Thông tư 77/2025/TT-NHNN sửa đổi Thông tư 50/2024/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành ngân hàng do Thống đốc Ngân hàng Nhà nước Việt Nam ban hành

Số hiệu	77/2025/TT-NHNN
Cơ quan ban hành	Ngân hàng Nhà nước Việt Nam
Ngày ban hành	31/12/2025
Ngày công báo	Đã biết
Lĩnh vực	Tiền tệ - Ngân hàng,Công nghệ thông tin

Loại văn bản	Thông tư
Người ký	Phạm Tiến Dũng
Ngày có hiệu lực	Đã biết
Số công báo	Đã biết
Tình trạng	Đã biết

NGÂN HÀNG NHÀ NƯỚC VIỆT NAM -------	CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự do - Hạnh phúc ---------------
Số: 77/2025/TT-NHNN	Hà Nội, ngày 31 tháng 12 năm 2025

THÔNG TƯ

SỬA ĐỔI, BỔ SUNG MỘT SỐ ĐIỀU CỦA THÔNG TƯ SỐ 50/2024/TT-NHNN CỦA THỐNG ĐỐC NGÂN HÀNG NHÀ NƯỚC VIỆT NAM QUY ĐỊNH VỀ AN TOÀN, BẢO MẬT CHO VIỆC CUNG CẤP DỊCH VỤ TRỰC TUYỂN TRONG NGÀNH NGÂN HÀNG

Căn cứ Luật Ngân hàng Nhà nước Việt Nam số 46/2010/QH12;

Căn cứ Luật An toàn thông tin mạng số 86/2015/QH13;

Căn cứ Luật An ninh mạng số 24/2018/QH14;

Căn cứ Luật Giao dịch điện tử số 20/2023/QH15;

Căn cứ Luật Các tổ chức tín dụng số 32/2024/QH15 được sửa đổi, bổ sung bởi Luật số 96/2025/QH15;

Căn cứ Nghị định số 26/2025/NĐ-CP của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Ngân hàng Nhà nước Việt Nam;

Theo đề nghị của Cục trưởng Cục Công nghệ thông tin;

Thống đốc Ngân hàng Nhà nước Việt Nam ban hành Thông tư sửa đổi, bổ sung một số điều của Thông tư số 50/2024/TT-NHNN của Thống đốc Ngân hàng Nhà nước Việt Nam quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng.

Điều 1. Sửa đổi, bổ sung một số điểm, khoản của Điều 1

1. Bổ sung điểm d khoản 1 Điều 1 như sau:

“d) Hoạt động cung ứng dịch vụ Tiền di động;”.

2. Sửa đổi, bổ sung khoản 2 Điều 1 như sau:

“2. Đối tượng áp dụng

Thông tư này áp dụng đối với các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, tổ chức cung ứng dịch vụ Tiền di động, công ty thông tin tín dụng (sau đây gọi chung là đơn vị).”.

Điều 2. Bổ sung khoản 11 Điều 2

“11. Khách hàng tổ chức mới là tổ chức mới đăng ký thành lập trong vòng 12 tháng hoặc tổ chức mới thiết lập quan hệ với đơn vị trong vòng 12 tháng và được đơn vị thực hiện đánh giá rủi ro, xác định thời gian cần áp dụng hình thức khớp đúng thông tin sinh trắc học hoặc chữ ký điện tử an toàn cho khách hàng này khi thực hiện giao dịch. Quy định này không bao gồm:

a) Các cơ quan nhà nước, đơn vị sự nghiệp công lập;

b) Các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài;

c) Các tổ chức niêm yết theo quy định tại Luật chứng khoán;

d) Các tổ chức thuộc danh sách Fortune Global 500 do Tạp chí Fortune công bố vào năm liền trước;

đ) Nhà đầu tư nước ngoài là người không cư trú mở tài khoản thanh toán để thực hiện hoạt động đầu tư gián tiếp tại Việt Nam;

e) Các tổ chức khác do đơn vị lựa chọn và chịu hoàn toàn trách nhiệm về các rủi ro từ việc lựa chọn này. Đơn vị phải bảo đảm xác minh chính xác về khách hàng và chịu hoàn toàn trách nhiệm đối với việc nhận biết khách hàng.”.

Điều 3. Sửa đổi, bổ sung điểm a khoản 3 Điều 3

“a) Áp dụng tối thiểu một trong các hình thức xác nhận quy định tại khoản 3, khoản 4, khoản 5, khoản 7, khoản 8, khoản 9 Điều 11 Thông tư này khi thay đổi thông tin định danh khách hàng.

Trường hợp khách hàng cá nhân, khách hàng tổ chức mới thay đổi thông tin giấy tờ tùy thân (bao gồm căn cước công dân, căn cước, căn cước điện tử, hộ chiếu của khách hàng cá nhân hoặc của người đại diện hợp pháp của khách hàng tổ chức) hoặc các thông tin để đăng ký, sử dụng các hình thức xác nhận giao dịch (tối thiểu bao gồm số điện thoại hoặc địa chỉ thư điện tử hoặc chữ ký điện tử), áp dụng các hình thức xác nhận quy định tại khoản 5 Điều 11 Thông tư này kết hợp với một trong các hình thức xác nhận quy định tại khoản 3, khoản 4, khoản 7, khoản 8, khoản 9 Điều 11 Thông tư này.”.

