Trang Chủ
Thông tư này có hiệu lực kể từ đầu năm 2025, áp dụng đối với các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, công ty thông tin tín dụng (sau đây gọi chung là đơn vị).
Một số điểm mới trong cung cấp dịch vụ trực tuyến ngành Ngân hàng
Từ năm 2025, phần mềm ứng dụng Online Banking phải có chức năng chống đăng nhập tự động. Cụ thể:
Tại khoản 6, Điều 7 Thông tư 50 quy định các chức năng bắt buộc của phần mềm ứng dụng Online Banking mà các đơn vị phải tuân thủ như:
"a) Toàn bộ dữ liệu khi truyền trên môi trường mạng hoặc dữ liệu trao đổi giữa phần mềm ứng dụng Online Banking với các trang thiết bị liên quan được áp dụng cơ chế mã hóa điểm đầu đến điểm cuối;
b) Bảo đảm tính toàn vẹn của dữ liệu giao dịch, mọi sửa đổi trái phép phải được phát hiện, cảnh báo, ngăn chặn hoặc có biện pháp xử lý phù hợp để bảo đảm sự chính xác của dữ liệu giao dịch trong quá trình thực hiện giao dịch, lưu trữ dữ liệu;
c) Kiểm soát phiên giao dịch: hệ thống có cơ chế tự động ngắt phiên giao dịch khi người sử dụng không thao tác trong một khoảng thời gian do đơn vị quy định hoặc áp dụng các biện pháp bảo vệ khác;
d) Có chức năng che giấu đối với việc hiển thị các mã khóa bí mật, mã PIN dùng để đăng nhập vào hệ thống;
đ) Có chức năng chống đăng nhập tự động;
e) Trong trường hợp tài khoản giao dịch điện tử quy định tại khoản 1 Điều 9 Thông tư này sử dụng mã PIN hoặc mã khóa bí mật làm hình thức xác nhận, phần mềm ứng dụng Online Banking phải có các chức năng kiểm soát mã PIN và mã khóa bí mật: Yêu cầu khách hàng thay đổi mã PIN hoặc mã khóa bí mật trong trường hợp khách hàng được cấp phát mã PIN hoặc mã khóa bí mật mặc định lần đầu; Thông báo cho khách hàng khi mã PIN hoặc mã khóa bí mật sắp hết hiệu lực sử dụng; Hủy hiệu lực của mã PIN hoặc mã khóa bí mật khi hết hạn sử dụng; yêu cầu khách hàng thay đổi mã PIN hoặc mã khóa bí mật đã hết hạn sử dụng khi khách hàng sử dụng mã PIN hoặc mã khóa bí mật để đăng nhập; Hủy hiệu lực của mã PIN hoặc mã khóa bí mật trong trường hợp bị nhập sai mã PIN hoặc mã khóa bí mật liên tiếp quá số lần do đơn vị quy định (nhưng không quá 10 lần) và thông báo cho khách hàng; Đơn vị chỉ cấp phát lại mã PIN hoặc mã khóa bí mật khi khách hàng yêu cầu và phải kiểm tra, nhận biết khách hàng trước khi thực hiện cấp phát lại, bảo đảm chống gian lận, giả mạo.
g) Đối với khách hàng là tổ chức, phần mềm ứng dụng được thiết kế để bảo đảm việc thực hiện giao dịch thanh toán trực tuyến bao gồm tối thiểu hai bước: tạo lập và phê duyệt giao dịch. Trong trường hợp khách hàng là hộ kinh doanh hoặc doanh nghiệp siêu nhỏ áp dụng chế độ kế toán đơn giản, việc thực hiện giao dịch không bắt buộc tách biệt hai bước tạo lập và phê duyệt giao dịch;
h) Có chức năng thông báo việc đăng nhập lần đầu phần mềm ứng dụng Online Banking hoặc việc đăng nhập phần mềm ứng dụng Online Banking trên thiết bị khác với thiết bị thực hiện đăng nhập phần mềm ứng dụng Online Banking lần gần nhất qua SMS hoặc các kênh khác do khách hàng đăng ký (điện thoại, thư điện tử…), ngoại trừ trường hợp khách hàng tổ chức: đăng nhập trên các thiết bị đã đăng ký sử dụng dịch vụ; hoặc đăng nhập sử dụng tối thiểu một trong các hình thức xác nhận quy định tại khoản 3, khoản 4, khoản 5, khoản 7, khoản 8, khoản 9 Điều 11 Thông tư này”.
