‹ Danh sách văn bản
77/2025/TT-NHNN Thông tư Tài chính – Ngân hàng

Thông tư 77/2025/TT-NHNN sửa đổi Thông tư 50/2024/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành ngân hàng do Thống đốc Ngân hàng Nhà nước Việt Nam ban hành

Chưa rõ hiệu lực

NGÂN HÀNG NHÀ NƯỚC
VIỆT NAM
-------

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------

Số: 77/2025/TT-NHNN

Hà Nội, ngày 31 tháng 12 năm 2025

 

THÔNG TƯ

SỬA ĐỔI, BỔ SUNG MỘT SỐ ĐIỀU CỦA THÔNG TƯ SỐ 50/2024/TT-NHNN CỦA THỐNG ĐỐC NGÂN HÀNG NHÀ NƯỚC VIỆT NAM QUY ĐỊNH VỀ AN TOÀN, BẢO MẬT CHO VIỆC CUNG CẤP DỊCH VỤ TRỰC TUYỂN TRONG NGÀNH NGÂN HÀNG

Căn cứ Luật Ngân hàng Nhà nước Việt Nam số 46/2010/QH12;

Căn cứ Luật An toàn thông tin mạng số 86/2015/QH13;

Căn cứ Luật An ninh mạng số 24/2018/QH14;

Căn cứ Luật Giao dịch điện tử số 20/2023/QH15;

Căn cứ Luật Các tổ chức tín dụng số 32/2024/QH15 được sửa đổi, bổ sung bởi Luật số 96/2025/QH15;

Căn cứ Nghị định số 26/2025/NĐ-CP của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Ngân hàng Nhà nước Việt Nam;

Theo đề nghị của Cục trưởng Cục Công nghệ thông tin;

Thống đốc Ngân hàng Nhà nước Việt Nam ban hành Thông tư sửa đổi, bổ sung một số điều của Thông tư số 50/2024/TT-NHNN của Thống đốc Ngân hàng Nhà nước Việt Nam quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng.

Điều 1. Sửa đổi, bổ sung một số điểm, khoản của Điều 1

1. Bổ sung điểm d khoản 1 Điều 1 như sau:

“d) Hoạt động cung ứng dịch vụ Tiền di động;”.

2. Sửa đổi, bổ sung khoản 2 Điều 1 như sau:

“2. Đối tượng áp dụng

Thông tư này áp dụng đối với các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, tổ chức cung ứng dịch vụ Tiền di động, công ty thông tin tín dụng (sau đây gọi chung là đơn vị).”.

Điều 2. Bổ sung khoản 11 Điều 2

“11. Khách hàng tổ chức mới là tổ chức mới đăng ký thành lập trong vòng 12 tháng hoặc tổ chức mới thiết lập quan hệ với đơn vị trong vòng 12 tháng và được đơn vị thực hiện đánh giá rủi ro, xác định thời gian cần áp dụng hình thức khớp đúng thông tin sinh trắc học hoặc chữ ký điện tử an toàn cho khách hàng này khi thực hiện giao dịch. Quy định này không bao gồm:

a) Các cơ quan nhà nước, đơn vị sự nghiệp công lập;

b) Các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài;

c) Các tổ chức niêm yết theo quy định tại Luật chứng khoán;

d) Các tổ chức thuộc danh sách Fortune Global 500 do Tạp chí Fortune công bố vào năm liền trước;

đ) Nhà đầu tư nước ngoài là người không cư trú mở tài khoản thanh toán để thực hiện hoạt động đầu tư gián tiếp tại Việt Nam;

e) Các tổ chức khác do đơn vị lựa chọn và chịu hoàn toàn trách nhiệm về các rủi ro từ việc lựa chọn này. Đơn vị phải bảo đảm xác minh chính xác về khách hàng và chịu hoàn toàn trách nhiệm đối với việc nhận biết khách hàng.”.

Điều 3. Sửa đổi, bổ sung điểm a khoản 3 Điều 3

“a) Áp dụng tối thiểu một trong các hình thức xác nhận quy định tại khoản 3, khoản 4, khoản 5, khoản 7, khoản 8, khoản 9 Điều 11 Thông tư này khi thay đổi thông tin định danh khách hàng.

Trường hợp khách hàng cá nhân, khách hàng tổ chức mới thay đổi thông tin giấy tờ tùy thân (bao gồm căn cước công dân, căn cước, căn cước điện tử, hộ chiếu của khách hàng cá nhân hoặc của người đại diện hợp pháp của khách hàng tổ chức) hoặc các thông tin để đăng ký, sử dụng các hình thức xác nhận giao dịch (tối thiểu bao gồm số điện thoại hoặc địa chỉ thư điện tử hoặc chữ ký điện tử), áp dụng các hình thức xác nhận quy định tại khoản 5 Điều 11 Thông tư này kết hợp với một trong các hình thức xác nhận quy định tại khoản 3, khoản 4, khoản 7, khoản 8, khoản 9 Điều 11 Thông tư này.”.

Điều 4. Sửa đổi, bổ sung một số điểm, khoản của Điều 7

1. Sửa đổi, bổ sung điểm c khoản 3 Điều 7 như sau:

“c) Đánh giá, dò quét phát hiện lỗ hổng, điểm yếu về mặt kỹ thuật. Đánh giá khả năng phòng, chống các lỗ hổng, điểm yếu, kiểu tấn công bảo đảm tối thiểu các yêu cầu sau:

(i) Đối với phần mềm ứng dụng Online Banking cung cấp qua nền tảng web, phải phòng, chống 10 lỗ hổng phổ biến nhất được công bố bởi tổ chức OWASP (OWASP Top Ten).

(ii) Đối với phần mềm ứng dụng Mobile Banking, đáp ứng tối thiểu các yêu cầu về an toàn bảo mật ứng dụng di động do tổ chức OWASP công bố (OWASP Mobile Application Security).

(iii) Phiên bản OWASP Top Ten hoặc OWASP Mobile Application Security áp dụng là phiên bản mới nhất hoặc phiên bản gần nhất với phiên bản được ban hành trong vòng 06 tháng.”.

