Tranh chấp và Kinh nghiệm
Siết chặt chế tài xử phạt đối với hành vi vi phạm quy định về tập trung kinh tế
Theo Báo cáo công tác kiểm soát tập trung kinh tế mới nhất của Ủy ban Cạnh tranh Quốc gia
Thông tin Pháp luật
Thông tư 77/2025/TT-NHNN: Tăng cường yêu cầu an ninh, bảo mật đối với dịch vụ trực tuyến trong ngành ngân hàng
Ngày 31/12/2025, Thống đốc Ngân hàng Nhà nước Việt Nam (NHNN) ký ban hành Thông tư 77/2025/TT-NHNN (“Thông tư 77/2025”) nhằm sửa đổi, bổ sung một số điều của Thông tư 50/2024/TT-NHNN quy định về an toàn, bảo mật đối với dịch vụ trực tuyến trong ngành Ngân hàng. Văn bản này có hiệu lực từ 01/03/2026.
Mục tiêu của việc ban hành Thông tư 77/2025 là tăng cường an ninh, bảo mật cho hệ thống dịch vụ trực tuyến trong bối cảnh tội phạm công nghệ cao ngày càng tinh vi, đặc biệt là các hình thức lừa đảo lợi dụng Deepfake, mã độc, tài khoản doanh nghiệp “ma” (tài khoản doanh nghiệp giả mạo) để chiếm đoạt tài sản người dùng trên không gian mạng.
1. Phòng chống giả mạo trong xác thực sinh trắc học
Một trong những sửa đổi quan trọng nhất của Thông tư 77/2025 là khoản 1 Điều 7, theo đó yêu cầu các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, công ty thông tin tín dụng phải có các giải pháp phát hiện giả mạo sinh trắc học (Presentation Attack Detection – “PAD”) đáp ứng các tiêu chuẩn sau:[1]
- Đạt chứng nhận của phòng thí nghiệm được Liên minh FIDO công nhận, hoặc
- Được tổ chức chứng nhận tuân thủ tiêu chuẩn quốc tế (ISO) cấp phép,
- Và đáp ứng tiêu chuẩn ISO 30107 Level 2 hoặc tương đương,
- Đồng thời tổ chức chứng nhận phải thuộc hệ thống công nhận đa phương của IAF MLA.
Quy định này thể hiện rõ kỳ vọng trong việc định hướng tăng cường bảo vệ người tiêu dùng trong môi trường số, đặc biệt trước sự gia tăng của các hình thức gian lận sử dụng công nghệ cao như deepfake, mã độc hay tài khoản doanh nghiệp giả mạo. Việc áp dụng các giải pháp PAD đạt chuẩn giúp ngăn chặn các hành vi giả mạo sinh trắc học, từ đó giảm thiểu nguy cơ bị chiếm đoạt tài khoản và tài sản của người dùng trong các giao dịch trực tuyến. Đồng thời, quy định này cũng được kỳ vọng trong việc góp phần nâng cao mức độ an toàn và tính toàn vẹn của hệ thống tài chính - ngân hàng, giảm thiểu rủi ro gian lận, tổn thất tài chính cũng như rủi ro pháp lý và uy tín cho các tổ chức cung ứng dịch vụ.
Ngoài ra, Phụ lục 02 còn quy định:
- Giao dịch loại C và D[2] bắt buộc kết hợp OTP nâng cao + khớp đúng sinh trắc học.
- Đối với khách hàng tổ chức, sinh trắc học phải là của người đại diện hợp pháp.
Điều này thể hiện xu hướng chuyển từ xác thực đơn yếu tố (single-factor) sang đa yếu tố (multi-factor authentication – “MFA”) với thành phần sinh trắc học có cơ chế chống giả mạo.
2. Giải pháp hạn chế “tài khoản doanh nghiệp ma”
Thông tư 77 lần đầu tiên đưa ra khái niệm “khách hàng tổ chức mới” nhằm xác định nhóm khách hàng có mức độ rủi ro cao, bao gồm:[3]
- Tổ chức thành lập trong vòng 12 tháng; hoặc
- Tổ chức mới thiết lập quan hệ với đơn vị trong vòng 12 tháng,
- Và được đơn vị đánh giá rủi ro để áp dụng cơ chế xác thực tăng cường.
Đối với nhóm khách hàng tổ chức mới này, tùy vào từng trường hợp cụ thể, cần áp dụng các biện pháp xác nhận giao dịch trực tuyến chặt chẽ hơn, cụ thể:
- Khớp đúng thông tin sinh trắc học của người đại diện hợp pháp, kết hợp với Soft OTP/Token OTP loại cơ bản hoặc hai kênh.
- Khớp đúng thông tin sinh trắc học của người đại diện hợp pháp, kết hợp với Soft OTP/Token OTP loại nâng cao hoặc FIDO hoặc chữ ký điện tử an toàn.
- Hoặc chữ ký điện tử an toàn được tích hợp với tài khoản định danh điện tử của tổ chức.
3. Yêu cầu đối với ứng dụng ngân hàng và thanh toán trực tuyến
3.1. Yêu cầu về đánh giá, kiểm tra an toàn bảo mật:[4]
- Đối với ứng dụng Online Banking cung cấp qua nền tảng web: Phải bảo đảm khả năng phòng, chống tối thiểu 10 lỗ hổng bảo mật phổ biến nhất theo công bố của OWASP, cụ thể là theo tiêu chuẩn OWASP Top Ten.