Từ năm 2025, phần mềm ứng dụng Mobile Banking không có chức năng ghi nhớ mật khẩu, cụ thể:
Tại Điều 8 Thông tư quy định: "Phần mềm ứng dụng Mobile Banking do đơn vị cung cấp phải bảo đảm tuân thủ các quy định, trong đó có yêu cầu: phải triển khai các giải pháp nhằm phòng, chống, phát hiện các hành vi can thiệp trái phép vào ứng dụng Mobile Banking đã cài đặt trong thiết bị di động của khách hàng; Không cho phép chức năng ghi nhớ mã khóa bí mật truy cập.
Đối với khách hàng cá nhân, phải có chức năng kiểm tra khách hàng khi khách hàng truy cập lần đầu hoặc khi khách hàng truy cập trên thiết bị khác với thiết bị đã truy cập phần mềm ứng dụng Mobile Banking lần gần nhất. Việc kiểm tra khách hàng tối thiểu bao gồm: a) Khớp đúng SMS OTP hoặc Voice OTP thông qua số điện thoại đã được khách hàng đăng ký hoặc Soft OTP/Token OTP; b) Khớp đúng thông tin sinh trắc học theo quy định tại khoản 5 Điều 11 Thông tư này trong trường hợp văn bản pháp luật chuyên ngành liên quan đến dịch vụ cung cấp trên phần mềm ứng dụng Mobile Banking có quy định thu thập, lưu trữ thông tin sinh trắc học của khách hàng”.
Ngoài ra, tại Điều 11 Thông tư cũng quy định về các hình thức xác nhận, cụ thể:
"Hình thức xác nhận bằng mã khóa bí mật (Password): khách hàng sử dụng mã khóa bí mật là một chuỗi ký tự để xác nhận quyền truy cập của khách hàng vào hệ thống thông tin, ứng dụng, dịch vụ hoặc xác nhận khách hàng thực hiện giao dịch. Hình thức xác nhận bằng mã khóa bí mật phải đáp ứng yêu cầu: Mã khóa bí mật có độ dài tối thiểu 08 ký tự và cấu tạo bao gồm tối thiểu các ký tự: số, chữ hoa, chữ thường; Thời gian hiệu lực của mã khóa bí mật tối đa 12 tháng, đối với mã khóa bí mật được cấp phát mặc định lần đầu: thời gian hiệu lực tối đa là 30 ngày.
Hình thức xác nhận bằng mã PIN (Personal Identification Number) là hình thức xác nhận bằng mã khóa bí mật trong đó mã khóa bí mật được tạo từ một chuỗi các chữ số. Hình thức xác nhận bằng mã PIN (trừ trường hợp mã PIN gắn với thẻ vật lý) phải đáp ứng yêu cầu: Mã PIN có độ dài tối thiểu 06 ký tự; Thời gian hiệu lực của mã PIN tối đa 12 tháng, đối với mã PIN được cấp phát mặc định lần đầu: thời gian hiệu lực tối đa là 30 ngày.