Điều 4. Sửa đổi, bổ sung một số điểm, khoản của Điều 7

1. Sửa đổi, bổ sung điểm c khoản 3 Điều 7 như sau:

“c) Đánh giá, dò quét phát hiện lỗ hổng, điểm yếu về mặt kỹ thuật. Đánh giá khả năng phòng, chống các lỗ hổng, điểm yếu, kiểu tấn công bảo đảm tối thiểu các yêu cầu sau:

(i) Đối với phần mềm ứng dụng Online Banking cung cấp qua nền tảng web, phải phòng, chống 10 lỗ hổng phổ biến nhất được công bố bởi tổ chức OWASP (OWASP Top Ten).

(ii) Đối với phần mềm ứng dụng Mobile Banking, đáp ứng tối thiểu các yêu cầu về an toàn bảo mật ứng dụng di động do tổ chức OWASP công bố (OWASP Mobile Application Security).

(iii) Phiên bản OWASP Top Ten hoặc OWASP Mobile Application Security áp dụng là phiên bản mới nhất hoặc phiên bản gần nhất với phiên bản được ban hành trong vòng 06 tháng.”.

2. Sửa đổi, bổ sung điểm g khoản 6 Điều 7 như sau:

“g) Đối với khách hàng là tổ chức, phần mềm ứng dụng được thiết kế để bảo đảm việc thực hiện giao dịch thanh toán trực tuyến (ngoại trừ thanh toán thẻ trực tuyến qua đơn vị chấp nhận thanh toán) bao gồm tối thiểu hai bước: tạo lập và phê duyệt giao dịch.

Trường hợp khách hàng là hộ kinh doanh hoặc doanh nghiệp siêu nhỏ áp dụng chế độ kế toán đơn giản, việc thực hiện giao dịch không bắt buộc tách biệt hai bước tạo lập và phê duyệt giao dịch;”.

3. Sửa đổi, bổ sung điểm b khoản 8 Điều 7 như sau:

“b) Phần mềm ứng dụng Online Banking phải có chức năng xác thực kết nối với phần mềm của khách hàng tổ chức để bảo đảm an toàn, bảo mật, chống gian lận, giả mạo theo tiêu chuẩn, quy chuẩn quốc tế hoặc Việt Nam;”.

Điều 5. Sửa đổi, bổ sung một số khoản của Điều 8

1. Bổ sung khoản 1a vào sau khoản 1 Điều 8 như sau:

“1a. Kiểm soát phiên bản cài đặt được phát hành của ứng dụng Mobile Banking:

a) Định kỳ tối thiểu 03 tháng một lần, đơn vị phải đánh giá an toàn, bảo mật của các phiên bản phần mềm ứng dụng đang cho phép khách hàng cài đặt, sử dụng nhằm xác định các lỗ hổng bảo mật và đánh giá khả năng bị can thiệp bởi tội phạm mạng.

b) Trường hợp khách hàng kích hoạt trên thiết bị mới hoặc kích hoạt lại ứng dụng Mobile Banking, khách hàng phải cài đặt, sử dụng phiên bản mới nhất hoặc phiên bản gần nhất bảo đảm các yêu cầu về an toàn, bảo mật theo quy định. Đơn vị phải có giải pháp kiểm soát không cho phép hạ phiên bản (downgrading) xuống sử dụng các phiên bản thấp hơn trong trường hợp này.

c) Khi phát hiện có lỗ hổng bảo mật được đánh giá ở mức cao hoặc nghiêm trọng, đơn vị phải có biện pháp kiểm tra, không cho thực hiện giao dịch hoặc có biện pháp kiểm soát nhằm phòng chống tội phạm lợi dụng lỗ hổng bảo mật để tấn công mạng, thực hiện các giao dịch gian lận, chiếm đoạt tài sản; đồng thời đơn vị phải thực hiện xử lý, khắc phục, cập nhật ngay phiên bản mới trong thời gian theo quy định tại khoản 6 Điều 14 Thông tư này.”.

2. Sửa đổi, bổ sung khoản 4 Điều 8 như sau:

“4. Triển khai các giải pháp nhằm phòng, chống, phát hiện các hành vi can thiệp trái phép vào ứng dụng Mobile Banking đã cài đặt trong thiết bị di động của khách hàng. Ứng dụng Mobile Banking phải tự động thoát hoặc dừng hoạt động và thông báo cho khách hàng lý do nếu phát hiện một trong các dấu hiệu sau:

a) Có trình gỡ lỗi (debugger) được gắn vào hoặc môi trường có trình gỡ lỗi đang hoạt động; hoặc khi ứng dụng bị chạy trong môi trường giả lập (emulator)/ máy ảo/ thiết bị giả lập; hoặc hoạt động ở chế độ cho phép máy tính giao tiếp trực tiếp với thiết bị Android (Android Debug Bridge);

b) Phần mềm ứng dụng bị chèn mã bên ngoài ứng dụng khi đang chạy, thực hiện các hành vi như theo dõi các hàm được chạy, ghi lại log dữ liệu truyền qua các hàm, API.... (hook); hoặc phần mềm ứng dụng bị can thiệp, đóng gói lại (repacking);

c) Thiết bị đã bị phá khóa (root / jailbreak); hoặc bị mở khóa cơ chế bảo vệ (unlockbootloader).”.

3. Sửa đổi, bổ sung khoản 5 Điều 8 như sau:

“5. Không cho phép chức năng ghi nhớ mã khóa bí mật truy cập, trừ trường hợp áp dụng hình thức xác nhận quy định tại khoản 6 Điều 11 Thông tư này.”.