2. Sửa đổi, bổ sung điểm g khoản 6 Điều 7 như sau:

“g) Đối với khách hàng là tổ chức, phần mềm ứng dụng được thiết kế để bảo đảm việc thực hiện giao dịch thanh toán trực tuyến (ngoại trừ thanh toán thẻ trực tuyến qua đơn vị chấp nhận thanh toán) bao gồm tối thiểu hai bước: tạo lập và phê duyệt giao dịch.

Trường hợp khách hàng là hộ kinh doanh hoặc doanh nghiệp siêu nhỏ áp dụng chế độ kế toán đơn giản, việc thực hiện giao dịch không bắt buộc tách biệt hai bước tạo lập và phê duyệt giao dịch;”.

3. Sửa đổi, bổ sung điểm b khoản 8 Điều 7 như sau:

“b) Phần mềm ứng dụng Online Banking phải có chức năng xác thực kết nối với phần mềm của khách hàng tổ chức để bảo đảm an toàn, bảo mật, chống gian lận, giả mạo theo tiêu chuẩn, quy chuẩn quốc tế hoặc Việt Nam;”.

Điều 5. Sửa đổi, bổ sung một số khoản của Điều 8

1. Bổ sung khoản 1a vào sau khoản 1 Điều 8 như sau:

“1a. Kiểm soát phiên bản cài đặt được phát hành của ứng dụng Mobile Banking:

a) Định kỳ tối thiểu 03 tháng một lần, đơn vị phải đánh giá an toàn, bảo mật của các phiên bản phần mềm ứng dụng đang cho phép khách hàng cài đặt, sử dụng nhằm xác định các lỗ hổng bảo mật và đánh giá khả năng bị can thiệp bởi tội phạm mạng.

b) Trường hợp khách hàng kích hoạt trên thiết bị mới hoặc kích hoạt lại ứng dụng Mobile Banking, khách hàng phải cài đặt, sử dụng phiên bản mới nhất hoặc phiên bản gần nhất bảo đảm các yêu cầu về an toàn, bảo mật theo quy định. Đơn vị phải có giải pháp kiểm soát không cho phép hạ phiên bản (downgrading) xuống sử dụng các phiên bản thấp hơn trong trường hợp này.

c) Khi phát hiện có lỗ hổng bảo mật được đánh giá ở mức cao hoặc nghiêm trọng, đơn vị phải có biện pháp kiểm tra, không cho thực hiện giao dịch hoặc có biện pháp kiểm soát nhằm phòng chống tội phạm lợi dụng lỗ hổng bảo mật để tấn công mạng, thực hiện các giao dịch gian lận, chiếm đoạt tài sản; đồng thời đơn vị phải thực hiện xử lý, khắc phục, cập nhật ngay phiên bản mới trong thời gian theo quy định tại khoản 6 Điều 14 Thông tư này.”.

2. Sửa đổi, bổ sung khoản 4 Điều 8 như sau:

“4. Triển khai các giải pháp nhằm phòng, chống, phát hiện các hành vi can thiệp trái phép vào ứng dụng Mobile Banking đã cài đặt trong thiết bị di động của khách hàng. Ứng dụng Mobile Banking phải tự động thoát hoặc dừng hoạt động và thông báo cho khách hàng lý do nếu phát hiện một trong các dấu hiệu sau:

a) Có trình gỡ lỗi (debugger) được gắn vào hoặc môi trường có trình gỡ lỗi đang hoạt động; hoặc khi ứng dụng bị chạy trong môi trường giả lập (emulator)/ máy ảo/ thiết bị giả lập; hoặc hoạt động ở chế độ cho phép máy tính giao tiếp trực tiếp với thiết bị Android (Android Debug Bridge);

b) Phần mềm ứng dụng bị chèn mã bên ngoài ứng dụng khi đang chạy, thực hiện các hành vi như theo dõi các hàm được chạy, ghi lại log dữ liệu truyền qua các hàm, API.... (hook); hoặc phần mềm ứng dụng bị can thiệp, đóng gói lại (repacking);

c) Thiết bị đã bị phá khóa (root / jailbreak); hoặc bị mở khóa cơ chế bảo vệ (unlockbootloader).”.

3. Sửa đổi, bổ sung khoản 5 Điều 8 như sau:

“5. Không cho phép chức năng ghi nhớ mã khóa bí mật truy cập, trừ trường hợp áp dụng hình thức xác nhận quy định tại khoản 6 Điều 11 Thông tư này.”.

Điều 6. Sửa đổi, bổ sung một số điểm, khoản của Điều 10

1. Sửa đổi, bổ sung điểm a khoản 1 Điều 10 như sau:

“a) Đối với giao dịch thanh toán sử dụng tài khoản thanh toán hoặc ví điện tử hoặc tài khoản Tiền di động hoặc giao dịch chuyển tiền từ thẻ ghi nợ, thẻ trả trước định danh, đơn vị thực hiện phân loại giao dịch theo các nhóm loại hình giao dịch quy định tại Phụ lục 01 ban hành kèm theo Thông tư này và áp dụng hình thức xác nhận quy định tại Phụ lục 02 ban hành kèm theo Thông tư này, trừ quy định tại điểm b, điểm c, điểm d và điểm đ khoản này;”.

2. Sửa đổi, bổ sung điểm d khoản 1 Điều 10 như sau:

“d) Đối với các giao dịch mà đơn vị chủ động trích Nợ tài khoản thanh toán, chủ động trích Nợ ví điện tử, chù động trích Nợ tài khoản Tiền di động, chủ động thanh toán từ thẻ của khách hàng theo thỏa thuận với khách hàng, không phải áp dụng xác nhận giao dịch quy định tại điểm a, điểm c khoản 1 Điều này;”.

3. Sửa đổi, bổ sung khoản 2 Điều 10 như sau:

“2. Đối với giao dịch đăng ký tự động trích Nợ tài khoản thanh toán, tự động trích Nợ ví điện tử, tự động trích Nợ tài khoản Tiền di động, tự động thanh toán từ thẻ của khách hàng, đơn vị áp dụng tối thiểu một trong các hình thức xác nhận quy định tại khoản 3, khoản 4, khoản 5, khoản 7, khoản 8, khoản 9 Điều 11 Thông tư này.”.