Hình thức xác nhận bằng mã khóa bí mật dùng một lần (One Time Password - OTP) là hình thức xác nhận bằng mã khóa bí mật trong đó mã khóa bí mật có giá trị sử dụng một lần và có hiệu lực trong một khoảng thời gian nhất định, bao gồm các hình thức sau: (i) SMS OTP là hình thức xác nhận thông qua mã OTP được gửi qua tin nhắn SMS (Short Message Services) hoặc tin nhắn thông qua dịch vụ viễn thông cơ bản trên Internet. SMS OTP phải đáp ứng yêu cầu: OTP gửi tới khách hàng phải kèm thông tin thông báo để khách hàng nhận biết được mục đích của OTP; OTP có hiệu lực tối đa 05 phút; (ii) Voice OTP là hình thức xác nhận thông qua mã OTP được gửi qua cuộc gọi thoại hoặc cuộc gọi thông qua dịch vụ viễn thông cơ bản trên Internet. Voice OTP phải đáp ứng yêu cầu: OTP gửi tới khách hàng phải kèm thông tin thông báo để khách hàng nhận biết được mục đích của OTP; OTP có hiệu lực tối đa 03 phút; (iii) Email OTP là hình thức xác nhận thông qua mã OTP được gửi qua thư điện tử. Email OTP phải đáp ứng yêu cầu: OTP gửi tới khách hàng phải kèm thông tin thông báo để khách hàng nhận biết được mục đích của OTP; OTP có hiệu lực tối đa 05 phút; (iv) Thẻ ma trận OTP là hình thức xác nhận thông qua mã OTP được xác định từ một bảng 2 chiều (dòng, cột), tương ứng với mỗi dòng, cột là một mã OTP. Thẻ ma trận OTP phải đáp ứng yêu cầu: Thẻ ma trận OTP có thời hạn sử dụng tối đa 01 năm kể từ ngày đăng ký thẻ; OTP có hiệu lực tối đa 02 phút”.
Bảo đảm an toàn thông tin trong cung cấp dịch vụ ngân hàng trên Internet
Thời gian qua, ngành Ngân hàng đã không ngừng gia tăng các biện pháp đảm bảo an toàn thông tin và tài khoản khách hàng, phối hợp cơ quan công an trong điều tra, xử lý, ngăn chặn các hành vi vi phạm pháp luật trong lĩnh vực tiền tệ ngân hàng.
NHNN đã ban hành các văn bản quy phạm pháp luật và các văn bản chỉ đạo các tổ chức tín dụng (TCTD) trong việc bảo đảm an toàn thông tin (ATTT) cho việc cung cấp dịch vụ ngân hàng trên Internet, bao gồm các biện pháp phòng chống hình thức tấn công vào thiết bị cài đặt ứng dụng Mobile Banking của khách hàng để đánh cắp thông tin tài khoản ngân hàng và các biện pháp giám sát, phát hiện các giao dịch có dấu hiệu gian lận. Chẳng hạn như, Thông tư số 35/2016/TT-NHNN ngày 29/12/2016 quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet và Thông tư số 35/2018/TT-NHNN ngày 24/12/2018 sửa đổi, bổ sung một số điều của Thông tư số 35/2016/TT-NHNN; Thông tư số 09/2020/TT-NHNN ngày 21/10/2020 quy định về an toàn hệ thống thông tin trong hoạt động ngân hàng; Thông tư số 47/2014/TT-NHNN ngày 31/12/2014 quy định các yêu cầu kỹ thuật về an toàn bảo mật đối với trang thiết bị phục vụ thanh toán thẻ ngân hàng và Thông tư 20/2020/TT-NHNN ngày 31/12/2020 sửa đổi, bổ sung một số điều của Thông tư số 47/2014/TT-NHNN…
Bên cạnh đó, NHNN đã ban hành Quyết định 2345/QĐ-NHNN ngày 18/12/2023 về triển khai các giải pháp an toàn, bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng (Quyết định 2345), có hiệu lực từ 01/7/2024, trong đó có quy định về xác thực sinh trắc học khi thực hiện giao dịch chuyển tiền trên 10 triệu đồng (hoặc tổng giá trị giao dịch > 20 triệu đồng/ngày), hoặc khi thay đổi, cài đặt ứng dụng Mobile Banking trên thiết bị di động mới.