Điều 6. Sửa đổi, bổ sung một số điểm, khoản của Điều 10

1. Sửa đổi, bổ sung điểm a khoản 1 Điều 10 như sau:

“a) Đối với giao dịch thanh toán sử dụng tài khoản thanh toán hoặc ví điện tử hoặc tài khoản Tiền di động hoặc giao dịch chuyển tiền từ thẻ ghi nợ, thẻ trả trước định danh, đơn vị thực hiện phân loại giao dịch theo các nhóm loại hình giao dịch quy định tại Phụ lục 01 ban hành kèm theo Thông tư này và áp dụng hình thức xác nhận quy định tại Phụ lục 02 ban hành kèm theo Thông tư này, trừ quy định tại điểm b, điểm c, điểm d và điểm đ khoản này;”.

2. Sửa đổi, bổ sung điểm d khoản 1 Điều 10 như sau:

“d) Đối với các giao dịch mà đơn vị chủ động trích Nợ tài khoản thanh toán, chủ động trích Nợ ví điện tử, chù động trích Nợ tài khoản Tiền di động, chủ động thanh toán từ thẻ của khách hàng theo thỏa thuận với khách hàng, không phải áp dụng xác nhận giao dịch quy định tại điểm a, điểm c khoản 1 Điều này;”.

3. Sửa đổi, bổ sung khoản 2 Điều 10 như sau:

“2. Đối với giao dịch đăng ký tự động trích Nợ tài khoản thanh toán, tự động trích Nợ ví điện tử, tự động trích Nợ tài khoản Tiền di động, tự động thanh toán từ thẻ của khách hàng, đơn vị áp dụng tối thiểu một trong các hình thức xác nhận quy định tại khoản 3, khoản 4, khoản 5, khoản 7, khoản 8, khoản 9 Điều 11 Thông tư này.”.

Điều 7. Sửa đổi, bổ sung một số điểm, khoản của Điều 11

1. Sửa đổi, bổ sung điểm c khoản 5 Điều 11 như sau:

“c) Giải pháp phát hiện tấn công giả mạo thông tin sinh trắc học của vật thể sống (Presentation Attack Detection - PAD) theo quy định tại điểm a khoản này do đơn vị tự triển khai hoặc sử dụng của bên thứ ba cung cấp phải được cấp chứng nhận của tổ chức/phòng thí nghiệm sinh trắc học được Liên minh FIDO (FIDO Alliance) công nhận hoặc của Tổ chức chứng nhận (Certification Body) cấp phép xác nhận tuân thủ tiêu chuẩn quốc tế (ISO), đáp ứng tiêu chuẩn ISO 30107 cấp độ 2 (Level 2) hoặc tương đương. Tổ chức chứng nhận (Certification Body) phải được cấp phép bởi Cơ quan công nhận (Accreditation Body) đã tham gia Thỏa thuận công nhận lẫn nhau đa phương của Diễn đàn Công nhận Quốc tế (International Accreditation Forum - IAF Multilateral Recognition Arrangement, IAF MLA).”.

2. Sửa đổi, bổ sung khoản 8 Điều 11 như sau:

“8. Hình thức xác nhận PGP (Pretty Good Privacy) là hình thức xác nhận theo tiêu chuẩn về bảo mật và xác thực sử dụng thuật toán mã hóa dùng cặp khóa không đối xứng (gồm khóa bí mật và khóa công khai, trong đó khóa bí mật được dùng để ký số và khóa công khai được dùng để kiểm tra chữ ký số) do tổ chức tiêu chuẩn quốc tế IETF (Internet Engineering Task Force) ban hành. Hình thức xác nhận PGP phải đáp ứng các yêu cầu:

a) Khóa công khai của khách hàng được đăng ký với đơn vị, được lưu trữ an toàn tại đơn vị và được liên kết với tài khoản giao dịch điện tử của khách hàng;

b) Có phương thức bảo đảm xác minh danh tính chủ thể gắn với khóa, cơ chế bảo mật và thu hồi khóa;

c) Có thỏa thuận về trách nhiệm pháp lý của đơn vị và khách hàng liên quan đến tính xác thực, tính toàn vẹn và không chối bỏ của các tệp tin giao dịch được ký theo phương thức này.”.

3. Sửa đổi, bổ sung khoản 9 Điều 11 như sau:

“9. Hình thức xác nhận bằng chữ ký điện tử an toàn là hình thức xác nhận bằng chữ ký điện tử, trong đó chữ ký điện tử là chữ ký số hoặc chữ ký điện tử nước ngoài được công nhận tại Việt Nam theo quy định của pháp luật về chữ ký điện tử.”.

Điều 8. Sửa đổi, bổ sung Điều 21

“Điều 21. Trách nhiệm của các đơn vị thuộc Ngân hàng Nhà nước

1. Cục Công nghệ thông tin có trách nhiệm theo dõi, kiểm tra và phối hợp với các đơn vị liên quan để xử lý những vướng mắc phát sinh trong quá trình thực hiện Thông tư này.

2. Thanh tra Ngân hàng Nhà nước có trách nhiệm thanh tra, kiểm tra việc thi hành Thông tư này và xử lý các trường hợp vi phạm theo quy định của pháp luật.

3. Ngân hàng Nhà nước chi nhánh khu vực có trách nhiệm thanh tra, giám sát việc thực hiện Thông tư này tại các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán trên địa bàn thuộc phạm vi quản lý và xử lý các trường hợp vi phạm theo quy định của pháp luật.”.

