Từ 1/1/2025 App Mobile Banking không được có chức năng ghi nhớ mật khẩu, chuyển khoản trên 10 triệu đồng bắt buộc đối chiếu sinh trắc học

Các ứng dụng Mobile Banking không được có chức năng ghi nhớ mật khẩu từ 1/1/2025

Căn cứ tại Điều 8 Thông tư 50/2024/TT-NHNN có quy định về phần mềm ứng dụng Mobile Banking như sau:

Phần mềm ứng dụng Mobile Banking do đơn vị cung cấp phải bảo đảm tuân thủ các quy định tại Điều 7 Thông tư 50/2024/TT-NHNN và các yêu cầu sau đây:

- Phải được đăng ký và quản lý tại kho ứng dụng chính thức của hãng cung cấp hệ điều hành cho thiết bị di động và hướng dẫn cài đặt rõ ràng trên trang tin điện từ đơn vị để khách hàng tải và cài đặt phần mềm ứng dụng Mobile Banking.

Trường hợp vì lý do khách quan mà phần mềm ứng dụng Mobile Banking không được đăng ký và quản lý tại kho ứng dụng chỉnh thức của hãng cung cấp hệ điều hành cho thiết bị di động, đơn vị phải có phương thức hướng dẫn, thông báo, hỗ trợ cài đặt phần mềm ứng dụng Mobile Banking bảo đảm an toàn, bảo mật cho khách hàng và báo cáo về Ngân hàng Nhà nước (Cục Công nghệ thông tin) trước khi cung cấp dịch vụ.

- Phải được áp dụng các biện pháp bảo vệ để hạn chế dịch ngược mã nguồn.

- Có biện pháp bảo vệ, chống can thiệp vào luồng trao đổi dữ liệu trên ứng dụng Mobile Banking và giữa ứng dụng Mobile Banking với máy chủ cung cấp dịch vụ Online Banking.

- Triển khai các giải pháp nhằm phòng, chống, phát hiện các hành vi can thiệp trái phép vào ứng dụng Mobile Banking đã cài đặt trong thiết bị di động của khách hàng.

- Không cho phép chức năng ghi nhớ mã khóa bí mật truy cập

- Đối với khách hàng cá nhân, phái có chức năng kiểm tra khách hàng khi khách hàng truy cập lần đầu hoặc khi khách hàng truy cập trên thiết bị khác với thiết bị đã truy cập phần mềm ứng dụng Mobile Banking lần gần nhất. Việc kiểm tra khách hàng tối thiểu bao gồm:

+ Khớp đúng SMS OTP hoặc Voice OTP thông qua số điện thoại đã được khách hàng đăng ký hoặc Soft OTP/Token OTP;

+ Khớp đúng thông tin sinh trắc học theo quy định tại khoản 5 Điều 11 Thông tư 50/2024/TT-NHNN trong trường hợp văn bản pháp luật chuyên ngành liên quan đến dịch vụ cung cấp trên phần mềm ứng dụng Mobile Banking có quy định thu thập, lưu trữ thông tin sinh trắc học của khách hàng.

Theo đó, kể từ ngày Thông tư 50/2024/TT-NHNN có hiệu lực thi hành, các ứng dụng Mobile Banking không được phép có chức năng ghi nhớ mã khóa bí mật (password) khi truy cập.

Ngoài ra, thông tư phân loại các giao dịch thanh toán trực tuyến thành 4 loại: Giao dịch loại A, Giao dịch loại B, Giao dịch loại C và Giao dịch loại D. Tương ứng với các loại giao dịch là hình thức xác nhận giao dịch.

Trong đó, giao dịch chuyển khoản giữa các tài khoản thanh toán, thẻ, ví điện tử của các chủ tài khoản, chủ thẻ, chủ ví điện tử khác nhau trên 10 triệu đồng được xếp vào giao dịch loại C. Theo đó, hình thức xác nhận giao dịch thanh toán trực tuyến tối thiểu đối với giao dịch này gồm: OTP gửi qua SMS/Voice hoặc Soft OTP/Token OTP loại cơ bản hoặc chữ ký điện tử; Và kết hợp khớp đúng thông tin sinh trắc học.

Trước đó, tại Quyết định 2345 hiệu lực từ 1/7/2024, NHNN quy định giao dịch loại C phải được xác thực khớp đúng thông tin sinh trắc học và khuyến khích kết hợp với phương thức xác thực OTP gửi qua SMS/Voice hoặc Soft OTP/Token OTP.

Theo quy định tại Thông tư, hình thức xác nhận khớp đúng thông tin sinh trắc học là việc đối chiếu, so sánh để bảo đảm trùng khớp thông tin sinh trắc học của khách hàng đang thực hiện giao dịch với thông tin sinh trắc học của khách hàng đã thu thập, lưu trữ tại đơn vị theo quy định của Thống đốc Ngân hàng Nhà nước.

Hình thức khớp đúng thông tin sinh trắc học sử dụng khuôn mặt phải có độ chính xác được xác định theo tiêu chuẩn quốc tế, phải có khả năng phát hiện tấn công giả mạo thông tin sinh trắc học của vật thể sống để phòng, chống gian lận, giả mạo khách hàng qua hình ảnh, video, mặt nạ 3D.

Trường hợp áp dụng các hình thức khớp đúng thông tin sinh trắc học khác, phải bảo đảm phòng, chống gian lận, giả mạo khách hàng theo tiêu chuẩn tương đương.

Thời gian thực hiện khớp đúng thông tin sinh trắc học tối đa 03 phút.

Thông tư cũng quy định chi tiết về hình thức xác thực OTP, Soft OTP/Token OTP, chữ ký điện tử,…Trong đó, thời gian hiệu lực tối đa của SMS OTP là 5 phút, Voice OTP 3 phút, Email OTP 5 phút, Thẻ ma trận OTP 2 phút, Soft OTP 2 phút, Token OTP 2 phút.