Điều 7. Sửa đổi, bổ sung một số điểm, khoản của Điều 11

1. Sửa đổi, bổ sung điểm c khoản 5 Điều 11 như sau:

“c) Giải pháp phát hiện tấn công giả mạo thông tin sinh trắc học của vật thể sống (Presentation Attack Detection - PAD) theo quy định tại điểm a khoản này do đơn vị tự triển khai hoặc sử dụng của bên thứ ba cung cấp phải được cấp chứng nhận của tổ chức/phòng thí nghiệm sinh trắc học được Liên minh FIDO (FIDO Alliance) công nhận hoặc của Tổ chức chứng nhận (Certification Body) cấp phép xác nhận tuân thủ tiêu chuẩn quốc tế (ISO), đáp ứng tiêu chuẩn ISO 30107 cấp độ 2 (Level 2) hoặc tương đương. Tổ chức chứng nhận (Certification Body) phải được cấp phép bởi Cơ quan công nhận (Accreditation Body) đã tham gia Thỏa thuận công nhận lẫn nhau đa phương của Diễn đàn Công nhận Quốc tế (International Accreditation Forum - IAF Multilateral Recognition Arrangement, IAF MLA).”.

2. Sửa đổi, bổ sung khoản 8 Điều 11 như sau:

“8. Hình thức xác nhận PGP (Pretty Good Privacy) là hình thức xác nhận theo tiêu chuẩn về bảo mật và xác thực sử dụng thuật toán mã hóa dùng cặp khóa không đối xứng (gồm khóa bí mật và khóa công khai, trong đó khóa bí mật được dùng để ký số và khóa công khai được dùng để kiểm tra chữ ký số) do tổ chức tiêu chuẩn quốc tế IETF (Internet Engineering Task Force) ban hành. Hình thức xác nhận PGP phải đáp ứng các yêu cầu:

a) Khóa công khai của khách hàng được đăng ký với đơn vị, được lưu trữ an toàn tại đơn vị và được liên kết với tài khoản giao dịch điện tử của khách hàng;

b) Có phương thức bảo đảm xác minh danh tính chủ thể gắn với khóa, cơ chế bảo mật và thu hồi khóa;

c) Có thỏa thuận về trách nhiệm pháp lý của đơn vị và khách hàng liên quan đến tính xác thực, tính toàn vẹn và không chối bỏ của các tệp tin giao dịch được ký theo phương thức này.”.

3. Sửa đổi, bổ sung khoản 9 Điều 11 như sau:

“9. Hình thức xác nhận bằng chữ ký điện tử an toàn là hình thức xác nhận bằng chữ ký điện tử, trong đó chữ ký điện tử là chữ ký số hoặc chữ ký điện tử nước ngoài được công nhận tại Việt Nam theo quy định của pháp luật về chữ ký điện tử.”.

Điều 8. Sửa đổi, bổ sung Điều 21

“Điều 21. Trách nhiệm của các đơn vị thuộc Ngân hàng Nhà nước

1. Cục Công nghệ thông tin có trách nhiệm theo dõi, kiểm tra và phối hợp với các đơn vị liên quan để xử lý những vướng mắc phát sinh trong quá trình thực hiện Thông tư này.

2. Thanh tra Ngân hàng Nhà nước có trách nhiệm thanh tra, kiểm tra việc thi hành Thông tư này và xử lý các trường hợp vi phạm theo quy định của pháp luật.

3. Ngân hàng Nhà nước chi nhánh khu vực có trách nhiệm thanh tra, giám sát việc thực hiện Thông tư này tại các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán trên địa bàn thuộc phạm vi quản lý và xử lý các trường hợp vi phạm theo quy định của pháp luật.”.

Điều 9. Bổ sung khoản 1a vào sau khoản 1 Điều 23

“1a. Các giao dịch đăng ký tự động trích Nợ tài khoản Tiền di động được thực hiện trước ngày Thông tư này có hiệu lực thi hành được tiếp tục thực hiện đến hết thời hạn của thỏa thuận đã giao kết; trường hợp thỏa thuận không xác định thời hạn thì được tiếp tục thực hiện đến hết ngày 31 tháng 12 năm 2026. Việc sửa đổi, bổ sung, gia hạn thỏa thuận phải tuân thủ theo quy định tại khoản 2 Điều 10 Thông tư này.”.

Điều 10. Sửa đổi, bổ sung Phụ lục kèm theo Thông tư số 50/2024/TT-NHNN

Thay thế Phụ lục số 01, 02, 04 ban hành kèm theo Thông tư số 50/2024/TT-NHNN bằng Phụ lục số 01, 02, 04 đính kèm Thông tư này.

Điều 11. Trách nhiệm tổ chức thực hiện

Thủ trưởng các đơn vị thuộc Ngân hàng Nhà nước Việt Nam, các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, các tổ chức cung ứng dịch vụ trung gian thanh toán, tổ chức cung ứng dịch vụ Tiền di động, công ty thông tin tín dụng chịu trách nhiệm tổ chức thực hiện Thông tư này.

Điều 12. Điều khoản thi hành

1. Thông tư này có hiệu lực thi hành kể từ ngày 01 tháng 3 năm 2026, trừ trường hợp quy định tại khoản 2, khoản 3 Điều này.

2. Đối với các đơn vị cung cấp dịch vụ thanh toán trực tuyến cho cả khách hàng cá nhân và tổ chức, thời gian áp dụng các quy định tại Điều 3, Điều 10 Thông tư này kể từ ngày 01 tháng 7 năm 2026.

3. Đối với các đơn vị chỉ cung cấp dịch vụ thanh toán trực tuyến cho khách hàng tổ chức (không cung cấp dịch vụ cho khách hàng cá nhân), thời gian áp dụng các quy định tại Điều 3, Điều 10 Thông tư này kể từ ngày 01 tháng 10 năm 2026./.

 


Nơi nhận:
- Như Điều 11;
- Ban Lãnh đạo NHNN;
- Văn phòng Chính phủ;
- Bộ Tư pháp (để kiểm tra);
- Cổng TTĐT NHNN;
- Công báo;
- Lưu VT, CNTT.