Điều 9. Bổ sung khoản 1a vào sau khoản 1 Điều 23

“1a. Các giao dịch đăng ký tự động trích Nợ tài khoản Tiền di động được thực hiện trước ngày Thông tư này có hiệu lực thi hành được tiếp tục thực hiện đến hết thời hạn của thỏa thuận đã giao kết; trường hợp thỏa thuận không xác định thời hạn thì được tiếp tục thực hiện đến hết ngày 31 tháng 12 năm 2026. Việc sửa đổi, bổ sung, gia hạn thỏa thuận phải tuân thủ theo quy định tại khoản 2 Điều 10 Thông tư này.”.

Điều 10. Sửa đổi, bổ sung Phụ lục kèm theo Thông tư số 50/2024/TT-NHNN

Thay thế Phụ lục số 01, 02, 04 ban hành kèm theo Thông tư số 50/2024/TT-NHNN bằng Phụ lục số 01, 02, 04 đính kèm Thông tư này.

Điều 11. Trách nhiệm tổ chức thực hiện

Thủ trưởng các đơn vị thuộc Ngân hàng Nhà nước Việt Nam, các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, các tổ chức cung ứng dịch vụ trung gian thanh toán, tổ chức cung ứng dịch vụ Tiền di động, công ty thông tin tín dụng chịu trách nhiệm tổ chức thực hiện Thông tư này.

Điều 12. Điều khoản thi hành

1. Thông tư này có hiệu lực thi hành kể từ ngày 01 tháng 3 năm 2026, trừ trường hợp quy định tại khoản 2, khoản 3 Điều này.

2. Đối với các đơn vị cung cấp dịch vụ thanh toán trực tuyến cho cả khách hàng cá nhân và tổ chức, thời gian áp dụng các quy định tại Điều 3, Điều 10 Thông tư này kể từ ngày 01 tháng 7 năm 2026.

3. Đối với các đơn vị chỉ cung cấp dịch vụ thanh toán trực tuyến cho khách hàng tổ chức (không cung cấp dịch vụ cho khách hàng cá nhân), thời gian áp dụng các quy định tại Điều 3, Điều 10 Thông tư này kể từ ngày 01 tháng 10 năm 2026./.

Nơi nhận:
- Như Điều 11;
- Ban Lãnh đạo NHNN;
- Văn phòng Chính phủ;
- Bộ Tư pháp (để kiểm tra);
- Cổng TTĐT NHNN;
- Công báo;
- Lưu VT, CNTT.

KT. THỐNG ĐỐC
PHÓ THỐNG ĐỐC

Phạm Tiến Dũng

PHỤ LỤC 01

PHÂN LOẠI GIAO DỊCH THANH TOÁN TRỰC TUYẾN
(Ban hành kèm theo Thông tư số 77/2025/TT-NHNN ngày 31 tháng 12 năm 2025 của Thống đốc Ngân hàng Nhà nước Việt Nam)