- Đối với ứng dụng Mobile Banking: Phải đáp ứng tối thiểu các yêu cầu về an toàn bảo mật ứng dụng di động theo hướng dẫn của OWASP, cụ thể theo bộ tiêu chuẩn OWASP Mobile Application Security.
- Phiên bản OWASP Top Ten hoặc OWASP Mobile Application Security được áp dụng phải là phiên bản mới nhất hoặc phiên bản được ban hành gần nhất trong vòng 06 tháng tính đến thời điểm triển khai.
3.2. Yêu cầu về quy trình thực hiện giao dịch đối với khách hàng:[5]
- Đối với khách hàng là tổ chức: phần mềm ứng dụng phải được thiết kế bảo đảm giao dịch thanh toán trực tuyến (ngoại trừ thanh toán thẻ trực tuyến qua đơn vị chấp nhận thanh toán) được thực hiện tối thiểu qua hai bước: (i) Tạo lập giao dịch; (ii) Phê duyệt giao dịch.
- Đối với hộ kinh doanh hoặc doanh nghiệp siêu nhỏ áp dụng chế độ kế toán đơn giản: Không bắt buộc phải tách biệt hai bước tạo lập và phê duyệt giao dịch.
3.3. Yêu cầu về xác thực kết nối và tích hợp hệ thống:[6]
- Phần mềm ứng dụng Online Banking phải có chức năng xác thực kết nối với phần mềm của khách hàng nhằm: (i) Bảo đảm an toàn, bảo mật thông tin; (ii) Phòng, chống gian lận và giả mạo; (iii) Tuân thủ các tiêu chuẩn, quy chuẩn kỹ thuật quốc tế hoặc Việt Nam có liên quan.
Kết luận
Thông tư 77/2025/TT-NHNN là một bước đi quan trọng trong công tác hoàn thiện khung pháp lý về an toàn dịch vụ thanh toán trực tuyến tại Việt Nam. Việc quy định chuẩn quốc tế đối với công nghệ sinh trắc học và nâng cao tiêu chuẩn phòng chống rủi ro kỹ thuật là những điểm nhấn đáng chú ý, thể hiện nỗ lực giữ vững tính an toàn, bảo mật và minh bạch của hệ thống thanh toán số.
[1] Thông tư 77/2025/TT-NHNN - Điều 7.1 sửa đổi, bổ sung Thông tư 50/2024/TT-NHNN - Điều 11.5.(c)
[2] Phân loại giao dịch loại C và D, chi tiết tại Phụ lục I Thông tư 77/2025/NHNN
[3] Thông tư 77/2025/TT-NHNN - Điều 2 sửa đổi, bổ sung Thông tư 50/2024/TT-NHNN - Điều 2.11
[4] Thông tư 77/2025/TT-NHNN, Điều 4.1 sửa đổi, bổ sung Thông tư 50/2024/TT-NHNN - Điều 7.3 (c)
[5] Thông tư 77/2025/TT-NHNN, Điều 4.2 sửa đổi, bổ sung Thông tư 50/2024/TT-NHNN - Điều 7.6.(g)
[6] Thông tư 77/2025/TT-NHNN, Điều 4.3 sửa đổi, bổ sung Thông tư 50/2024/TT-NHNN - Điều 7.8.(b)
Tác giả:
Bùi Thị Việt Hà: Luật sư Thành viên, Dentons Luật Việt
Ngô Tường Vi: Trợ lý Luật sư, Dentons Luật Việt
Dương Ngọc Ánh: Trợ lý Luật sư, Dentons Luật Việt
Miễn trừ trách nhiệm: Bài viết này chỉ nhằm mục đích cung cấp thông tin chung và không cấu thành ý kiến tư vấn pháp lý, hay thiết lập mối quan hệ luật sư và khách hàng. Quý độc giả không nên sử dụng nội dung bài viết như sự thay thế cho tư vấn pháp lý từ luật sư. Dentons Luật Việt không chịu trách nhiệm đối với bất kỳ tổn thất hay thiệt hại nào phát sinh từ việc sử dụng hoặc dựa vào nội dung bài viết này. Vui lòng liên hệ: bd.vietnam@dentons.com để được tư vấn phù hợp.
Đọc thêm
Tranh chấp và Kinh nghiệm
Siết chặt chế tài xử phạt đối với hành vi vi phạm quy định về tập trung kinh tế
Theo Báo cáo công tác kiểm soát tập trung kinh tế mới nhất của Ủy ban Cạnh tranh Quốc gia
Kỹ năng Luật sư Nội bộ
Thủ tục đầu tư ra nước ngoài có gì mới?
Luật Đầu tư số 143/2025/QH15 chính thức có hiệu lực từ ngày 01/03/2026 (“Luật Đầu tư
Lao động và Doanh nghiệp
Đơn phương chấm dứt hợp đồng lao động bằng hành vi: được phép hay không?
Đơn phương chấm dứt hợp đồng lao động bằng hành vi là trường hợp người sử dụng lao động không
Lao động và Doanh nghiệp
Cơ chế đặc biệt phát triển kinh tế tư nhân theo Nghị định số 20/2026/NĐ-CP
Ngày 15/01/2026, Chính phủ ban hành Nghị định 20/2026/NĐ-CP (“Nghị định 20”) nhằm hướng dẫn thi