KT. THỐNG ĐỐC
PHÓ THỐNG ĐỐC




Phạm Tiến Dũng

 

PHỤ LỤC 01

PHÂN LOẠI GIAO DỊCH THANH TOÁN TRỰC TUYẾN
(Ban hành kèm theo Thông tư số 77/2025/TT-NHNN ngày 31 tháng 12 năm 2025 của Thống đốc Ngân hàng Nhà nước Việt Nam)

STT

Loại hình giao dịch

Giao dịch loại A

Giao dịch loại B

Giao dịch loại C

Giao dịch loại D

I

Khách hàng cá nhân

 

 

 

 

1

Nhóm I.1:

- Chuyển tiền giữa các tài khoản thanh toán, thẻ ghi nợ, thẻ trả trước định danh (sau đây gọi chung là thẻ) của một khách hàng trong một tổ chức cung ứng dịch vụ thanh toán.

- Chuyển tiền giữa các ví điện tử của một khách hàng trong một tổ chức cung ứng dịch vụ trung gian thanh toán.

Tất cả các giao dịch.

 

 

 

2

Nhóm I.2:

- Các giao dịch thanh toán hàng hóa, dịch vụ hợp pháp được tổ chức cung ứng dịch vụ thanh toán, trung gian thanh toán, tổ chức cung ứng dịch vụ Tiền di động cung cấp hoặc tại các đơn vị chấp nhận thanh toán do các tổ chức cung ứng dịch vụ thanh toán, trung gian thanh toán, tổ chức cung ứng dịch vụ Tiền di động chịu trách nhiệm lựa chọn, thẩm định, giám sát và quản lý.

Giao dịch thỏa mãn điều kiện:

G + T ≤ 5 triệu VND.

Giao dịch thỏa mãn các điều kiện:

(i) G + T > 5 triệu VND.

(ii) G + T ≤ 100 triệu VND.

Giao dịch thỏa mãn các điều kiện:

(i) G + T > 100 triệu VND.

(ii) G + T ≤ 1,5 tỷ VND.

Giao dịch thỏa mãn điều kiện:

G + T > 1,5 tỷ VND.

3

Nhóm I.3:

- Chuyển tiền giữa các tài khoản thanh toán, thẻ, ví điện tử, tài khoản Tiền di động của các chủ tài khoản, chủ thẻ, chủ ví điện tử, chủ tài khoản Tiền di động khác nhau.

- Chuyển tiền giữa các tài khoản, thẻ, ví điện tử, tài khoản Tiền di động mở tại các tổ chức cung ứng dịch vụ thanh toán, tổ chức phát hành thẻ, tổ chức cung ứng dịch vụ trung gian thanh toán, tổ chức cung ứng dịch vụ Tiền di động khác nhau.

- Chuyển tiền vào Ví điện tử từ tài khoản ngân hàng hoặc thẻ của chủ Ví điện tử tại ngân hàng liên kết1.

- Rút tiền ra khỏi Ví điện tử về tài khoản thanh toán hoặc thẻ của chủ ví điện tử tại ngân hàng liên kết.

Giao dịch chuyển tiền, rút tiền giữa Ví điện tử và tài khoản thanh toán, thẻ của chủ ví điện tử tại ngân hàng liên kết theo quy định của pháp luật thỏa mãn các điều kiện:

(i) G ≤ 10 triệu VND.

(ii) G + Tksth ≤ 20 triệu VND.

Giao dịch (ngoại trừ giao dịch chuyển tiền, rút tiền giữa Ví điện tử và tài khoản thanh toán, thẻ của chủ ví điện tử tại ngân hàng liên kết theo quy định của pháp luật) thỏa mãn các điều kiện:

(i) G ≤ 10 triệu VND.

(ii) G + Tksth ≤ 20 triệu VND.

Giao dịch thỏa mãn một trong các trường hợp sau:

1. Trường hợp 1: Giao dịch thỏa mãn các điều kiện:

(i) G ≤ 10 triệu VND.

(ii) G + Tksth > 20 triệu VND.

(iii) G + T ≤ 1,5 tỷ VND.

2. Trường hợp 2: Giao dịch thỏa mãn các điều kiện:

(i) G > 10 triệu VND.

(ii) G ≤ 500 triệu VND.

(iii) G + T ≤ 1,5 tỷ VND.

Giao dịch thỏa mãn một trong các trường hợp sau:

1. Trường hợp 1: Giao dịch thỏa mãn các điều kiện:

(i) G ≤ 10 triệu VND.

(ii) G + Tksth > 20 triệu VND.

(iii) G + T > 1,5 tỷ VND.

2. Trường hợp 2: Giao dịch thỏa mãn các điều kiện:

(i) G > 10 triệu VND.

(ii) G ≤ 500 triệu VND.

(iii) G + T > 1,5 tỷ VND.

3. Trường hợp 3: Giao dịch thỏa mãn điều kiện:

G > 500 triệu VND.

4

Nhóm I.4:

Chuyển tiền liên ngân hàng ra nước ngoài2.

 

 

Giao dịch thỏa mãn các điều kiện:

(i) G ≤ 200 triệu VND.

(ii) G + T ≤ 1 tỷ VND.

Giao dịch thỏa mãn một trong các trường hợp sau:

1. Trường hợp 1: Giao dịch thỏa mãn các điều kiện:

(i) G ≤ 200 triệu VND.

(ii) G + T > 1 tỷ VND.

2. Trường hợp 2: Giao dịch thỏa mãn điều kiện:

G > 200 triệu VND.

II

Khách hàng tổ chức3

 

 

 

 

1

Nhóm II.1:

Chuyển tiền giữa các tài khoản thanh toán hoặc Ví điện tử của cùng một khách hàng trong một tổ chức cung ứng dịch vụ thanh toán hoặc tổ chức cung ứng dịch vụ trung gian thanh toán.

 

Tất cả các giao dịch.

 

 

2

Nhóm II.2:

- Chuyển tiền giữa các tài khoản thanh toán, ví điện tử của các chủ tài khoản, chủ ví điện tử khác nhau.

- Chuyển tiền giữa các tài khoản, ví điện tử mở tại các tổ chức cung ứng dịch vụ thanh toán, tổ chức cung ứng dịch vụ trung gian thanh toán khác nhau.