STT	Loại hình giao dịch	Giao dịch loại A	Giao dịch loại B	Giao dịch loại C	Giao dịch loại D
I	Khách hàng cá nhân
1	Nhóm I.1: - Chuyển tiền giữa các tài khoản thanh toán, thẻ ghi nợ, thẻ trả trước định danh (sau đây gọi chung là thẻ) của một khách hàng trong một tổ chức cung ứng dịch vụ thanh toán. - Chuyển tiền giữa các ví điện tử của một khách hàng trong một tổ chức cung ứng dịch vụ trung gian thanh toán.	Tất cả các giao dịch.
2	Nhóm I.2: - Các giao dịch thanh toán hàng hóa, dịch vụ hợp pháp được tổ chức cung ứng dịch vụ thanh toán, trung gian thanh toán, tổ chức cung ứng dịch vụ Tiền di động cung cấp hoặc tại các đơn vị chấp nhận thanh toán do các tổ chức cung ứng dịch vụ thanh toán, trung gian thanh toán, tổ chức cung ứng dịch vụ Tiền di động chịu trách nhiệm lựa chọn, thẩm định, giám sát và quản lý.	Giao dịch thỏa mãn điều kiện: G + T ≤ 5 triệu VND.	Giao dịch thỏa mãn các điều kiện: (i) G + T > 5 triệu VND. (ii) G + T ≤ 100 triệu VND.	Giao dịch thỏa mãn các điều kiện: (i) G + T > 100 triệu VND. (ii) G + T ≤ 1,5 tỷ VND.	Giao dịch thỏa mãn điều kiện: G + T > 1,5 tỷ VND.
3	Nhóm I.3: - Chuyển tiền giữa các tài khoản thanh toán, thẻ, ví điện tử, tài khoản Tiền di động của các chủ tài khoản, chủ thẻ, chủ ví điện tử, chủ tài khoản Tiền di động khác nhau. - Chuyển tiền giữa các tài khoản, thẻ, ví điện tử, tài khoản Tiền di động mở tại các tổ chức cung ứng dịch vụ thanh toán, tổ chức phát hành thẻ, tổ chức cung ứng dịch vụ trung gian thanh toán, tổ chức cung ứng dịch vụ Tiền di động khác nhau. - Chuyển tiền vào Ví điện tử từ tài khoản ngân hàng hoặc thẻ của chủ Ví điện tử tại ngân hàng liên kết¹. - Rút tiền ra khỏi Ví điện tử về tài khoản thanh toán hoặc thẻ của chủ ví điện tử tại ngân hàng liên kết.	Giao dịch chuyển tiền, rút tiền giữa Ví điện tử và tài khoản thanh toán, thẻ của chủ ví điện tử tại ngân hàng liên kết theo quy định của pháp luật thỏa mãn các điều kiện: (i) G ≤ 10 triệu VND. (ii) G + T_ksth ≤ 20 triệu VND.	Giao dịch (ngoại trừ giao dịch chuyển tiền, rút tiền giữa Ví điện tử và tài khoản thanh toán, thẻ của chủ ví điện tử tại ngân hàng liên kết theo quy định của pháp luật) thỏa mãn các điều kiện: (i) G ≤ 10 triệu VND. (ii) G + T_ksth ≤ 20 triệu VND.	Giao dịch thỏa mãn một trong các trường hợp sau: 1. Trường hợp 1: Giao dịch thỏa mãn các điều kiện: (i) G ≤ 10 triệu VND. (ii) G + T_ksth > 20 triệu VND. (iii) G + T ≤ 1,5 tỷ VND. 2. Trường hợp 2: Giao dịch thỏa mãn các điều kiện: (i) G > 10 triệu VND. (ii) G ≤ 500 triệu VND. (iii) G + T ≤ 1,5 tỷ VND.	Giao dịch thỏa mãn một trong các trường hợp sau: 1. Trường hợp 1: Giao dịch thỏa mãn các điều kiện: (i) G ≤ 10 triệu VND. (ii) G + T_ksth > 20 triệu VND. (iii) G + T > 1,5 tỷ VND. 2. Trường hợp 2: Giao dịch thỏa mãn các điều kiện: (i) G > 10 triệu VND. (ii) G ≤ 500 triệu VND. (iii) G + T > 1,5 tỷ VND. 3. Trường hợp 3: Giao dịch thỏa mãn điều kiện: G > 500 triệu VND.
4	Nhóm I.4: Chuyển tiền liên ngân hàng ra nước ngoài².			Giao dịch thỏa mãn các điều kiện: (i) G ≤ 200 triệu VND. (ii) G + T ≤ 1 tỷ VND.	Giao dịch thỏa mãn một trong các trường hợp sau: 1. Trường hợp 1: Giao dịch thỏa mãn các điều kiện: (i) G ≤ 200 triệu VND. (ii) G + T > 1 tỷ VND. 2. Trường hợp 2: Giao dịch thỏa mãn điều kiện: G > 200 triệu VND.
II	Khách hàng tổ chức³
1	Nhóm II.1: Chuyển tiền giữa các tài khoản thanh toán hoặc Ví điện tử của cùng một khách hàng trong một tổ chức cung ứng dịch vụ thanh toán hoặc tổ chức cung ứng dịch vụ trung gian thanh toán.		Tất cả các giao dịch.
2	Nhóm II.2: - Chuyển tiền giữa các tài khoản thanh toán, ví điện tử của các chủ tài khoản, chủ ví điện tử khác nhau. - Chuyển tiền giữa các tài khoản, ví điện tử mở tại các tổ chức cung ứng dịch vụ thanh toán, tổ chức cung ứng dịch vụ trung gian thanh toán khác nhau. - Các giao dịch thanh toán hàng hóa, dịch vụ hợp pháp được tổ chức cung ứng dịch vụ thanh toán, trung gian thanh toán cung cấp hoặc tại các đơn vị chấp nhận thanh toán do các tổ chức cung ứng dịch vụ thanh toán, trung gian thanh toán chịu trách nhiệm lựa chọn, thẩm định, giám sát và quản lý. - Chuyển tiền vào Ví điện tử từ tài khoản ngân hàng hoặc thẻ của chủ Ví điện tử tại ngân hàng liên kết¹. - Rút tiền ra khỏi Ví điện tử về tài khoản thanh toán hoặc thẻ của chủ ví điện tử tại ngân hàng liên kết. - Chuyển tiền vào tài khoản Tiền di động.			I. Loại C1: Giao dịch của khách hàng tổ chức mới thỏa mãn một trong các trường hợp: 1. Trường hợp 1: Giao dịch thỏa mãn các điều kiện: (i) G > 50 triệu VND. (ii) G ≤ 1 tỷ VND. (iii) G + T ≤ 10 tỷ VND. 2. Trường hợp 2: Giao dịch thỏa mãn các điều kiện: (i) G ≤50 triệu VND. (ii) G + T_ksth > 100 triệu VND. (iii) G + T ≤ 10 tỷ VND. II. Loại C2: 1. Trường hợp 1: Giao dịch của khách hàng tổ chức mới thỏa mãn các điều kiện: (i) G ≤ 50 triệu VND. (ii) G + T_ksth ≤ 100 triệu VND. 2. Trường hợp 2: Giao dịch của các đối tượng khác thỏa mãn các điều kiện: (i) G ≤ 1 tỷ VND. (ii) G + T ≤ 10 tỷ VND.	I. Loại D1: Giao dịch của khách hàng tổ chức mới thỏa mãn một trong các trường hợp: 1. Trường hợp 1: Giao dịch thỏa mãn các điều kiện: (i) G > 50 triệu VND. (ii) G ≤ 1 tỷ VND. (iii) G + T > 10 tỷ VND. 2. Trường hợp 2: Giao dịch thỏa mãn các điều kiện: (i) G ≤ 50 triệu VND. (ii) G + T_ksth > 100 triệu VND. (iii) G + T > 10 tỷ VND. 3. Trường hợp 3: Giao dịch thỏa mãn điều kiện: G > 1 tỷ VND. II. Loại D2: Giao dịch của các đối tượng khác thỏa mãn một trong các trường hợp: 1. Trường hợp 1: Giao dịch thỏa mãn các điều kiện: (i) G ≤ 1 tỷ VND. (ii) G + T > 10 tỷ VND. 2. Trường hợp 2: Giao dịch thỏa mãn điều kiện: G > 1 tỷ VND.
3	Nhóm II.3: Chuyển tiền liên ngân hàng ra nước ngoài².			Loại C3: Giao dịch thỏa mãn các điều kiện: (i) G ≤ 500 triệu VND. (ii) G + T ≤ 5 tỷ VND.	Loại D3: Giao dịch thỏa mãn một trong các trường hợp sau: 1. Trường hợp 1: Giao dịch thỏa mãn các điều kiện: (i) G ≤ 500 triệu VND. (ii) G + T > 5 tỷ VND. 2. Trường hợp 2: Giao dịch thỏa mãn điều kiện: G > 500 triệu VND.

