Ngân hàng Nhà nước (NHNN) vừa ban hành Thông tư số 50/2024/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng và có hiệu lực từ ngày 01/01/2025.
Thông tư số 50/2024/TT-NHNN quy định các yêu cầu về an toàn, bảo mật cho dịch vụ ngân hàng trực tuyến như dịch vụ Internet Banking, Mobile Banking, thanh toán trực tuyến và các dịch vụ trung gian thanh toán khác.
Đối tượng áp dụng của Thông tư số 50/2024/TT-NHNN bao gồm các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, công ty thông tin tín dụng.
Một trong những quy định mới được đề cập tại Thông tư là Phần mềm ứng dụng Mobile Banking, yêu cầu các ứng dụng không được phép có chức năng ghi nhớ mã khóa bí mật (password) truy cập. Theo ghi nhận, hiện nay đa số các app ngân hàng đều đã tắt chức năng ghi nhớ password.
Ngoài ra, đối với khách hàng cá nhân, ứng dụng cần có chức năng kiểm tra khách hàng truy cập lần đầu hoặc truy cập trên thiết bị khác. Việc kiểm tra bao gồm: khớp đúng SMS OTP hoặc Voice OTP thông qua số điện thoại đã đăng ký hoặc khớp đúng thông tin sinh trắc học.
NHNN cũng quy định rõ về các hình thức xác nhận như password, mã PIN, OTP, xác thực hai kênh hay sinh trắc học, FIDO, chữ ký điện tử, chữ ký điện tử an toàn, EMV EDS …
Trong đó, password được yêu cầu có độ dài tối thiểu 8 ký tự, gồm số, chữ hoa, và chữ thường. Password có hiệu lực tối đa 12 tháng, đối với password cấp lần đầu hiệu lực tối đa 30 ngày. Mã PIN được yêu cầu có 6 ký tự, hiệu lực tối đa 12 tháng. Đối với mã Pin được cấp lần đầu hiệu lực tối đa 30 ngày.
Đối với hình thức OTP, có thể gửi qua SMS, cuộc gọi (Voice OTP), email, hoặc qua thiết bị/token tạo OTP. Đồng thời, OTP phải giới hạn thời gian hiệu lực trong vòng từ 2 đến 5 phút, tùy hình thức.
Với hình thức xác nhận sinh trắc học, ngân hàng sử dụng thông tin sinh trắc học như khuôn mặt, vân tay để so sánh và xác thực giao dịch. Thông tư số 50/2024/TT-NHNN yêu cầu độ chính xác cao và khả năng phát hiện giả mạo theo tiêu chuẩn quốc tế và thời gian thực hiện không quá 3 phút.
Ngoài ra, ngân hàng không gửi tin nhắn SMS, thư điện tử cho khách hàng có nội dung chứa đường dẫn liên kết (Hyperlink) truy cập các trang tin điện tử, trừ trường hợp theo yêu cầu của khách hàng.
Yêu cầu này được đặt ra trong bối cảnh tin nhắn lừa đảo brandname (gửi tin nhắn tới điện thoại khách hàng) hoành hành thời gian qua. Tức, tin nhắn lừa đảo xuất hiện chung luồng với tin nhắn ngân hàng, yêu cầu khách hàng truy cập đường link từ đó bị đánh cắp thông tin, dẫn đến rủi ro mất tiền.
Tin nhắn SMS mang tên ngân hàng thường được phát sóng qua các trạm BTS giả đến điện thoại người dùng. Do kẻ gian đặt tên trùng thương hiệu, điện thoại sẽ xếp chung vào luồng tin nhắn của ngân hàng, dụ khách click vào các đường link lừa đảo.
Việc yêu cầu nhà băng không gửi tin nhắn, email chứa đường link có thể phần nào giúp khách hàng nhận biết được những tin nhắn SMB brandname "dụ" truy cập link là lừa đảo.
