Thông tư 50/2024/TT-NHNN (Thông tư 50) quy định những tiêu chuẩn mới về hoạt động của các dịch vụ ngân hàng số và những yêu cầu quản lý Nhà nước được ban hành ngày 31/10 vừa qua sẽ chính thức có hiệu lực từ ngày 1/1/2025. Một trong những nội dung được chú ý của Thông tư 50 là các ngân hàng không được gửi tin nhắn SMS, thư điện tử (email) cho khách hàng có nội dung chứa đường dẫn liên kết (hypelink) truy cập vào các trang tin điện tử, trừ trường hợp theo yêu cầu của khách hàng.
Theo Ngân hàng Nhà nước, quy định được ban hành trong bối cảnh tội phạm công nghệ cao và lừa đảo mạng trong lĩnh vực ngân hàng ngày càng phức tạp và tinh vi. Thông qua các kênh mạng xã hội như Facebook, Zalo, tin nhắn SMS, email,… hacker tìm cách dẫn dụ khách hàng truy cập vào các đường link giả mạo để đánh cắp thông tin bảo mật của khách hàng, thông tin tài khoản ứng dụng ngân hàng điện tử (như tên đăng nhập, mật khẩu, mã OTP…) nhằm phục vụ cho các mục đích phi pháp ngày càng nhiều.
Không chỉ vậy, tình trạng các tin nhắn lừa đảo brandname (gửi tin nhắn tới điện thoại khách hàng) cũng khiến các ngân hàng đau đầu thời gian qua. Tin nhắn lừa đảo xuất hiện chung với luồng tin tin nhắn từ ngân hàng, yêu cầu khách hàng truy cập đường link nhắm mục đích âm thầm đánh cắp thông tin, dẫn đến những rủi ro mất mát về tiền bạc.
Các ngân hàng sẽ bị cấm gửi tin nhắn, email có chứa đường link tới khách hàng, một nỗ lực nhằm ngăn chặn tình trạng giả mạo brandname SMS để lừa đảo nhức nhối thời gian qua.
Theo các chuyên gia, tin nhắn SMS giả mạo tên ngân hàng thường được phát qua các trạm BTS giả đến điện thoại người dùng. Do hacker đặt tên trùng với thương hiệu, điện thoại sẽ phát chung vào luồng tin nhắn của khách hàng, khiến khách hàng lầm tưởng và truy cập vào các đường link giả mạo bên trong. Lúc này hậu quả rất khó lường. Việc quy định không được gửi tin nhắn, email chứa đường link tới khách hàng có thể giúp hạn chế những rủi ro giả mạo tin nhắn SMS Brandname như kể trên.
Một số những nội dung khác cũng đang được quan tâm trong Thông tư 50 như: ứng dụng ngân hàng điện tử sẽ không cho phép chức năng ghi nhớ mật khẩu, các tổ chức tín dụng phải có giải pháp phòng chống, phát hiện các hành vi can thiệp trái phép vào ứng dụng Mobile banking đã cài đặt trong thiết bị di động của khách hàng…
Không chỉ vậy, các ngân hàng phải có chức năng kiểm tra khi khách hàng cá nhân truy cập lần đầu hoặc truy cập bằng thiết bị khác với thiết bị truy cập gần nhất. Việc kiểm tra yêu cầu tối thiểu đáp ứng khớp đúng SMS OTP hoặc Voice OTP, khớp đúng thông tin sinh trắc học nếu quy định chuyên ngành có thu thập, lưu trữ thông tin sinh trắc học của khách…
Trước đó, các ngân hàng trong cả nước cũng đã triển khai quy định tất cả các giao dịch từ 10 triệu đồng trở lên phải xác thực sinh trắc học.
Trước đó, để tăng cường an ninh, bảo mật cho tài khoản và các giao dịch của khách hàng, phòng chống tội phạm sử dụng công nghệ cao, Ngân hàng Nhà nước đã ban hành Quyết định yêu cầu các giao dịch chuyển tiền trên 10 triệu đồng (hoặc tổng giá trị giao dịch trên 20 triệu đồng/ngày) phải xác thực sinh trắc học. Việc xác thực sinh trắc học dù mới chỉ áp dụng một thời gian nhưng cũng đã đang đạt được nhiều thành tựu ấn tượng và được khách hàng, các chuyên gia và tổ chức ủng hộ.