Ghi chú:

G: Giá trị của giao dịch.

T_ksth:Tổng giá trị các giao dịch loại A, loại B và loại C2 (đối với khách hàng tổ chức mới) của từng nhóm loại hình giao dịch đã thực hiện của một tài khoản thanh toán hoặc một thẻ (bao gồm cả giao dịch chuyển tiền vào Ví điện tử từ tài khoản thanh toán hoặc thẻ của chủ Ví điện tử tại ngân hàng liên kết khi thực hiện trên ứng dụng Ví điện tử) hoặc một ví điện tử (không bao gồm giao dịch chuyển tiền vào chính Ví điện tử đó từ tài khoản thanh toán hoặc thẻ của chủ Ví điện tử tại ngân hàng liên kết khi thực hiện trên ứng dụng Ví điện tử) hoặc một tài khoản Tiền di động của khách hàng tại một tổ chức cung ứng dịch vụ thanh toán hoặc tổ chức cung ứng dịch vụ trung gian thanh toán hoặc tổ chức cung ứng dịch vụ Tiền di động, không bao gồm các giao dịch chủ động trích Nợ tài khoản thanh toán, chủ động trích Nợ ví điện tử, chủ động trích Nợ tài khoản Tiền di động, chủ động thanh toán từ thẻ. T_ksth được tính giá trị bằng 0 tại thời điểm đầu ngày hoặc ngay sau khi khách hàng có phát sinh giao dịch trong ngày sử dụng hình thức xác nhận cho giao dịch loại C hoặc loại D (đối với khách hàng cá nhân) hoặc giao dịch loại C1 hoặc D1 (đối với khách hàng tổ chức mới).

T: Tổng giá trị các giao dịch của từng nhóm loại hình giao dịch đã thực hiện trong ngày (của một tài khoản thanh toán hoặc một thẻ (bao gồm cả giao dịch chuyển tiền vào Ví điện tử từ tài khoản thanh toán hoặc thẻ của chủ Ví điện tử tại ngân hàng liên kết khi thực hiện trên ứng dụng Ví điện tử) hoặc một Ví điện tử (không bao gồm giao dịch chuyển tiền vào chính Ví điện tử đó từ tài khoản thanh toán hoặc thẻ của chủ Ví điện tử tại ngân hàng liên kết khi thực hiện trên ứng dụng Ví điện tử) hoặc một tài khoản Tiền di động) của khách hàng tại một tổ chức cung ứng dịch vụ thanh toán hoặc tổ chức cung ứng dịch vụ trung gian thanh toán hoặc tổ chức cung ứng dịch vụ Tiền di động), không bao gồm các giao dịch chủ động trích Nợ tài khoản thanh toán, chủ động trích Nợ ví điện tử, chủ động trích Nợ tài khoản Tiền di động, chủ động thanh toán từ thẻ.

(1) Đối với giao dịch chuyển tiền vào Ví điện tử từ tài khoản thanh toán/ thẻ của chủ ví điện tử tại ngân hàng liên kết, việc phân loại giao dịch căn cứ theo tài khoản thanh toán, thẻ liên kết với Ví điện tử.

(2) Hạn mức quy đổi theo tỷ giá tại thời điểm thực hiện giao dịch.

(3) Trường hợp khách hàng là hộ kinh doanh hoặc doanh nghiệp siêu nhỏ áp dụng chế độ kế toán đơn giản, việc phân loại giao dịch tương tự khách hàng cá nhân.

PHỤ LỤC 02

XÁC NHẬN GIAO DỊCH THANH TOÁN TRỰC TUYẾN
(Ban hành kèm theo Thông tư 77/2025/TT-NHNN ngày 31 tháng 12 năm 2025 của Thống đốc Ngân hàng Nhà nước Việt Nam)

STT	Giao dịch	Hình thức xác nhận giao dịch thanh toán trực tuyến tối thiểu
STT	Giao dịch	Khách hàng cá nhân	Khách hàng tổ chức
1	Giao dịch loại A	- Mã khóa bí mật hoặc mã PIN (trường hợp đã xác nhận tại bước đăng nhập thì không bắt buộc phải xác nhận tại bước thực hiện giao dịch).	- Mã khóa bí mật hoặc mã PIN (trường hợp đã xác nhận tại bước đăng nhập thì không bắt buộc phải xác nhận tại bước thực hiện giao dịch).
2	Giao dịch loại B	- SMS OTP hoặc Voice OTP hoặc Email OTP; - Hoặc Thẻ ma trận OTP; - Hoặc Soft OTP/ Token OTP loại cơ bản hoặc nâng cao; - Hoặc hai kênh; - Hoặc khớp đúng thông tin sinh trắc học thiết bị⁽¹⁾; - Hoặc FIDO; - Hoặc chữ ký điện tử an toàn.	- SMS OTP hoặc Voice OTP hoặc Email OTP; - Hoặc Thẻ ma trận OTP; - Hoặc khớp đúng thông tin sinh trắc học thiết bị⁽¹⁾ của người đại diện hợp pháp hoặc cá nhân được người đại diện hợp pháp ủy quyền (nếu có).
3	Giao dịch loại C	- OTP gửi qua SMS/Voice hoặc Soft OTP/Token OTP loại cơ bản. - Và kết hợp khớp đúng thông tin sinh trắc học.	1. Loại giao dịch C1: - Khớp đúng thông tin sinh trắc học của người đại diện hợp pháp, kết hợp với Soft OTP/Token OTP loại cơ bản hoặc hai kênh. 2. Loại giao dịch C2, C3: - Soft OTP/Token OTP loại cơ bản; - Hoặc hai kênh.
4	Giao dịch loại D	- Soft OTP/Token OTP loại nâng cao hoặc FIDO hoặc chữ ký điện tử an toàn, - Và kết hợp khớp đúng thông tin sinh trắc học.	1. Loại giao dịch D1: - Khớp đúng thông tin sinh trắc học của người đại diện hợp pháp, kết hợp với Soft OTP/Token OTP loại nâng cao hoặc FIDO hoặc chữ ký điện tử an toàn. - Hoặc chữ ký điện tử an toàn được tích hợp với tài khoản định danh điện tử của tổ chức. 2. Loại giao dịch D2, D3: - Soft OTP/Token OTP loại nâng cao; - Hoặc FIDO; - Hoặc chữ ký điện tử an toàn.