Ngoài ra, vừa qua NHNN đã ban hành một số quy định mới bắt buộc khách hàng chỉ được rút tiền, thực hiện giao dịch thanh toán bằng phương tiện điện tử khi đã hoàn thành việc đối chiếu khớp đúng giấy tờ tùy thân và thông tin sinh trắc học với: (i) dữ liệu sinh trắc học được lưu trong chíp của thẻ căn cước công dân (CCCD) đã được xác thực chính xác là do cơ quan Công an cấp hoặc thông qua xác thực tài khoản định danh điện tử do Hệ thống định danh và xác thực điện tử tạo lập; (ii) hoặc dữ liệu sinh trắc học được thu thập thông qua gặp mặt trực tiếp đối với trường hợp là người nước ngoài không sử dụng danh tính điện tử, người gốc Việt Nam chưa xác định được quốc tịch. Đối với khách hàng cá nhân, áp dụng từ 01/01/2025; đối với khách hàng tổ chức, áp dụng từ 01/07/2025.
Việc triển khai xác thực sinh trắc học trong các giao dịch ngân hàng góp phần bảo đảm các giao dịch thanh toán trực tuyến được thực hiện bởi chính chủ tài khoản, qua đó sẽ nâng cao an ninh, an toàn, bảo mật cho các giao dịch thanh toán trực tuyến, giảm thiểu rủi ro gian lận, lừa đảo trong giao dịch thanh toán trực tuyến.
Bên cạnh đó, NHNN thường xuyên chỉ đạo các TCTD làm tốt công tác truyền thông, tuyên truyền về các thủ đoạn của tội phạm mạng, nâng cao nhận thức của người dân về sử dụng ngân hàng điện tử, từ đó khuyến khích, hỗ trợ người dân trong việc tiếp cận, sử dụng hiệu quả các dịch vụ ngân hàng trực tuyến, thúc đẩy thanh toán không dùng tiền mặt. Ngoài ra, qua theo dõi tình hình an toàn thông tin, NHNN đã thường xuyên, kịp thời cảnh báo về các rủi ro, lỗ hổng bảo mật và chỉ đạo các TCTD triển khai các giải pháp phòng chống.
Ở tầm vĩ mô, Chính phủ đã ban hành Quyết định số 06/QĐ-TTg của Thủ tướng Chính phủ phê duyệt Đề án phát triển ứng dụng dữ liệu về dân cư, định danh và xác thực điện tử phục vụ chuyển đổi số quốc gia giai đoạn 2022 - 2025, tầm nhìn đến năm 2030 (Đề án 06), trong đó Bộ Công an làm đầu mối và NHNN phối hợp, từ đó kết nối dữ liệu ngân hàng với dữ liệu quốc gia về dân cư, để làm sạch dữ liệu ngân hàng đang có. Việc làm sạch dữ liệu khách hàng sẽ làm giảm rất nhiều rủi ro trong hoạt động phòng chống tội phạm thanh toán, và giúp các cơ quan chức năng phòng chống tội phạm gian lận.
Thời gian tới, NHNN tiếp tục phối hợp với Bộ Công an chỉ đạo các TCTD đẩy mạnh triển khai Đề án 06, làm sạch dữ liệu khách hàng; hoàn thành đúng tiến độ đã đặt ra tại Kế hoạch phối hợp giữa Bộ Công an và NHNN; tiếp tục phối hợp với các cơ quan chức năng liên quan trong công tác phòng chống tội phạm, phát hiện và ngăn chặn các hành vi gian lận, lừa đảo, bất hợp pháp; thực hiện công tác kiểm tra về hoạt động thanh toán và thường xuyên có cảnh báo, chỉ đạo, chấn chỉnh kịp thời các tổ chức tín dụng nghiêm túc chấp hành các quy định pháp luật, đảm bảo an toàn hoạt động thanh toán, an toàn tài sản cho khách hàng.
