 |
| Ảnh minh họa. |
Theo nội dung đề xuất, đối tượng áp dụng được mở rộng thêm đối với các doanh nghiệp cung ứng dịch vụ Tiền di động, bên cạnh các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức trung gian thanh toán và công ty cung cấp thông tin tín dụng.
Một điểm thay đổi đáng chú ý là quy định về tiêu chuẩn bảo mật đối với các ứng dụng ngân hàng trực tuyến (Online Banking) và di động (Mobile Banking). Các ứng dụng này bắt buộc phải đáp ứng tiêu chuẩn OWASP quốc tế, trong đó có yêu cầu phòng ngừa 10 lỗ hổng phổ biến nhất và tuân thủ khung an toàn bảo mật dành cho ứng dụng di động.
Bên cạnh đó, các ngân hàng phải định kỳ kiểm tra, cập nhật ứng dụng Mobile Banking ít nhất mỗi hai tháng. Khách hàng sẽ không được sử dụng các phiên bản cũ quá hai thế hệ so với phiên bản mới nhất. Khi kích hoạt thiết bị mới hoặc khi phát hiện lỗ hổng bảo mật, người dùng bắt buộc phải cài đặt lại ứng dụng. Dự thảo cũng yêu cầu ngân hàng có cơ chế ngăn chặn việc hạ phiên bản (downgrade) xuống bản thấp hơn nhằm tránh rủi ro an ninh.
Trường hợp phát hiện lỗ hổng, ứng dụng phải tạm dừng giao dịch, thực hiện kiểm tra và xử lý trước khi được phép hoạt động trở lại. Ngoài ra, app ngân hàng phải tự động ngưng hoạt động khi phát hiện môi trường giả lập, thiết bị bị can thiệp mã độc hoặc root/jailbreak. NHNN cho biết mục tiêu của quy định này là loại bỏ các phiên bản kém an toàn và khắc phục triệt để các rủi ro kỹ thuật.
Dự thảo cũng bổ sung yêu cầu bắt buộc xác thực sinh trắc học đối với trường hợp thay đổi thông tin định danh của khách hàng tổ chức, nhằm ngăn chặn việc lợi dụng thành lập doanh nghiệp “ma” để mở tài khoản thanh toán. Nội dung này được xây dựng trên cơ sở thực hiện Công điện 139/CĐ-TTg của Thủ tướng Chính phủ.
Trong khâu xác nhận giao dịch điện tử, cơ quan soạn thảo đề xuất chỉ chấp nhận ba hình thức: chữ ký điện tử an toàn, chữ ký số, hoặc chữ ký điện tử nước ngoài được công nhận tại Việt Nam. Hình thức chữ ký điện tử thông thường sẽ bị loại bỏ để thống nhất với Luật Giao dịch điện tử 2023 và Nghị định 23/2025/NĐ-CP.
Phụ lục mới của Dự thảo cũng phân loại chi tiết các giao dịch thanh toán trực tuyến thành các nhóm A, B, C, D, dựa trên giá trị, hạn mức và loại khách hàng. Với các giao dịch giá trị cao hoặc liên quan đến tổ chức mới thành lập, ngân hàng phải bổ sung lớp xác thực sinh trắc học như quét khuôn mặt hoặc vân tay.
Dự kiến khi được ban hành, Thông tư sửa đổi sẽ nâng cao mức độ an toàn cho các hệ thống ngân hàng số, tăng khả năng bảo vệ người dùng trước rủi ro tội phạm mạng, đồng thời hoàn thiện hành lang pháp lý cho những mô hình giao dịch mới như Tiền di động và xác thực sinh trắc học.
Đình Hiếu
Bình luận