Ghi chú:

- Các hình thức xác nhận quy định chi tiết tại Điều 11 Thông tư này.

- Đối với khách hàng cá nhân:

+ Hình thức xác nhận giao dịch loại D có thể xác nhận giao dịch loại A, B, C.

+ Hình thức xác nhận giao dịch loại C có thể xác nhận giao dịch loại A, B.

+ Hình thức xác nhận giao dịch loại B có thể xác nhận giao dịch loại A.

- Đối với khách hàng tổ chức:

+ Hình thức xác nhận giao dịch loại D1 có thể xác nhận giao dịch loại A, B, C1.

+ Hình thức xác nhận giao dịch loại D2, D3 có thể xác nhận giao dịch loại A, B, C2, C3.

+ Hình thức xác nhận giao dịch loại C (gồm C1, C2 và C3) có thể xác nhận giao dịch loại A, B.

+ Hình thức xác nhận giao dịch loại B có thể xác nhận giao dịch loại A.

- Trường hợp khách hàng là hộ kinh doanh hoặc doanh nghiệp siêu nhỏ áp dụng chế độ kế toán đơn giản, áp dụng hình thức xác nhận giao dịch tương tự khách hàng cá nhân. Trong đó, đối với hình thức khớp đúng thông tin sinh trắc học và hình thức khớp đúng thông tin sinh trắc học thiết bị, thông tin sinh trắc học sử dụng để đối chiếu, so sánh là của người đại diện hợp pháp hoặc cá nhân được người đại diện hợp pháp ủy quyền (nếu có).

(1) Trường hợp khách hàng đã đăng nhập ứng dụng Online Banking bằng khớp đúng thông tin sinh trắc học thiết bị, không áp dụng biện pháp xác nhận này khi thực hiện giao dịch trong phiên đăng nhập đó.

PHỤ LỤC 04

XÁC NHẬN GIAO DỊCH THANH TOÁN THẺ TRỰC TUYẾN
(Ban hành kèm theo Thông tư 77/2025/TT-NHNN ngày 31 tháng 12 năm 2025 của Thống đốc Ngân hàng Nhà nước Việt Nam)

STT	Giao dịch	Hình thức xác nhận giao dịch thanh toán thẻ trực tuyến tối thiểu
1	Giao dịch loại E	Mã khóa bí mật hoặc mã PIN (trường hợp đã xác nhận tại bước đăng nhập thì không bắt buộc phải xác nhận tại bước thực hiện giao dịch).
2	Giao dịch loại F	- SMS OTP hoặc Voice OTP hoặc Email OTP; - Hoặc Thẻ ma trận OTP; - Hoặc Soft OTP/ Token OTP loại cơ bản; - Hoặc khớp đúng thông tin sinh trắc học thiết bị; - Hoặc hai kênh.
3	Giao dịch loại G	- Soft OTP/Token OTP loại nâng cao; - Hoặc FIDO; - Hoặc chữ ký điện tử an toàn; - Hoặc EMV 3DS.

Ghi chú:

- Các hình thức xác nhận quy định chi tiết tại Điều 11 Thông tư này.

- Hình thức xác nhận giao dịch loại G có thể xác nhận giao dịch loại E, F.

- Hình thức xác nhận giao dịch loại F có thể xác nhận giao dịch loại E.

Tiện ích dành riêng cho tài khoản TVPL Basic và TVPL Pro

Tải về Thông tư 77/2025/TT-NHNN sửa đổi Thông tư 50/2024/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành ngân hàng do Thống đốc Ngân hàng Nhà nước Việt Nam ban hành

Tải văn bản gốc Thông tư 77/2025/TT-NHNN sửa đổi Thông tư 50/2024/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành ngân hàng do Thống đốc Ngân hàng Nhà nước Việt Nam ban hành

THE STATE BANK OF VIETNAM --------	THE SOCIALIST REPUBLIC OF VIETNAM Independence - Freedom - Happiness ---------------
No. 77/2025/TT-NHNN	Hanoi, December 31, 2025

CIRCULAR

AMENDING AND SUPPLEMENTING SOME ARTICLES OF CIRCULAR NO. 50/2024/TT-NHNN OF THE GOVERNOR OF THE STATE BANK OF VIETNAM PROVIDING FOR SECURITY AND CONFIDENTIALITY DURING PROVISION OF ONLINE BANKING SERVICES

