Tổ chức thành lập dưới 12 tháng phải xác thực sinh trắc học khi giao dịch trên 50 triệu đồng

Ngân hàng Nhà nước cảnh báo tội phạm công nghệ cao ngày càng tinh vi, lợi dụng tài khoản doanh nghiệp “ma” kết hợp deepfake, mã độc để thực hiện hành vi gian lận. Trước thực trạng này, Thông tư 77/2025/TT-NHNN (hiệu lực từ 01/3/2026) bổ sung loạt biện pháp siết chặt xác thực đối với khách hàng tổ chức có rủi ro cao.

Thông tư 77 có 4 điểm mới đáng chú ý: (1) mở rộng phạm vi điều chỉnh, bao quát toàn diện hệ sinh thái số; (2) tăng cường xác thực đối với khách hàng tổ chức có rủi ro cao; (3) chuẩn hóa yêu cầu an toàn kỹ thuật theo chuẩn quốc tế; (4) nâng cao tính tự vệ của ứng dụng Mobile Banking.

Trong đó, điểm nhấn quan trọng là siết chặt xác thực đối với khách hàng tổ chức.

Thông tư 77 đã bổ sung khái niệm “khách hàng tổ chức mới” nhằm xác định nhóm khách hàng có mức độ rủi ro cao. Đây là những tổ chức mới được thành lập trong vòng 12 tháng hoặc mới thiết lập quan hệ với đơn vị trong khoảng thời gian 12 tháng.

Đối với nhóm khách hàng này, Thông tư 77 yêu cầu áp dụng các biện pháp xác thực mạnh nhằm hạn chế nguy cơ bị lợi dụng làm trung gian cho các hành vi gian lận. 

Cụ thể, việc xác thực bằng sinh trắc học hoặc chữ ký điện tử an toàn là bắt buộc trong các trường hợp sau: Giao dịch có giá trị trên 50 triệu đồng; tổng giá trị các giao dịch trong ngày vượt quá 100 triệu đồng.

Tuy nhiên, Thông tư cũng loại trừ các nhóm khách hàng rủi ro thấp như: các cơ quan nhà nước, đơn vị sự nghiệp công lập; các tổ chức tín dụng, tổ chức niêm yết, các tổ chức thuộc danh sách Fortune Global 500,…

Mobile Banking hiện là kênh giao dịch phổ biến nhất của khách hàng, đồng thời cũng là mục tiêu tấn công chủ yếu của các đối tượng gian lận. Nhận diện rõ thực tế này, Thông tư số 77 bổ sung hàng loạt yêu cầu mới nhằm tăng cường tính tự vệ của ứng dụng Mobile Banking, như: tối thiểu 3 tháng/lần, các đơn vị phải đánh giá an toàn, bảo mật của các phiên bản phàn mềm ứng dụng,… không cho phép hạ cấp phiên bản và áp dụng biện pháp kiểm soát chặt chẽ đối với các lỗ hổng bảo mật nghiêm trọng.

Đặc biệt, Thông tư số 77 quy định bắt buộc ứng dụng Mobile Banking phải tự động thoát hoặc dừng hoạt động và thông báo cho khách hàng lý do nếu phát hiện thiết bị bị bẻ khóa (root/jailbreak), hoặc bị mở khoá cơ chế bảo vệ (unlock_bootloader); bị can thiệp bởi trình gỡ lỗi hoặc chạy trong môi trường giả lập… Việc kiểm soát lỗ hổng theo chuẩn quốc tế OWASP.

Trước sự phát triển nhanh của công nghệ Deepfake và các hình thức giả mạo khuôn mặt, Thông tư số 77 yêu cầu các giải pháp sinh trắc học phải tích hợp cơ chế phát hiện vật thể sống (Presentation Attack Detection – PAD) đạt chuẩn quốc tế ISO 30107 level 2 hoặc tương đương. Tổ chức chứng nhận phải được cấp phép bởi cơ quan công nhận đã tham gia Thoả thuận công nhận lẫn nhau đa phương của Diễn đàn Công nhận Quốc tế (IAF-MLA).

Thông tư 77 chính thức bãi bỏ việc sử dụng chữ ký điện tử chuyên dùng cho khách hàng tổ chức. Quy định này nhằm đảm bảo sự thống nhất với Nghị định số 23/2025/NĐ-CP về chữ ký điện tử và dịch vụ tin cậy, góp phần đồng bộ hệ thống pháp luật và tạo điều kiện thuận lợi cho khách hàng sử dụng các hình thức chữ ký điện tử được chuẩn hóa, công nhận rộng rãi.