng tài khoản thanh toán tại tổ chức cung ứng dịch vụ thanh toán, quy định về hoạt động thẻ ngân hàng, quy định về hoạt động cung ứng dịch vụ TGTT…) đã bổ sung quy định trường hợp khách hàng có tài khoản định danh điện tử (VNeID), ngân hàng, chi nhánh ngân hàng nước ngoài không yêu cầu khách hàng phải cung cấp các tài liệu, thông tin, dữ liệu đã được tích hợp trên VNeID.

margin: 15px auto;" />

Mới đây, ngày 31/12/2025, Thống đốc NHNN đã ký ban hành Thông tư số 77/2025/TT-NHNN sửa đổi, bổ sung một số điều của Thông tư số 50/2024/TT-NHNN ngày 31/10/2024 quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng (Thông tư 77).

Trong đó, để đảm bảo an toàn ứng dụng ngân hàng, khoản 1 Điều 5 Thông tư 77 siết chặt việc kiểm soát các phiên bản Mobile Banking được phát hành. Theo đó, định kỳ tối thiểu 3 tháng một lần, đơn vị phải đánh giá an toàn, bảo mật của các phiên bản phần mềm ứng dụng đang cho phép khách hàng cài đặt, sử dụng nhằm xác định các lỗ hổng bảo mật và đánh giá khả năng bị can thiệp bởi tội phạm mạng.

Trong trường hợp khách hàng kích hoạt trên thiết bị mới hoặc kích hoạt loại ứng dụng Mobile Banking, khách hàng phải cài đặt, sử dụng phiên bản mới nhất hoặc phiên bản gần nhất bảo đảm các yêu cầu về an toàn, bảo mật theo quy định. Đơn vị phải có giải pháp kiểm soát không cho phép hạ phiên bản (downgrading) xuống sử dụng các phiên bản thấp hơn trong trường hợp này.

Khi phát hiện lỗ hổng bảo mật được đánh giá ở mức cao hoặc nghiêm trọng, đơn vị phải có biện pháp kiểm tra, không cho thực hiện giao dịch hoặc có các biện pháp kiểm soát nhằm phòng, chống tội phạm lợi dụng lỗ hổng bảo mật để tấn công mạng, thực hiện giao dịch gian lận và chiếm đoạt tài sản; đồng thời đơn vị phải thực hiện xử lý, khắc phục, cập nhật ngay phiên bản mới trong thời gian quy định tại khoản 6 Điều 14 Thông tư này.

Ngoài ra, tại khoản 2 Điều 5 Thông tư 77 cũng yêu cầu các TCTD dụng và đơn vị cung cấp dịch vụ thanh toán triển khai giải pháp phòng, chống và phát hiện các hành vi can thiệp trái phép vào ứng dụng Mobile Banking đã cài đặt trên thiết bị của khách hàng.

Theo đó, ứng dụng Mobile Banking phải tự động thoát hoặc dừng hoạt động và thông báo rõ lý do cho khách hàng khi phát hiện một trong ba dấu hiệu rủi ro:

Thứ nhất, có trình gỡ lỗi (debugger) được gắn vào hoặc môi trường có trình gỡ lỗi đang hoạt động; hoặc khi ứng dụng chạy trong môi trường giả lập (emulator)/máy ảo/thiết bị giả lập; hoặc hoạt động ở chế độ cho phép máy tính giao tiếp trực tiếp với thiết bị Android (Android Debug Bridge).

Thứ hai, phần mềm ứng dụng bị chèn mã bên ngoài ứng dụng khi đang chạy, thực hiện các hành vi như theo dõi các hàm được chạy, ghi lại log dữ liệu truyền qua các hàm, API… (hook); hoặc phần mềm ứng dụng bị can thiệp, đóng gói lại (repacking).

Thứ ba, thiết bị đã bị phá khóa (root/jailbreak); hoặc bị mở khóa cơ chế bảo vệ (unlock bootloader).

Để đối phó với các hình thức tấn công ngày càng tinh vi, đặc biệt là tấn công bằng trí tuệ nhân tạo như Deepfake, Thông tư quy định giải pháp phát hiện giả mạo thông tin sinh trắc học (PAD) phải đáp ứng tiêu chuẩn quốc tế ISO 30107 cấp độ 2 hoặc tiêu chuẩn tương đương. Các tổ chức cung cấp giải pháp này phải được các tổ chức uy tín như Liên minh FIDO công nhận (theo Điều 7 của Thông tư 77).

