Ngân hàng dựng 'lá chắn' bảo mật từ chính người dùng
NeoAI tóm tắt
Thông tư 77/2025/TT-NHNN tăng cường quản lý thiết bị người dùng trong ngân hàng số, yêu cầu các ngân hàng triển khai giải pháp phát hiện và ngăn chặn gian lận từ thiết bị truy cập. Đây được xem là lực đẩy tích cực cho việc tăng cường an toàn giao dịch và có khả năng tác động tới cổ phiếu các ngân hàng niêm yết như VPBank (VPB), SHB và Eximbank (EIB) thông qua sự cải thiện uy tín và vận hành hệ thống số.
Cổ phiếu ảnh hưởng:
VPB
Tích cực
"Thông tư thúc đẩy VPBank triển khai các biện pháp bảo mật theo chuẩn mới, có khả năng làm tăng niềm tin khách hàng và hỗ trợ cổ phiếu tăng khi hiệu quả vận hành được cải thiện."
SHB
Tích cực
"Nền tảng SShield và các biện pháp bảo mật nâng cao của SHB có thể làm tăng độ an toàn giao dịch, từ đó tạo tín hiệu tích cực cho cổ phiếu SHB."
EIB
Tích cực
"Eximbank triển khai EDigi và cơ chế tự động thoát khi phát hiện rủi ro tăng cường bảo mật, mang lại lợi ích dài hạn cho vận hành và tiềm năng tăng giá cổ phiếu nếu thực thi thành công."
Khung pháp lý và mục tiêu của Thông tư 77/2025/TT-NHNN
Trong bối cảnh dịch vụ ngân hàng số phát triển nhanh, thiết bị của người dùng trở thành mắt xích then chốt trong an toàn giao dịch. Các vụ tấn công qua ứng dụng giả mạo và đường link lừa đảo cho thấy bảo mật hệ thống CNTT không chỉ dựa vào công nghệ ngân hàng mà còn phải quản lý chặt chẽ từ thiết bị người dùng. Thông tư 77/2025/TT-NHNN được Ngân hàng Nhà nước ban hành nhằm nâng cao bảo mật và yêu cầu các tổ chức tín dụng triển khai giải pháp kỹ thuật để phát hiện và ngăn chặn gian lận từ thiết bị truy cập. Theo quy định, ứng dụng ngân hàng phải tự động nhận diện thiết bị không an toàn và ngừng hoạt động khi phát hiện rủi ro.
Nội dung chính của yêu cầu và dấu hiệu đánh giá thiết bị
Thông tư quy định hệ thống sẽ tự động thoát hoặc từ chối truy cập nếu thiết bị có một trong ba dấu hiệu mất an toàn.
- Đầu tiên: thiết bị đang bật trình gỡ lỗi, chạy trong môi trường giả lập hoặc kích hoạt Android Debug Bridge cho phép máy tính điều khiển điện thoại.
- Thứ hai: ứng dụng ngân hàng bị can thiệp trái phép như chèn mã, theo dõi dữ liệu hoặc chỉnh sửa ứng dụng.
- Thứ ba: thiết bị đã bị phá khóa bảo mật như root trên Android hoặc jailbreak trên iOS.
Để thực thi quy định này, nhiều ngân hàng lớn đã thông báo dừng cung cấp dịch vụ ngân hàng số trên các thiết bị không đáp ứng chuẩn bảo mật.
Ví dụ thực thi từ các ngân hàng lớn
Cụ thể, BIDV cho biết dịch vụ SmartBanking sẽ dừng hoạt động trên các thiết bị đã root, jailbreak hoặc mở khóa bootloader – những trường hợp có nguy cơ cao bị can thiệp hệ thống. Agribank cho biết ứng dụng Mobile Banking sẽ từ chối truy cập đối với thiết bị không đạt chuẩn bảo mật. Eximbank thông tin ứng dụng Eximbank EDigi sẽ tự động thoát nếu phát hiện thiết bị bật debugger, chạy giả lập hoặc bị chèn mã trái phép.
Xây dựng hệ sinh thái ngân hàng số an toàn và vai trò của các ngân hàng lớn
Việc siết chặt tiêu chuẩn kỹ thuật được xem như một hàng rào bảo vệ, đồng thời thúc đẩy xây dựng hệ sinh thái ngân hàng số an toàn cho khách hàng. ISO 30107 được đề cập ở mức độ nhận diện sinh trắc học cấp độ 2 nhằm giảm thiểu giả mạo dữ liệu sinh trắc học khi thực hiện giao dịch trực tuyến.
- Trong bối cảnh AI ngày càng phát triển, các công nghệ nhận diện và xác thực sinh trắc học được đẩy mạnh để phát hiện các hình thức giả mạo khuôn mặt hoặc dữ liệu sinh trắc học.
- Nhiều ngân hàng đang nâng cấp nền tảng ngân hàng số với nhiều lớp bảo mật như mã hóa dữ liệu, xác thực nhiều yếu tố, giám sát giao dịch thời gian thực và hệ thống cảnh báo bất thường.
- Tại VPBank, bảo mật được xem là một phần cốt lõi trong chiến lược ngân hàng số và các giải pháp đáp ứng Thông tư 77 được triển khai để tăng cường tính an toàn và minh bạch cho khách hàng.
- Với SHB, nền tảng ngân hàng số được nâng cấp thông qua hệ thống SShield nhằm phát hiện các hành vi can thiệp trái phép và tăng cường bảo vệ các giao dịch trực tuyến.
Người dùng được khuyến cáo cập nhật ứng dụng từ cửa hàng ứng dụng chính thức, kiểm tra trạng thái bảo mật của thiết bị và tránh cài đặt phần mềm từ nguồn không xác thực. Đồng thời, cần cảnh giác trước các hình thức lừa đảo như tin nhắn giả mạo, đường link lừa đảo hoặc yêu cầu cung cấp thông tin đăng nhập và mã OTP để đảm bảo an toàn cho các giao dịch trực tuyến.