Từ 1/3/2026, doanh nghiệp, tổ chức thành lập dưới 12 tháng phải xác thực bằng sinh trắc học hoặc chữ ký điện tử an toàn khi giao dịch có giá trị trên 50 triệu đồng trở lên hoặc tổng giá trị các giao dịch trong ngày vượt quá 100 triệu đồng…
Ngân hàng Nhà nước cảnh báo tội phạm công nghệ cao ngày càng tinh vi, lợi
dụng tài khoản doanh nghiệp “ma” kết hợp deepfake, mã độc để thực hiện hành vi
gian lận. Trước thực trạng này, Thông tư 77/2025/TT-NHNN (hiệu lực từ
01/3/2026) bổ sung loạt biện pháp siết chặt xác thực đối với khách hàng tổ chức
có rủi ro cao.
Thông tư 77 có 4 điểm mới đáng chú ý: (1) mở rộng phạm vi điều chỉnh, bao
quát toàn diện hệ sinh thái số; (2) tăng cường xác thực đối với khách hàng tổ
chức có rủi ro cao; (3) chuẩn hóa yêu cầu an toàn kỹ thuật theo chuẩn quốc tế;
(4) nâng cao tính tự vệ của ứng dụng Mobile Banking.
Trong đó, điểm nhấn quan trọng là siết chặt xác thực đối với khách hàng tổ
chức.
Thông tư 77 đã bổ sung
khái niệm “khách hàng tổ chức mới” nhằm xác định nhóm khách hàng có mức độ
rủi ro cao. Đây là những tổ chức mới được thành lập trong vòng 12 tháng hoặc
mới thiết lập quan hệ với đơn vị trong khoảng thời gian 12 tháng.
Đối với nhóm khách hàng
này, Thông tư 77 yêu cầu áp dụng các biện pháp xác thực mạnh nhằm hạn chế nguy
cơ bị lợi dụng làm trung gian cho các hành vi gian lận.
Tính đến ngày 26/12/2025, ngành ngân hàng có hơn 143 triệu hồ sơ khách hàng (CIF) cá nhân; hơn 1,5 triệu hồ sơ khách hàng tổ chức có tài khoản thanh toán đã được đối chiếu thông tin sinh trắc học qua căn cước công dân (CCCD) gắn chip hoặc ứng dụng VneID.
(Báo cáo của Ngân hàng Nhà nước)
Cụ thể, việc xác thực
bằng sinh trắc học hoặc chữ ký điện tử an toàn là bắt buộc trong các trường hợp
sau: Giao dịch có giá trị trên 50 triệu đồng; tổng giá trị các giao dịch trong ngày vượt quá
100 triệu đồng.
Tuy nhiên, Thông tư
cũng loại trừ các nhóm khách hàng rủi ro thấp như: các cơ quan nhà nước, đơn vị
sự nghiệp công lập; các tổ chức
tín dụng, tổ chức niêm yết, các
tổ chức thuộc danh sách Fortune Global 500,…
Mobile Banking hiện là
kênh giao dịch phổ biến nhất của khách hàng, đồng thời cũng là mục tiêu tấn
công chủ yếu của các đối tượng gian lận. Nhận diện rõ thực tế này, Thông tư số
77 bổ sung hàng loạt yêu cầu mới nhằm tăng cường tính tự vệ của ứng dụng Mobile
Banking, như: tối thiểu 3 tháng/lần, các đơn vị phải đánh giá an toàn, bảo mật
của các phiên bản phàn mềm ứng dụng,… không cho phép hạ cấp phiên bản và áp
dụng biện pháp kiểm soát chặt chẽ đối với các lỗ hổng bảo mật nghiêm trọng.
Đặc biệt, Thông tư số
77 quy định bắt buộc ứng dụng Mobile Banking phải tự động thoát hoặc dừng hoạt
động và thông báo cho khách hàng lý do nếu phát hiện thiết bị bị bẻ khóa
(root/jailbreak), hoặc bị mở khoá cơ chế bảo vệ (unlock_bootloader); bị can
thiệp bởi trình gỡ lỗi hoặc chạy trong môi trường giả lập… Việc kiểm soát lỗ
hổng theo chuẩn quốc tế OWASP.
Trước sự phát triển
nhanh của công nghệ Deepfake và các hình thức giả mạo khuôn mặt, Thông tư số 77
yêu cầu các giải pháp sinh trắc học phải tích hợp cơ chế phát hiện vật thể sống
(Presentation Attack Detection – PAD) đạt chuẩn quốc tế ISO 30107 level 2 hoặc
tương đương. Tổ chức chứng nhận phải được cấp phép bởi cơ quan công nhận đã
tham gia Thoả thuận công nhận lẫn nhau đa phương của Diễn đàn Công nhận Quốc tế
(IAF-MLA).
Thông tư 77 chính thức bãi bỏ việc sử dụng chữ ký điện tử
chuyên dùng cho khách hàng tổ chức. Quy định này nhằm đảm bảo sự thống nhất với
Nghị định số 23/2025/NĐ-CP về chữ ký điện tử và dịch vụ tin cậy, góp phần đồng
bộ hệ thống pháp luật và tạo điều kiện thuận lợi cho khách hàng sử dụng các
hình thức chữ ký điện tử được chuẩn hóa, công nhận rộng rãi.
-Kỳ Phong
Nguồn tin: https://vneconomy.vn/to-chuc-thanh-lap-duoi-12-thang-phai-xac-thuc-sinh-trac-hoc-khi-giao-dich-tren-50-trieu-dong.htm