Về công tác chỉ đạo, hàng năm, ngay từ đầu năm, ngoài Chỉ thị 01/CT-NHNN về tổ chức thực hiện các nhiệm vụ trọng tâm của ngành Ngân hàng, Thống đốc NHNN đã ban hành Chỉ thị về đẩy mạnh chuyển đổi số và bảo đảm an ninh, an toàn thông tin trong hoạt động ngân hàng để quán triệt, chỉ đạo toàn ngành thực hiện đầy đủ, nghiêm túc công tác bảo đảm an ninh, an toàn thông tin. Ngoài ra, các đơn vị chức năng của NHNN cũng thường xuyên có các văn bản chỉ đạo, cảnh báo đến các tổ chức tín dụng (TCTD), tổ chức trung gian thanh toán (TGTT) về tình hình tội phạm lừa đảo trên không gian mạng liên quan đến lĩnh vực ngân hàng; yêu cầu các đơn vị triển khai đồng bộ các giải pháp để nâng cao nhận thức về an ninh, an toàn thông tin cho toàn thể nhân viên và khách hàng của ngân hàng. Đồng thời, ngành Ngân hàng đã phối hợp chặt chẽ với Bộ Công an và các tổ chức liên quan trong công tác bảo đảm an ninh, an toàn thông tin và phòng, chống lừa đảo trên không gian mạng.

...đến nâng cấp hạ tầng công nghệ, giám sát và phòng ngừa rủi ro

Về mặt quy trình và công nghệ, ngành Ngân hàng đã triển khai nhiều giải pháp nhằm phòng, chống lừa đảo, gian lận trong lĩnh vực ngân hàng, giảm thiểu rủi ro trong giao dịch thanh toán trực tuyến của khách hàng như: Làm sạch dữ liệu khách hàng, loại bỏ các tài khoản ngân hàng không chính chủ (phối hợp với các đơn vị của Bộ Công an triển khai các giải pháp công nghệ ứng dụng dữ liệu dân cư theo định hướng tại Đề án 06); Tăng cường các giải pháp xác thực đa thành tố, xác thực mạnh bằng sinh trắc học (qua dữ liệu CCCD gắn chip, VneID) bên cạnh các giải pháp OTP cơ bản, OTP nâng cao, chữ ký số...

Đặc biệt, NHNN đã nghiên cứu xây dựng và đưa vào vận hành thử nghiệm Hệ thống thông tin hỗ trợ quản lý, giám sát và phòng ngừa rủi ro gian lận trong hoạt động thanh toán (SIMO). Hệ thống SIMO cho phép các tổ chức thành viên tham gia thực hiện báo cáo thông tin về các tài khoản đáng ngờ khi phát hiện và chia sẻ thông tin tới các thành viên khác. Trên cơ sở nguồn dữ liệu tập trung của hệ thống SIMO và nguồn dữ liệu về danh sách tài khoản đã tham gia vào quá trình luân chuyển dòng tiền lừa đảo đã được Bộ Công an thu thập, các TCTD có thể đưa ra các quyết định thực hiện ngăn chặn giao dịch ngay lập tức hoặc yêu cầu xác thực, định danh tài khoản trước thực hiện giao dịch trực tuyến, qua đó góp phần giúp giảm thiểu tình trạng gian lận, lừa đảo, bảo vệ an toàn tài khoản của khách hàng.

Tính đến ngày 28/1/2026, Hệ thống SIMO đã triển khai đến 149 đơn vị (gồm 99 TCTD và 50 tổ chức TGTT với tổng số hơn 631 nghìn bản ghi tài khoản thanh toán/ví điện tử/thẻ ngân hàng/đơn vị chấp nhận thanh toán có dấu hiệu nghi ngờ gian lận, lừa đảo, vi phạm pháp luật. Đồng thời, hệ thống đã hỗ trợ cảnh báo đến 2,88 triệu lượt khách hàng, trong đó có hơn 917 nghìn lượt khách hàng đã tạm dừng/hủy bỏ giao dịch sau khi nhận được cảnh báo, với tổng số tiền giao dịch tương ứng là hơn 3,32 nghìn tỷ đồng.

Trong quá trình triển khai dịch vụ, NHNN cũng đã yêu cầu các đơn vị có lộ trình triển khai đồng bộ dịch vụ cảnh báo cho khách hàng trên tất cả các kênh (Mobile Banking, Internet Banking, quầy, ATM) để đảm bảo thống nhất trải nghiệm cho khách hàng.

Về phía Cục An ninh mạng và Phòng chống tội phạm công nghệ cao (A05), Bộ Công an đã triển khai giải pháp kết nối với các ngân hàng thương mại, các tổ chức TGTT để thiết lập hệ thống thông tin kết nối trực tuyến, qua đó thông tin về các tài khoản nghi ngờ giả mạo, gian lận lừa đảo từ các đơn vị công an sẽ được thông báo đến các ngân hàng để có thể tạm dừng giao dịch trên kênh online ngay lập tức.

