Từ ngày 1/3/2026, các tổ chức thành lập dưới 12 tháng buộc phải xác thực bằng sinh trắc học hoặc chữ ký điện tử an toàn khi chuyển khoản số tiền lớn nhằm ngăn chặn tình trạng tài khoản "ma".
 |
| Ảnh minh họa. |
Theo Thông tư 77/2025/TT-NHNN vừa được ban hành, Ngân hàng Nhà nước sẽ siết chặt các biện pháp xác thực đối với nhóm khách hàng tổ chức có rủi ro cao. Điểm nhấn quan trọng nhất là quy định đối với "khách hàng tổ chức mới" – những đơn vị thành lập dưới 12 tháng hoặc mới thiết lập quan hệ với ngân hàng trong vòng một năm.
Cụ thể, nhóm này phải thực hiện xác thực sinh trắc học hoặc chữ ký điện tử an toàn khi thực hiện giao dịch có giá trị trên 50 triệu đồng trở lên, hoặc khi tổng giá trị giao dịch trong ngày vượt quá ngưỡng 100 triệu đồng.
Quy định này được đưa ra trong bối cảnh tội phạm công nghệ cao đang ngày càng tinh vi, thường xuyên lợi dụng các tài khoản doanh nghiệp "ma" kết hợp cùng công nghệ Deepfake và mã độc để thực hiện hành vi gian lận.
Việc áp dụng các biện pháp xác thực mạnh được kỳ vọng sẽ hạn chế tối đa nguy cơ các tài khoản này bị lợi dụng làm trung gian cho các luồng tiền bất hợp pháp. Tuy nhiên, để đảm bảo tính linh hoạt, Thông tư cũng loại trừ các nhóm rủi ro thấp như cơ quan nhà nước, đơn vị sự nghiệp công lập, tổ chức tín dụng, tổ chức niêm yết hay các tập đoàn thuộc danh sách Fortune Global 500.
Bên cạnh việc siết chặt đối tượng giao dịch, Thông tư 77 còn nâng cao tính tự vệ cho ứng dụng Mobile Banking – kênh giao dịch vốn là mục tiêu tấn công hàng đầu của tội phạm mạng. Các ngân hàng được yêu cầu phải đánh giá an toàn bảo mật ứng dụng tối thiểu 3 tháng một lần, không cho phép hạ cấp phiên bản và kiểm soát chặt chẽ các lỗ hổng theo chuẩn quốc tế OWASP. Đặc biệt, ứng dụng ngân hàng phải tự động thoát hoặc dừng hoạt động nếu phát hiện thiết bị bị bẻ khóa (root/jailbreak), bị can thiệp bởi trình gỡ lỗi hoặc đang chạy trong môi trường giả lập.
Để đối phó với vấn nạn Deepfake và các hình thức giả mạo khuôn mặt đang bùng nổ, các giải pháp sinh trắc học bắt buộc phải tích hợp cơ chế phát hiện vật thể sống (Presentation Attack Detection – PAD) đạt tiêu chuẩn quốc tế ISO 30107 level 2 hoặc tương đương. Các tổ chức chứng nhận tiêu chuẩn này cũng phải được cấp phép bởi các cơ quan công nhận quốc tế uy tín. Điều này đảm bảo rằng việc xác thực không chỉ dựa trên hình ảnh tĩnh mà phải xác nhận đúng chủ thể đang thực hiện giao dịch trong thời gian thực.
Một thay đổi quan trọng khác là việc bãi bỏ hoàn toàn chữ ký điện tử chuyên dùng cho khách hàng tổ chức để thống nhất với Nghị định số 23/2025/NĐ-CP về dịch vụ tin cậy. Quy định này không chỉ giúp đồng bộ hệ thống pháp luật mà còn tạo điều kiện thuận lợi cho doanh nghiệp sử dụng các hình thức chữ ký điện tử được chuẩn hóa và công nhận rộng rãi.
Với 4 điểm mới mang tính bao quát từ phạm vi điều chỉnh đến an toàn kỹ thuật, Thông tư 77 được kỳ vọng sẽ tạo ra "lớp giáp" kiên cố, bảo vệ an toàn cho hệ sinh thái thanh toán số từ đầu tháng 3 tới.
