Theo Thông tư 50/2024/TT-NHNN (Thông tư 50) của Ngân hàng Nhà nước quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành ngân hàng, từ ngày 1/1/2025, các ngân hàng sẽ không gửi tin nhắn SMS, thư điện tử cho khách hàng có nội dung chứa đường dẫn liên kết (hyperlink) truy cập các trang tin điện tử.
Yêu cầu này được đặt ra trong bối cảnh tin nhắn lừa đảo brandname (gửi tin nhắn tới điện thoại khách hàng), trong đó có tin nhắn chứa đường link giả mạo. Khi khách hàng truy cập vào đường link sẽ bị đánh cắp thông tin tài khoản ngân hàng, dẫn đến rủi ro mất tiền.
Thông tư 50 cũng đề cập đến các yêu cầu về an toàn, bảo mật khác. Hệ thống online banking của các ngân hàng phải tuân thủ quy định về đảm bảo an toàn hệ thống cấp độ 3 trở lên; đảm bảo tính bí mật, tính toàn vẹn thông tin của khách hàng, tính sẵn sàng của hệ thống để cung cấp dịch vụ một cách liên tục.
Các ứng dụng ngân hàng (app) phải có bản quyền, nguồn gốc, xuất xứ rõ ràng và phải được cập nhật trên kho ứng dụng chính thức (Google Play, Apple Store).
Hệ thống có chức năng che giấu đối với việc hiển thị các mã khoá bí mật, mã PIN dùng để đăng nhập hệ thống; có chức năng chống đăng nhập tự động.
Đối với hình thức xác nhận bằng mã OTP được gửi qua tin nhắn sms, thời gian hiệu lực tối đa 2 phút.
Thông tư 50 cũng quy định các ngân hàng phải có trách nhiệm hướng dẫn khách hàng thực hiện các biện pháp bảo đảm an toàn, bí mật khi sử dụng dịch vụ online banking, tối thiểu gồm bảo vệ mật khẩu bí mật, mã PIN, OTP và không chia sẻ các thiết bị lưu trữ các thông tin này; nguyên tắc thiết lập mật khẩu, mã PIN và thay đổi các mã này của tài khoản ngân hàng.
Không nên sử dụng máy tính công cộng, wifi công cộng để truy cập, thực hiện giao dịch; không lưu lại tên đăng nhập và mật khẩu, mã PIN trên các trình duyệt; thoát khỏi ứng dụng khi không sử dụng; nhận dạng và hành động xử lý một số tình huống lừa đảo, giả mạo trang tin điện tử, phần mềm ứng dụng ngân hàng;
Cài đặt đầy đủ các bản vá lỗ hổng bảo mật của hệ điều hành, phần mềm ứng dụng mobile banking, lựa chọn các hình thức xác nhận giao dịch có mức độ an toàn, bảo mật theo quy định và phù hợp với nhu cầu của khách hàng về hạn mức giao dịch;…