Các tổ chức cung ứng dịch vụ thanh toán, tổ chức cung ứng dịch vụ trung gian thanh toán cần tăng cường đầu tư hạ tầng kỹ thuật số, chất lượng nhân lực về công nghệ trong lĩnh vực tài chính, ngân hàng, đặc biệt chú trọng đến địa bàn nông thôn (nơi mà người dân dễ bị kẻ gian lợi dụng để lừa đảo) nhằm đảm bảo an ninh, bảo mật dữ liệu và ứng cứu xử lý kịp thời các tình huống phát sinh. Cảnh giác trước các giao dịch bất thường, có dấu hiệu lừa đảo, kịp thời thông tin, can thiệp với khách hàng và các cơ quan chức năng (công an…) ngăn chặn kịp thời không để xảy ra hậu quả đáng tiếc. Xây dựng đội ngũ giám sát và phân tích, cảnh báo rủi ro về gian lận; đào tạo đội ngũ chăm sóc khách hàng xử lý các trường hợp gian lận; xây dựng các kịch bản, quy trình, hướng dẫn ứng phó chi tiết với các sự cố về gian lận trực tuyến. Xây dựng quy trình giám sát, cảnh báo các giao dịch gian lận; xây dựng quy trình kiểm soát chặt ngay từ khâu mở tài khoản tại quầy. Đặc biệt, cần đẩy mạnh truyền thông, qua đó giúp nông dân nâng cao hiểu biết trong quá trình sử dụng sản phẩm tài chính số, giảm thiểu rủi ro cho khách hàng.
Về phía khách hàng, cần tuân thủ các quy định, hướng dẫn của các ngân hàng cung cấp dịch vụ ngân hàng; không cung cấp thông tin bảo mật các dịch vụ ngân hàng kỹ thuật số như: Mật khẩu truy cập, mật khẩu giao dịch một lần, mật khẩu truy cập địa chỉ email cá nhân… cho bất kỳ ai và bằng bất cứ hình thức nào; không truy cập các trang web không đáng tin cậy, hoặc nhập vào bất kỳ đường link nào yêu cầu cung cấp, cập nhật thông tin cá nhân và thông tin dịch vụ ngân hàng kỹ thuật số; không chọn chế độ lưu mật khẩu đăng nhập Internet Banking trên thiết bị sử dụng chung, trên máy tính công cộng; bảo vệ và thay đổi thường xuyên mật khẩu truy cập các dịch vụ ngân hàng kỹ thuật số để bảo vệ toàn bộ giao dịch của bản thân và cài đặt mật khẩu bảo đảm nguyên tắc an toàn. Ưu tiên sử dụng máy tính cá nhân có cài đặt cập nhật các phần mềm diệt virus để truy cập các dịch vụ ngân hàng kỹ thuật số… Thường xuyên theo dõi, cập nhật các cảnh báo về an toàn bảo mật trong thanh toán trực tuyến từ các ngân hàng cung cấp dịch vụ, từ các phương tiện truyền thông đại chúng. Thường xuyên cập nhật về các phương thức, thủ đoạn của tội phạm trên không gian mạng, qua đó có ý thức và kiến thức phòng ngừa rủi ro.
Người dân không bấm vào các link gửi đến; không tải app nếu không có trên kho ứng dụng của Google Play hay App Store; không nghe theo những lời tư vấn về lợi ích liên quan đến lợi ích đầu tư, lợi ích tài chính qua điện thoại, mạng xã hội vì đa phần là lừa đảo, quấy rối. Trong trường hợp bị lộ hoặc nghi ngờ bị lộ tên đăng nhập/mật khẩu, khách hàng cần nhanh chóng thông báo tới ngân hàng để được hỗ trợ kịp thời.
Hà Linh