- Các giao dịch thanh toán hàng hóa, dịch vụ hợp pháp được tổ chức cung ứng dịch vụ thanh toán, trung gian thanh toán cung cấp hoặc tại các đơn vị chấp nhận thanh toán do các tổ chức cung ứng dịch vụ thanh toán, trung gian thanh toán chịu trách nhiệm lựa chọn, thẩm định, giám sát và quản lý.

- Chuyển tiền vào Ví điện tử từ tài khoản ngân hàng hoặc thẻ của chủ Ví điện tử tại ngân hàng liên kết1.

- Rút tiền ra khỏi Ví điện tử về tài khoản thanh toán hoặc thẻ của chủ ví điện tử tại ngân hàng liên kết.

- Chuyển tiền vào tài khoản Tiền di động.

 

 

I. Loại C1:

Giao dịch của khách hàng tổ chức mới thỏa mãn một trong các trường hợp:

1. Trường hợp 1: Giao dịch thỏa mãn các điều kiện:

(i) G > 50 triệu VND.

(ii) G ≤ 1 tỷ VND.

(iii) G + T ≤ 10 tỷ VND.

2. Trường hợp 2: Giao dịch thỏa mãn các điều kiện:

(i) G ≤50 triệu VND.

(ii) G + Tksth > 100 triệu VND.

(iii) G + T ≤ 10 tỷ VND.

II. Loại C2:

1. Trường hợp 1: Giao dịch của khách hàng tổ chức mới thỏa mãn các điều kiện:

(i) G ≤ 50 triệu VND.

(ii) G + Tksth ≤ 100 triệu VND.

2. Trường hợp 2: Giao dịch của các đối tượng khác thỏa mãn các điều kiện:

(i) G ≤ 1 tỷ VND.

(ii) G + T ≤ 10 tỷ VND.

I. Loại D1:

Giao dịch của khách hàng tổ chức mới thỏa mãn một trong các trường hợp:

1. Trường hợp 1: Giao dịch thỏa mãn các điều kiện:

(i) G > 50 triệu VND.

(ii) G ≤ 1 tỷ VND.

(iii) G + T > 10 tỷ VND.

2. Trường hợp 2: Giao dịch thỏa mãn các điều kiện:

(i) G ≤ 50 triệu VND.

(ii) G + Tksth > 100 triệu VND.

(iii) G + T > 10 tỷ VND.

3. Trường hợp 3: Giao dịch thỏa mãn điều kiện:

G > 1 tỷ VND.

II. Loại D2:

Giao dịch của các đối tượng khác thỏa mãn một trong các trường hợp:

1. Trường hợp 1: Giao dịch thỏa mãn các điều kiện:

(i) G ≤ 1 tỷ VND.

(ii) G + T > 10 tỷ VND.

2. Trường hợp 2: Giao dịch thỏa mãn điều kiện:

G > 1 tỷ VND.

3

Nhóm II.3:

Chuyển tiền liên ngân hàng ra nước ngoài2.

 

 

Loại C3:

Giao dịch thỏa mãn các điều kiện:

(i) G ≤ 500 triệu VND.

(ii) G + T ≤ 5 tỷ VND.

Loại D3:

Giao dịch thỏa mãn một trong các trường hợp sau:

1. Trường hợp 1: Giao dịch thỏa mãn các điều kiện:

(i) G ≤ 500 triệu VND.

(ii) G + T > 5 tỷ VND.

2. Trường hợp 2: Giao dịch thỏa mãn điều kiện:

G > 500 triệu VND.

Ghi chú:

G: Giá trị của giao dịch.

Tksth:Tổng giá trị các giao dịch loại A, loại B và loại C2 (đối với khách hàng tổ chức mới) của từng nhóm loại hình giao dịch đã thực hiện của một tài khoản thanh toán hoặc một thẻ (bao gồm cả giao dịch chuyển tiền vào Ví điện tử từ tài khoản thanh toán hoặc thẻ của chủ Ví điện tử tại ngân hàng liên kết khi thực hiện trên ứng dụng Ví điện tử) hoặc một ví điện tử (không bao gồm giao dịch chuyển tiền vào chính Ví điện tử đó từ tài khoản thanh toán hoặc thẻ của chủ Ví điện tử tại ngân hàng liên kết khi thực hiện trên ứng dụng Ví điện tử) hoặc một tài khoản Tiền di động của khách hàng tại một tổ chức cung ứng dịch vụ thanh toán hoặc tổ chức cung ứng dịch vụ trung gian thanh toán hoặc tổ chức cung ứng dịch vụ Tiền di động, không bao gồm các giao dịch chủ động trích Nợ tài khoản thanh toán, chủ động trích Nợ ví điện tử, chủ động trích Nợ tài khoản Tiền di động, chủ động thanh toán từ thẻ. Tksth được tính giá trị bằng 0 tại thời điểm đầu ngày hoặc ngay sau khi khách hàng có phát sinh giao dịch trong ngày sử dụng hình thức xác nhận cho giao dịch loại C hoặc loại D (đối với khách hàng cá nhân) hoặc giao dịch loại C1 hoặc D1 (đối với khách hàng tổ chức mới).

T: Tổng giá trị các giao dịch của từng nhóm loại hình giao dịch đã thực hiện trong ngày (của một tài khoản thanh toán hoặc một thẻ (bao gồm cả giao dịch chuyển tiền vào Ví điện tử từ tài khoản thanh toán hoặc thẻ của chủ Ví điện tử tại ngân hàng liên kết khi thực hiện trên ứng dụng Ví điện tử) hoặc một Ví điện tử (không bao gồm giao dịch chuyển tiền vào chính Ví điện tử đó từ tài khoản thanh toán hoặc thẻ của chủ Ví điện tử tại ngân hàng liên kết khi thực hiện trên ứng dụng Ví điện tử) hoặc một tài khoản Tiền di động) của khách hàng tại một tổ chức cung ứng dịch vụ thanh toán hoặc tổ chức cung ứng dịch vụ trung gian thanh toán hoặc tổ chức cung ứng dịch vụ Tiền di động), không bao gồm các giao dịch chủ động trích Nợ tài khoản thanh toán, chủ động trích Nợ ví điện tử, chủ động trích Nợ tài khoản Tiền di động, chủ động thanh toán từ thẻ.

