Cấm ngân hàng gửi tin nhắn chứa đường link tới khách hàng

Đây là điểm đáng chú ý tại Thông tư 50/2024/TT-NHNN về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành ngân hàng, do Ngân hàng Nhà nước vừa ban hành.

Cụ thể, Thông tư 50 quy định ngân hàng không gửi tin nhắn SMS, thư điện tử cho khách hàng có nội dung chứa đường dẫn liên kết (hyperlink) truy cập các trang tin điện tử, nếu khách hàng không yêu cầu.

Quy định mới này nhằm phòng chống tội phạm lừa đảo khách hàng qua tin nhắn SMS, thư điện tử.

Quy định này được đặt ra trong bối cảnh tin nhắn lừa đảo brandname (gửi tin nhắn tới điện thoại khách hàng) xuất hiện rầm rộ trong thời gian qua.

Thực tế, thời gian gần đây, nhiều trường hợp khách hàng gặp tin nhắn lừa đảo xuất hiện chung luồng với tin nhắn brandname ngân hàng, yêu cầu khách hàng truy cập đường link từ đó đánh cắp thông tin tài khoản, dẫn đến rủi ro mất tiền.

Những tin nhắn SMS mang tên ngân hàng này thường được phát sóng qua các trạm BTS giả đến điện thoại người dùng. Do kẻ gian đặt tên trùng thương hiệu, điện thoại sẽ xếp chung vào luồng tin nhắn của ngân hàng, dụ khách truy cập vào các đường link lừa đảo.

Việc yêu cầu các ngân hàng không gửi tin nhắn, email chứa đường link có thể giúp khách hàng nhận biết được những tin nhắn SMS lừa đảo.

Ngoài quy định trên, Thông tư 50 cũng đề cập đến nhiều nội dung về an toàn, bảo mật khác. Trong đó có yêu cầu các ứng dụng (app) không được có chức năng ghi nhớ mã khóa bí mật (password) truy cập của khách hàng.

Ngoài ra, đối với khách hàng cá nhân, app ngân hàng số cần có chức năng kiểm tra khách hàng truy cập lần đầu hoặc truy cập trên thiết bị khác. Việc kiểm tra bao gồm khớp đúng SMS OTP hoặc Voice OTP thông qua số điện thoại đã đăng ký hoặc khớp đúng thông tin sinh trắc học.

Thông tư 50 cũng yêu cầu ngân hàng phải đăng ký và quản lý ứng dụng ngân hàng số trên kho ứng dụng chính thức, hướng dẫn khách hàng cài đặt ứng dụng từ nguồn tin cậy. App ngân hàng số phải áp dụng các biện pháp bảo mật để ngăn chặn việc chỉnh sửa hoặc can thiệp trái phép vào luồng dữ liệu và có cơ chế phòng chống các hành vi tấn công hoặc can thiệp ứng dụng cài đặt trên thiết bị của khách hàng.

Thông tư 50 chính thức có hiệu lực vào ngày 1/1/2025. Theo Ngân hàng Nhà nước, thông tư này nhằm giúp tổ chức tín dụng và các đơn vị có thời gian thực hiện, chỉnh sửa, cập nhật giải pháp công nghệ… Đây là một trong những giải pháp tiếp theo của ngành ngân hàng nhằm giảm tình trạng gian lận, lừa đảo của tội phạm an ninh mạng.