Mỗi ngân hàng cũng luôn chủ động trong việc tiếp nhận, tìm kiếm, phát hiện và ngăn chặn các rủi ro gian lận trong hoạt động thanh toán điện tử. Ngân hàng cũng có Contact center để tiếp nhận các phản ánh của khách hàng, hệ thống Anti Money Laundering (AML), hệ thống phòng chống gian lận.

Thời gian tới, để đảm bảo an ninh, an toàn thông tin, bảo vệ tài sản cho khách hàng sử dụng dịch vụ ngân hàng trên môi trường mạng, các TCTD cần tiếp tục triển khai tích hợp các biện pháp bảo vệ tăng cường như: Áp dụng các cơ chế giám sát, phòng chống giao dịch bất thường, giao dịch gian lận (Antifraud) đối với kênh ngân hàng điện tử để có cảnh báo sớm và biện pháp ngăn chặn kịp thời với các giao dịch đáng ngờ; Thực hiện nhận diện khách hàng (KYC) đối với các giao dịch nhạy cảm như chuyển tiền số lượng lớn, kích hoạt lại thiết bị mới; Nghiên cứu áp dụng cơ chế phát hiện, cảnh báo và ngăn chặn sử dụng ứng dụng mobile banking đối với các thiết bị bị phá khóa (jailbreak) hoặc thiết bị đã kích hoạt quyền trợ năng; Áp dụng các cơ chế phát hiện đăng nhập trên thiết bị lạ; Việc kích hoạt thiết bị điện tử giao dịch Internet Banking cũng được áp dụng các biện pháp xác thực mạnh với quy trình xác thực lại chặt chẽ đòi hỏi sự tương tác chủ động của khách hàng thay vì các yếu tố xác thực tĩnh; Tăng cường sử dụng dịch vụ, công nghệ mới về Threat Intelligence để sớm phát hiện các vụ việc lộ, lọt thông tin tài khoản, xác thực của khách hàng trên mạng Internet cũng như có cơ chế nhanh chóng gỡ bỏ (take down) các website giả mạo.

Đồng thời, các TCTD cần tiếp tục đẩy mạnh truyền thông, cảnh báo các chiêu trò lừa đảo mới của tội phạm, hướng dẫn các kỹ năng an toàn thông tin, bảo mật dữ liệu cho khách hàng trong sử dụng dịch vụ.

Thực tế cho thấy, việc xử lý các vụ việc lừa đảo, gian lận đòi hỏi sự phối hợp chặt chẽ giữa các ngân hàng, bởi nếu mỗi ngân hàng tự triển khai theo quy định riêng thì gần như không thể đảm bảo hiệu quả, do thiếu sự kết nối và phối hợp xử lý. Hơn nữa, hệ thống ngân hàng có mạng lưới chi nhánh rộng khắp cả nước, nên việc xử lý tại từng chi nhánh riêng lẻ là rất khó khăn. Hiện nhiều ngân hàng đã có quy định nội bộ riêng về xử lý rủi ro gian lận. Tuy nhiên, ngân hàng không thể đơn thương độc mã thực hiện, cần có sự phối hợp với các ngân hàng khác vì dòng tiền lừa đảo, gian lận luân chuyển rất nhanh. Đồng thời, các ngân hàng tiếp tục phối hợp chặt chẽ với Bộ Công an và các tổ chức liên quan trong công tác bảo đảm an ninh, an toàn thông tin và phòng, chống lừa đảo qua mạng trong ngành Ngân hàng.

Trên cơ sở đánh giá kết quả triển khai SIMO thời gian vừa qua, trong thời gian tới, NHNN tiếp tục đẩy mạnh thu thập tài khoản thanh toán/ví điện tử/thẻ ngân hàng/đơn vị chấp nhận thanh toán nghi ngờ gian lận và nâng cấp hạ tầng kỹ thuật để mở rộng triển khai dịch vụ truy vấn trạng thái nghi ngờ của tài khoản thanh toán/ví điện tử /thẻ ngân hàng/đơn vị chấp nhận thanh toán cho các TCTD, tổ chức TGTT có nhu cầu.

Với các hệ thống chia sẻ thông tin của SIMO, cần một cơ chế phối hợp đồng bộ giữa các TCTD, tổ chức TGTT để có hành động kịp thời theo thời gian thực (realtime) và tự động.

Với người dân thì CCCD (hay tài khoản VneID cấp độ 2) là một giấy tờ/ứng dụng rất quan trọng, cần được bảo vệ cẩn thận. Nếu giấy tờ tuỳ thân hoặc tài khoản VneID bị mất cần trình báo và khoá ngay. Bên cạnh đó, người dân cần cập nhật các kiến thức, kỹ năng an toàn thông tin, bảo mật dữ liệu trong sử dụng dịch vụ ngân hàng điện tử.