(1) Đối với giao dịch chuyển tiền vào Ví điện tử từ tài khoản thanh toán/ thẻ của chủ ví điện tử tại ngân hàng liên kết, việc phân loại giao dịch căn cứ theo tài khoản thanh toán, thẻ liên kết với Ví điện tử.

(2) Hạn mức quy đổi theo tỷ giá tại thời điểm thực hiện giao dịch.

(3) Trường hợp khách hàng là hộ kinh doanh hoặc doanh nghiệp siêu nhỏ áp dụng chế độ kế toán đơn giản, việc phân loại giao dịch tương tự khách hàng cá nhân.

 

PHỤ LỤC 02

XÁC NHẬN GIAO DỊCH THANH TOÁN TRỰC TUYẾN
(Ban hành kèm theo Thông tư 77/2025/TT-NHNN ngày 31 tháng 12 năm 2025 của Thống đốc Ngân hàng Nhà nước Việt Nam)

STT

Giao dịch

Hình thức xác nhận giao dịch thanh toán trực tuyến tối thiểu

Khách hàng cá nhân

Khách hàng tổ chức

1

Giao dịch loại A

- Mã khóa bí mật hoặc mã PIN (trường hợp đã xác nhận tại bước đăng nhập thì không bắt buộc phải xác nhận tại bước thực hiện giao dịch).

- Mã khóa bí mật hoặc mã PIN (trường hợp đã xác nhận tại bước đăng nhập thì không bắt buộc phải xác nhận tại bước thực hiện giao dịch).

2

Giao dịch loại B

- SMS OTP hoặc Voice OTP hoặc Email OTP;

- Hoặc Thẻ ma trận OTP;

- Hoặc Soft OTP/ Token OTP loại cơ bản hoặc nâng cao;

- Hoặc hai kênh;

- Hoặc khớp đúng thông tin sinh trắc học thiết bị(1);

- Hoặc FIDO;

- Hoặc chữ ký điện tử an toàn.

- SMS OTP hoặc Voice OTP hoặc Email OTP;

- Hoặc Thẻ ma trận OTP;

- Hoặc khớp đúng thông tin sinh trắc học thiết bị(1) của người đại diện hợp pháp hoặc cá nhân được người đại diện hợp pháp ủy quyền (nếu có).

3

Giao dịch loại C

- OTP gửi qua SMS/Voice hoặc Soft OTP/Token OTP loại cơ bản.

- Và kết hợp khớp đúng thông tin sinh trắc học.

1. Loại giao dịch C1:

- Khớp đúng thông tin sinh trắc học của người đại diện hợp pháp, kết hợp với Soft OTP/Token OTP loại cơ bản hoặc hai kênh.

2. Loại giao dịch C2, C3:

- Soft OTP/Token OTP loại cơ bản;

- Hoặc hai kênh.

4

Giao dịch loại D

- Soft OTP/Token OTP loại nâng cao hoặc FIDO hoặc chữ ký điện tử an toàn,

- Và kết hợp khớp đúng thông tin sinh trắc học.

1. Loại giao dịch D1:

- Khớp đúng thông tin sinh trắc học của người đại diện hợp pháp, kết hợp với Soft OTP/Token OTP loại nâng cao hoặc FIDO hoặc chữ ký điện tử an toàn.

- Hoặc chữ ký điện tử an toàn được tích hợp với tài khoản định danh điện tử của tổ chức.

2. Loại giao dịch D2, D3:

- Soft OTP/Token OTP loại nâng cao;

- Hoặc FIDO;

- Hoặc chữ ký điện tử an toàn.

Ghi chú:

- Các hình thức xác nhận quy định chi tiết tại Điều 11 Thông tư này.

- Đối với khách hàng cá nhân:

+ Hình thức xác nhận giao dịch loại D có thể xác nhận giao dịch loại A, B, C.

+ Hình thức xác nhận giao dịch loại C có thể xác nhận giao dịch loại A, B.

+ Hình thức xác nhận giao dịch loại B có thể xác nhận giao dịch loại A.

- Đối với khách hàng tổ chức:

+ Hình thức xác nhận giao dịch loại D1 có thể xác nhận giao dịch loại A, B, C1.

+ Hình thức xác nhận giao dịch loại D2, D3 có thể xác nhận giao dịch loại A, B, C2, C3.

+ Hình thức xác nhận giao dịch loại C (gồm C1, C2 và C3) có thể xác nhận giao dịch loại A, B.

+ Hình thức xác nhận giao dịch loại B có thể xác nhận giao dịch loại A.

- Trường hợp khách hàng là hộ kinh doanh hoặc doanh nghiệp siêu nhỏ áp dụng chế độ kế toán đơn giản, áp dụng hình thức xác nhận giao dịch tương tự khách hàng cá nhân. Trong đó, đối với hình thức khớp đúng thông tin sinh trắc học và hình thức khớp đúng thông tin sinh trắc học thiết bị, thông tin sinh trắc học sử dụng để đối chiếu, so sánh là của người đại diện hợp pháp hoặc cá nhân được người đại diện hợp pháp ủy quyền (nếu có).

(1) Trường hợp khách hàng đã đăng nhập ứng dụng Online Banking bằng khớp đúng thông tin sinh trắc học thiết bị, không áp dụng biện pháp xác nhận này khi thực hiện giao dịch trong phiên đăng nhập đó.

 

PHỤ LỤC 04

XÁC NHẬN GIAO DỊCH THANH TOÁN THẺ TRỰC TUYẾN
(Ban hành kèm theo Thông tư 77/2025/TT-NHNN ngày 31 tháng 12 năm 2025 của Thống đốc Ngân hàng Nhà nước Việt Nam)

STT

Giao dịch

Hình thức xác nhận giao dịch thanh toán thẻ trực tuyến tối thiểu

1

Giao dịch loại E

Mã khóa bí mật hoặc mã PIN (trường hợp đã xác nhận tại bước đăng nhập thì không bắt buộc phải xác nhận tại bước thực hiện giao dịch).

2

Giao dịch loại F

- SMS OTP hoặc Voice OTP hoặc Email OTP;

- Hoặc Thẻ ma trận OTP;

- Hoặc Soft OTP/ Token OTP loại cơ bản;

- Hoặc khớp đúng thông tin sinh trắc học thiết bị;

- Hoặc hai kênh.

