Mẫu điện thoại nào sẽ không thể truy cập các ứng dụng ngân hàng từ 1/3?

Theo Thông tư 77/2025/TT-NHNN, Ngân hàng Nhà nước yêu cầu các tổ chức tín dụng phải triển khai giải pháp kỹ thuật để phát hiện và ngăn chặn các thiết bị "không sạch" truy cập vào hệ thống Mobile Banking.

Điểm khác biệt lớn nhất của quy định này là chuyển từ thế "phòng ngự" sang "chủ động": Các ứng dụng ngân hàng phải tự động phát hiện thiết bị không an toàn và dừng hoạt động ngay lập tức, đồng thời thông báo đến người dùng. 

Thông tư nêu rõ, 3 nhóm thiết bị sẽ không còn quyền truy cập vào các ứng dụng Mobile Banking.

Đầu tiên, nhóm thiết bị bị can thiệp hệ thống (Root/Jailbreak/Unlock Bootloader). Đây là những máy đã bị phá khóa để can thiệp sâu vào hệ điều hành sẽ bị chặn hoàn toàn.

Việc phá khóa làm mất đi lớp rào chắn an ninh cuối cùng, giúp hacker dễ dàng cài mã độc để đọc OTP và chiếm quyền điều khiển tài khoản.

Đối với thiết bị mở khóa Bootloader (Unlock Bootloader), là thông tin quan trọng cho người dùng điện thoại Android.

Tìm hiểu của phóng viên cho thấy, nhiều dòng máy nội địa hiện cần mở khóa Bootloader để cài Tiếng Việt hoặc ROM quốc tế. Theo Thông tư 77, ứng dụng ngân hàng sẽ phải tự động thoát nếu phát hiện trạng thái này vì thiết bị không còn đảm bảo tính toàn vẹn bảo mật từ cấp độ phần cứng.

Thứ hai là nhóm thiết bị sử dụng môi trường giả lập và trình gỡ lỗi. Thông tư yêu cầu ứng dụng ngân hàng phải dừng hoạt động nếu phát hiện các máy đang bật chế độ gỡ lỗi để giao tiếp với máy tính; hoặc các phần mềm giả lập Android trên PC hay ứng dụng tạo không gian ảo trên điện thoại để "nhân bản" ứng dụng. 

Việc sử dụng các môi trường này thường là kẽ hở để tội phạm công nghệ thực hiện các cuộc tấn công tự động (bot) hoặc ghi lại luồng dữ liệu giao dịch nhạy cảm.

Nhóm cuối cùng là ứng dụng bị chỉnh sửa hoặc cài từ nguồn không chính thống. Quy định mới siết chặt tính nguyên bản của phần mềm, những app (ứng dụng) ngân hàng không tải từ App Store hoặc Google Play mà được cài qua file trôi nổi, sẽ bị vô hiệu hoá.

Cùng với đó, ứng dụng sẽ tự động dừng nếu phát hiện có mã bên ngoài chèn vào khi đang chạy để theo dõi các hàm hệ thống (API) nhằm đánh cắp thông tin đăng nhập...

Không chỉ dừng lại ở thiết bị, Thông tư 77 còn nâng tiêu chuẩn bảo mật sinh trắc học. Các giải pháp phát hiện giả mạo (PAD) phải đạt tiêu chuẩn quốc tế ISO 30107 cấp độ 2 (Level 2).

Điều này đồng nghĩa với việc các công nghệ Deepfake hoặc sử dụng ảnh chụp, video để qua mặt lớp nhận diện khuôn mặt sẽ bị ngăn chặn triệt để hơn.

Có thể thấy, việc chặn truy cập vào app ngân hàng không dựa trên thương hiệu điện thoại (Samsung, iPhone hay Xiaomi...) mà dựa trên trạng thái bảo mật của máy.

Để đảm bảo giao dịch thông suốt sau ngày 1/3, người dùng nên lưu ý:

- Nếu bạn đang dùng điện thoại nội địa đã qua chỉnh sửa phần mềm, hãy đưa máy về trạng thái gốc (Locked Bootloader) hoặc nâng cấp lên thiết bị chính hãng.

- Tắt các chế độ dành cho nhà phát triển. Tuyệt đối không sử dụng App lậu, chỉ tải và cập nhật ứng dụng ngân hàng trực tiếp từ kho ứng dụng chính thức của Apple và Google.

- Ưu tiên các dòng máy còn được hỗ trợ cập nhật bảo mật từ nhà sản xuất để đáp ứng các tiêu chuẩn ISO mới về sinh trắc học.