Từ 1/3/2026: App ngân hàng sẽ tự động ngừng hoạt động trong 3 trường hợp sau

Từ ngày 1/3/2026, các ứng dụng ngân hàng (Mobile Banking) sẽ bắt buộc tự động thoát hoặc ngừng hoạt động nếu phát hiện dấu hiệu gian lận, can thiệp trái phép hoặc rủi ro mất an toàn thông tin. Đây là quy định mới nhằm siết chặt bảo mật trong hoạt động ngân hàng số, trước làn sóng tội phạm công nghệ cao ngày càng tinh vi.

Quy định này được nêu tại Thông tư số 77/2025/TT-NHNN do Ngân hàng Nhà nước (NHNN) ban hành, sửa đổi, bổ sung một số điều của Thông tư 50/2024 về an toàn, bảo mật trong cung cấp dịch vụ trực tuyến.

App ngân hàng sẽ tự động ngừng hoạt động khi gặp 3 trường hợp

Theo Thông tư 77, các ứng dụng ngân hàng số phải tự động thoát hoặc ngừng hoạt động và thông báo cho người dùng nếu phát hiện một trong 3 dấu hiệu rủi ro nghiêm trọng sau:

Thứ nhất, ứng dụng chạy trong môi trường không an toàn

Bao gồm các trường hợp phát hiện trình gỡ lỗi (debugger) đang hoạt động; ứng dụng chạy trên môi trường giả lập (emulator), máy ảo, thiết bị giả lập; hoặc thiết bị bật chế độ Android Debug Bridge (ADB) cho phép máy tính can thiệp trực tiếp vào hệ điều hành Android.

Thứ hai, ứng dụng bị can thiệp hoặc chèn mã độc

Cụ thể, app bị chèn mã bên ngoài khi đang chạy; có dấu hiệu theo dõi các hàm xử lý, ghi log dữ liệu truyền qua API; hoặc ứng dụng bị chỉnh sửa, đóng gói lại (repackaging) – những hành vi thường được tội phạm mạng sử dụng để đánh cắp thông tin, chiếm đoạt tài sản.

Thứ ba, thiết bị đã bị bẻ khóa hệ thống

Trường hợp thiết bị đã root (Android), jailbreak (iOS) hoặc bị mở khóa bootloader, làm vô hiệu các cơ chế bảo vệ mặc định của hệ điều hành, ứng dụng ngân hàng cũng sẽ tự động ngừng hoạt động.

Siết chặt quản lý phiên bản Mobile Banking

Không chỉ dừng ở việc phát hiện rủi ro tức thời, Thông tư 77 còn yêu cầu các ngân hàng tăng cường kiểm soát phiên bản ứng dụng Mobile Banking.

Theo đó, tối thiểu 3 tháng/lần, các ngân hàng phải đánh giá an toàn, bảo mật đối với các phiên bản ứng dụng đang cho phép khách hàng cài đặt, sử dụng, nhằm phát hiện lỗ hổng và khả năng bị tội phạm công nghệ cao can thiệp.

Khi khách hàng kích hoạt app trên thiết bị mới hoặc kích hoạt lại ứng dụng, bắt buộc phải sử dụng phiên bản mới nhất hoặc phiên bản gần nhất đáp ứng tiêu chuẩn an toàn. Ngân hàng phải có giải pháp ngăn chặn việc hạ phiên bản (downgrade) xuống các bản cũ kém bảo mật.

Trong trường hợp phát hiện lỗ hổng bảo mật ở mức cao hoặc nghiêm trọng, đơn vị cung cấp dịch vụ phải tạm dừng giao dịch hoặc áp dụng biện pháp kiểm soát chặt chẽ, đồng thời nhanh chóng xử lý, khắc phục và cập nhật phiên bản mới theo thời hạn quy định.

Để đối phó với các hình thức lừa đảo mới sử dụng AI, Deepfake, NHNN yêu cầu các giải pháp phát hiện giả mạo sinh trắc học phải đạt chuẩn quốc tế ISO 30107 - cấp độ 2 hoặc tương đương.

Bên cạnh đó, Thông tư 77 không cho phép ứng dụng ghi nhớ mã khóa bí mật truy cập, trừ trường hợp áp dụng các hình thức xác thực an toàn theo quy định, nhằm hạn chế nguy cơ lộ lọt thông tin đăng nhập.

Thông tư 77 sẽ chính thức có hiệu lực từ ngày 1/3/2026. Riêng các quy định liên quan đến thanh toán trực tuyến, lộ trình áp dụng đối với khách hàng cá nhân dự kiến từ tháng 7/2026, và đối với khách hàng tổ chức từ tháng 10/2026.

Việc siết chặt các tiêu chuẩn an toàn được kỳ vọng sẽ giúp bảo vệ người dùng, giảm thiểu rủi ro gian lận và nâng cao niềm tin vào hệ sinh thái ngân hàng số trong giai đoạn chuyển đổi số mạnh mẽ hiện nay.