3

Giao dịch loại G

- Soft OTP/Token OTP loại nâng cao;

- Hoặc FIDO;

- Hoặc chữ ký điện tử an toàn;

- Hoặc EMV 3DS.

Ghi chú:

- Các hình thức xác nhận quy định chi tiết tại Điều 11 Thông tư này.

- Hình thức xác nhận giao dịch loại G có thể xác nhận giao dịch loại E, F.

- Hình thức xác nhận giao dịch loại F có thể xác nhận giao dịch loại E.

 

Số hiệu77/2025/TT-NHNN
Loại văn bảnThông tư
Lĩnh vựcTài chính – Ngân hàng
Ngày ban hành31/12/2025
Ngày hiệu lực01/03/2026
Nơi ban hànhNgân hàng Nhà nước Việt Nam
Người kýPhạm Tiến Dũng
Tình trạngChưa xác định

Tóm tắt mang tính tham khảo.

Thông tư số 77/2025/TT-NHNN do Thống đốc Ngân hàng Nhà nước Việt Nam ban hành nhằm sửa đổi, bổ sung một số điều của Thông tư số 50/2024/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành ngân hàng. Văn bản này tập trung thắt chặt các quy định về bảo mật công nghệ thông tin, xác thực sinh trắc học, quản lý rủi ro giao dịch trực tuyến và bổ sung dịch vụ Tiền di động vào phạm vi điều chỉnh nhằm bảo vệ quyền lợi của khách hàng và nâng cao tính an toàn cho toàn hệ thống tài chính. Phạm vi điều chỉnh và đối tượng áp dụng Thông tư chính thức bổ sung hoạt động cung ứng dịch vụ Tiền di động vào phạm vi điều chỉnh về an toàn, bảo mật dịch vụ trực tuyến. Đối tượng áp dụng bao gồm các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, tổ chức cung ứng dịch vụ Tiền di động và công ty thông tin tín dụng (sau đây gọi chung là các đơn vị). Quy định mới về khách hàng tổ chức mới và đánh giá rủi ro Thông tư bổ sung định nghĩa về "Khách hàng tổ chức mới" là tổ chức mới đăng ký thành lập trong vòng 12 tháng hoặc tổ chức mới thiết lập quan hệ với đơn vị trong vòng 12 tháng. Các đơn vị phải thực hiện đánh giá rủi ro và xác định thời gian cần áp dụng hình thức khớp đúng thông tin sinh trắc học hoặc chữ ký điện tử an toàn cho nhóm đối tượng này khi thực hiện giao dịch. Quy định này loại trừ các đối tượng sau: Các cơ quan nhà nước và đơn vị sự nghiệp công lập. Các tổ chức tín dụng và chi nhánh ngân hàng nước ngoài. Các tổ chức niêm yết theo quy định tại Luật Chứng khoán. Các tổ chức thuộc danh sách Fortune Global 500 do Tạp chí Fortune công bố vào năm liền trước. Nhà đầu tư nước ngoài là người không cư trú mở tài khoản thanh toán để thực hiện hoạt động đầu tư gián tiếp tại Việt Nam. Các tổ chức khác do đơn vị tự lựa chọn và tự chịu hoàn toàn trách nhiệm về các rủi ro phát sinh từ việc lựa chọn này. Thắt chặt quy trình thay đổi thông tin định danh khách hàng Khi khách hàng thay đổi thông tin định danh, đơn vị phải áp dụng tối thiểu một trong các hình thức xác nhận an toàn theo quy định. Đặc biệt, đối với khách hàng cá nhân và khách hàng tổ chức mới khi thay đổi thông tin giấy tờ tùy thân (bao gồm căn cước công dân, căn cước, căn cước điện tử, hộ chiếu) hoặc các thông tin đăng ký sử dụng hình thức xác nhận giao dịch (tối thiểu gồm số điện thoại, địa chỉ thư điện tử hoặc chữ ký điện tử), đơn vị phải áp dụng kết hợp: Hình thức xác nhận sinh trắc học (theo quy định tại khoản 5 Điều 11 Thông tư số 50/2024/TT-NHNN). Kết hợp với một trong các hình thức xác nhận khác như mã khóa bí mật, mã xác thực một lần (OTP), chữ ký điện tử an toàn hoặc hình thức xác nhận PGP. Yêu cầu kỹ thuật và an toàn bảo mật đối với phần mềm ứng dụng Các đơn vị phải tuân thủ nghiêm ngặt các tiêu chuẩn bảo mật quốc tế đối với hệ thống Online Banking và Mobile Banking: Đối với phần mềm ứng dụng Online Banking cung cấp qua nền tảng web: Phải phòng, chống tối thiểu 10 lỗ hổng phổ biến nhất được công bố bởi tổ chức OWASP (OWASP Top Ten). Đối với phần mềm ứng dụng Mobile Banking: Đáp ứng tối thiểu các yêu cầu về an toàn bảo mật ứng dụng di động do tổ chức OWASP công bố (OWASP Mobile Application Security). Phiên bản áp dụng phải là bản mới nhất hoặc bản gần nhất được ban hành trong vòng 06 tháng. Quy trình giao dịch của tổ chức: Giao dịch thanh toán trực tuyến của khách hàng tổ chức (ngoại trừ thanh toán thẻ trực tuyến qua đơn vị chấp nhận thanh toán) bắt buộc phải thiết kế tối thiểu hai bước độc lập là tạo lập và phê duyệt giao dịch. Quy định này không bắt buộc đối với hộ kinh doanh hoặc doanh nghiệp siêu nhỏ áp dụng chế độ kế toán đơn giản. Hệ thống Online Banking phải tích hợp chức năng xác thực kết nối với phần mềm của khách hàng tổ chức nhằm bảo đảm an toàn, bảo mật, chống gian lận và giả mạo theo tiêu chuẩn quốc tế hoặc Việt Nam. Kiểm soát phiên bản và phòng chống can thiệp trái phép trên Mobile Banking Thông tư đặt ra các yêu cầu kỹ thuật rất cao đối với ứng dụng di động nhằm bảo vệ thiết bị của người dùng: Định kỳ tối thiểu 03 tháng một lần, đơn vị