Đề xuất quy định mới kiểm soát chặt chẽ hơn đối với app ngân hàng

Theo Dự thảo, phạm vi áp dụng được mở rộng thêm đối với hoạt động cung ứng dịch vụ Tiền di động, bên cạnh các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán và công ty thông tin tín dụng.

Một điểm mới nổi bật là yêu cầu phần mềm ứng dụng Online Banking và Mobile Banking (thường được biết đến là app ngân hàng) phải đáp ứng tiêu chuẩn bảo mật OWASP quốc tế, bao gồm phòng chống 10 lỗ hổng phổ biến nhất (OWASP Top Ten) và đảm bảo các yêu cầu về an toàn ứng dụng di động (OWASP Mobile Application Security).

Đáng chú ý, các ngân hàng phải kiểm soát định kỳ phiên bản ứng dụng Mobile Banking ít nhất 2 tháng một lần, không cho phép sử dụng phiên bản cũ quá hai thế hệ so với bản mới nhất, và buộc khách hàng cài đặt lại phiên bản mới khi kích hoạt thiết bị mới hoặc khi có lỗ hổng bảo mật. Đồng thời, có giải pháp kiểm soát không cho phép hạ phiên bản (downgrading) xuống sử dụng các phiên bản thấp hơn trong trường hợp này.

Sửa đổi, bổ sung nhiều quy định mới liên quan đến an toàn, bảo mật của app ngân hàng

Khi phát hiện có lỗ hổng bảo mật phải có biện pháp kiểm tra, không cho thực hiện giao dịch và thực hiện xử lý, khắc phục, cập nhật ngay phiên bản mới. Ứng dụng cũng phải tự động dừng hoạt động nếu phát hiện môi trường giả lập, bị can thiệp mã độc hoặc thiết bị bị root/jailbreak. Ngân hàng Nhà nước Việt Nam cho biết, việc bổ sung nội dung kiểm soát phiên bản nêu trên để hạn chế, loại các phiên bản cũ hoặc phiên bản có lỗ hổng bảo mật.

Dự thảo bổ sung quy định bắt buộc sử dụng hình thức đối khớp sinh trắc học khi thay đổi thông tin định danh khách hàng tổ chức, căn cứ Công điện 139/CĐ-TTg nhằm ngăn chặn tình trạng tội phạm lợi dụng lập doanh nghiệp “ma” để mở tài khoản thanh toán.

Trong xác nhận giao dịch điện tử, cơ quan soạn thảo bỏ hình thức chữ ký điện tử thông thường, chỉ giữ chữ ký điện tử an toàn, chữ ký số hoặc chữ ký điện tử nước ngoài được công nhận tại Việt Nam, nhằm thống nhất với Luật Giao dịch điện tử 2023 và Nghị định 23/2025/NĐ-CP.

Phụ lục trong Dự thảo về phân loại giao dịch thanh toán trực tuyến cũng được điều chỉnh rõ ràng hơn, với việc phân biệt chi tiết các loại giao dịch A, B, C, D theo giá trị, hạn mức và đối tượng khách hàng, đồng thời yêu cầu bổ sung sinh trắc học cho giao dịch có giá trị cao hoặc thuộc nhóm khách hàng tổ chức mới thành lập.

Việc ban hành Thông tư sửa đổi được kỳ vọng sẽ tăng cường an ninh, an toàn cho hệ thống ngân hàng số, bảo vệ người dùng trước rủi ro tội phạm mạng, đồng thời tạo nền tảng pháp lý thống nhất cho các mô hình giao dịch mới như Tiền di động, xác thực sinh trắc học và chuẩn hóa bảo mật theo tiêu chuẩn quốc tế.

Hồng Sơn