phải đánh giá an toàn, bảo mật các phiên bản phần mềm ứng dụng đang cho phép khách hàng cài đặt, sử dụng để xác định lỗ hổng bảo mật và đánh giá khả năng bị can thiệp bởi tội phạm mạng. Khi khách hàng kích hoạt ứng dụng trên thiết bị mới hoặc kích hoạt lại, bắt buộc phải cài đặt và sử dụng phiên bản mới nhất hoặc phiên bản gần nhất bảo đảm an toàn. Đơn vị phải có giải pháp kỹ thuật ngăn chặn việc hạ phiên bản ứng dụng (downgrading) xuống phiên bản thấp hơn. Nếu phát hiện lỗ hổng bảo mật mức độ cao hoặc nghiêm trọng, đơn vị phải lập tức kiểm soát, tạm dừng giao dịch hoặc thực hiện xử lý, khắc phục và cập nhật phiên bản mới ngay lập tức. Ứng dụng Mobile Banking phải tự động thoát hoặc dừng hoạt động và thông báo cho khách hàng nếu phát hiện thiết bị có trình gỡ lỗi (debugger), chạy trên môi trường giả lập/máy ảo, bị chèn mã độc (hook), bị đóng gói lại (repacking), thiết bị đã bị bẻ khóa (root/jailbreak) hoặc mở khóa cơ chế bảo vệ (unlock bootloader). Tuyệt đối không cho phép ứng dụng ghi nhớ mã khóa bí mật truy cập, trừ trường hợp áp dụng hình thức xác nhận bằng sinh trắc học liên kết với thiết bị. Quy định về xác thực giao dịch và dịch vụ Tiền di động Các giao dịch tài chính trực tuyến phải được phân loại và áp dụng các biện pháp xác thực tương ứng: Đối với giao dịch thanh toán qua tài khoản, ví điện tử, tài khoản Tiền di động hoặc chuyển tiền từ thẻ ghi nợ/trả trước định danh, đơn vị phải thực hiện phân loại giao dịch theo Phụ lục 01 và áp dụng hình thức xác nhận theo Phụ lục 02 ban hành kèm theo Thông tư này. Các giao dịch trích nợ tự động (auto-debit) theo thỏa thuận trước với khách hàng không bắt buộc phải xác nhận từng lần giao dịch. Tuy nhiên, khi đăng ký dịch vụ trích nợ tự động này, đơn vị phải áp dụng tối thiểu một trong các hình thức xác nhận bảo mật mạnh (như OTP, sinh trắc học, chữ ký điện tử, PGP). Giải pháp phát hiện tấn công giả mạo sinh trắc học vật thể sống (PAD) phải đạt tiêu chuẩn ISO 30107 Level 2 hoặc tương đương, được chứng nhận bởi các tổ chức uy tín được Liên minh FIDO công nhận hoặc các Tổ chức chứng nhận được cấp phép bởi Cơ quan công nhận tham gia thỏa thuận đa phương IAF MLA. Quy định rõ ràng về hình thức xác nhận PGP (Pretty Good Privacy) sử dụng cặp khóa không đối xứng và hình thức chữ ký điện tử an toàn (bao gồm chữ ký số hoặc chữ ký điện tử nước ngoài được công nhận tại Việt Nam). Trách nhiệm thực hiện và quy định chuyển tiếp Cục Công nghệ thông tin có trách nhiệm theo dõi, kiểm tra và phối hợp xử lý vướng mắc phát sinh. Thanh tra Ngân hàng Nhà nước và Ngân hàng Nhà nước chi nhánh khu vực thực hiện thanh tra, giám sát và xử lý vi phạm theo thẩm quyền. Đối với các giao dịch đăng ký tự động trích nợ tài khoản Tiền di động đã thiết lập trước ngày Thông tư này có hiệu lực: Được tiếp tục thực hiện đến hết thời hạn thỏa thuận. Trường hợp thỏa thuận không xác định thời hạn thì được tiếp tục thực hiện đến hết ngày 31 tháng 12 năm 2026. Mọi việc sửa đổi, bổ sung hoặc gia hạn sau đó phải tuân thủ quy định mới. Thay thế các Phụ lục số 01, 02, 04 ban hành kèm theo Thông tư số 50/2024/TT-NHNN bằng các Phụ lục số 01, 02, 04 đính kèm Thông tư này. Hiệu lực thi hành Thông tư này có hiệu lực thi hành kể từ ngày 01 tháng 3 năm 2026, ngoại trừ các trường hợp đặc biệt sau: Đối với các đơn vị cung cấp dịch vụ thanh toán trực tuyến cho cả khách hàng cá nhân và tổ chức: Thời gian áp dụng các quy định tại Điều 3 (thay đổi thông tin định danh) và Điều 10 (phân loại, xác nhận giao dịch) là từ ngày 01 tháng 7 năm 2026. Đối với các đơn vị chỉ cung cấp dịch vụ thanh toán trực tuyến cho khách hàng tổ chức (không phục vụ khách hàng cá nhân): Thời gian áp dụng các quy định tại Điều 3 và Điều 10 là từ ngày 01 tháng 10 năm 2026.

  • Quyết định 1565/QĐ-TTg năm 2025 về Kế hoạch nâng cao chất lượng cung cấp dịch vụ công trực tuyến toàn trình; cung cấp dịch vụ số mới được cá nhân hóa, dựa trên dữ liệu cho người dân và doanh nghiệp do Thủ tướng Chính phủ ban hành
  • Công văn 7525/VPCP-KSTT năm 2025 cung cấp dịch vụ công trực tuyến đối với thủ tục hành chính liên quan đến doanh nghiệp do Văn phòng Chính phủ ban hành
  • Thông tư 50/2024/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng do Thống đốc Ngân hàng Nhà nước Việt Nam ban hành
  • Luật Ngân hàng Nhà nước Việt Nam 2010
  • Luật an toàn thông tin mạng 2015
  • Luật An ninh mạng 2018
  • Luật Chứng khoán 2019
  • Luật Giao dịch điện tử 2023
  • Luật Các tổ chức tín dụng 2024
  • Nghị định 26/2025/NĐ-CP quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Ngân hàng Nhà nước Việt Nam
  • Luật Các tổ chức tín dụng sửa đổi 2025