Pursuant to the Law on the State Bank of Vietnam No. 46/2010/QH12;

Pursuant to the Law on Cyberinformation Security No. 86/2015/QH13;

Pursuant to the Law on Cybersecurity No. 24/2018/QH14;

Pursuant to the Law on E-Transactions No. 20/2023/QH15;

Pursuant to the Law on Credit Institutions No. 32/2024/QH15 amended by the Law No. 96/2025/QH15;

Pursuant to the Government’s Decree No. 26/2025/ND-CP defining the functions, tasks, powers and organizational structure of the State Bank of Vietnam;

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

The Governor of the State Bank of Vietnam hereby promulgates a Circular amending and supplementing some Articles of the Circular No. 50/2024/TT-NHNN of the Governor of the State Bank of Vietnam providing for security and confidentiality during provision of online banking services.

Article 1. Amending and supplementing some points and clauses of Article 1

1. Point d is added to clause 1 of Article 1 as follows:

“d) Activities of providing mobile money services;”.

2. Clause 2 of Article 1 is amended and supplemented as follows:

“2. Regulated entities

This Circular applies to credit institutions, foreign bank branches, intermediary payment service providers, mobile money service providers and credit information companies (below collectively referred to as “units”).”.

Article 2. Adding clause 11 to Article 2

“11. “new institutional client” means an organization that has had its establishment newly registered within a period of 12 months or an organization that has newly established a relationship with a unit within a period of 12 months, and for which the unit has conducted a risk assessment and determined the period of time over which the method of biometric information matching or safe electronic signatures needs to be applied to such client when conducting transactions. This provision shall not apply to:

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

b) Credit institutions and foreign bank branches;

c) Listed organizations as prescribed by the Law on Securities;

d) Organizations on the Fortune Global 500 list published by the Fortune magazine in the immediately preceding year;

dd) Foreign investors being non-residents opening checking accounts to conduct indirect investment activities in Vietnam;

e) Other organizations selected by the units. In this case, the units will be fully responsible for the risks posed by their selection. The units shall ensure accurate client verification and shall take full responsibility for client identification.”.

Article 3. Amending and supplementing point a clause 3 of Article 3

“a) Applying at least one of the authentication forms specified in clauses 3, 4, 5, 7, 8 and 9 Article 11 of this Circular upon changing the client's identification information.

Where an individual client or a new institutional client changes their identification documents (including the citizen identity card, identity card, electronic identity card or passport of the individual client or of the legal representative of the institutional client) or information used for registration and use of transaction authentication forms (minimally comprising telephone number or email address or electronic signature), the authentication forms specified in clause 5 Article 11 of this Circular shall be applied in combination with one of the authentication forms specified in clauses 3, 4, 7, 8 and 9 Article 11 of this Circular.”.

Article 4. Amending and supplementing some points and clauses of Article 7

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

“c) Assess and scan to detect technical vulnerabilities and weaknesses. Assess the capacity for preventing and combating vulnerabilities, weaknesses and attack types, satisfying at least the following requirements:

(i) For online banking application software provided via web platforms, it is required to prevent and combat the 10 most common vulnerabilities published by the OWASP organization (OWASP Top Ten).

(ii) For mobile banking application software, it is required to satisfy at least the security and privacy requirements for mobile applications published by the OWASP organization (OWASP Mobile Application Security).

(iii) The applicable version of OWASP Top Ten or OWASP Mobile Application Security shall be the latest version or the version closest to the version issued within a period of 06 months.”.

2. Point g clause 6 of Article 7 is amended and supplemented as follows:

“g) With regard to a client being an organization, the application software shall be designed in such a manner as to ensure that every online payment transaction (excluding online card payment via payment acceptors) is conducted in at least two steps: transaction creation and transaction approval.

For a client being a business household or micro-enterprise applying a simple accounting regime, the transaction is not required to be conducted by separating the two aforesaid steps;”.

3. Point b clause 8 of Article 7 is amended and supplemented as follows:

“b) Online banking application software must have the function of authenticating the connection with the institutional client’s software to ensure safety and confidentiality and prevent fraud and forgery in accordance with international or Vietnamese standards and technical regulations;”

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

1. Clause 1a is added after clause 1 of Article 8 as follows:

“1a. Control of released installation versions of the Mobile Banking application software:

a) Once every 03 months, a unit shall assess the safety and confidentiality of application software versions which clients are permitted to install and use in order to identify security vulnerabilities and assess the possibility of interference by cybercriminals.

b) Where a client activates the mobile banking application on a new device or reactivates the application, the client must install and use the latest version or the nearest version that satisfies safety and confidentiality requirements as per regulations. The unit must seek control solutions for not permitting the downgrading to lower versions for use in this case.

c) Upon detecting security vulnerabilities assessed at a high or critical level, the unit shall implement measures to inspect, prevent the conduct of transactions or apply control measures in order to prevent criminals from taking advantage of security vulnerabilities to conduct cyberattacks, perform fraudulent transactions and appropriate property; concurrently, the unit shall handle and fix the vulnerabilities and update the latest version without delay within the time limit prescribed in clause 6 Article 14 of this Circular.”.

2. Clause 4 of Article 8 is amended and supplemented as follows:

“4. Solutions must be adopted to prevent, combat and detect unauthorized interference in the mobile banking application installed on clients’ mobile devices. The Mobile Banking application must automatically exit or stop and notify the client of the reason if detecting one of the following signs:

a) A debugger is attached or a debugging environment is active; or when the application is running in an emulator/virtual machine/emulated device environment; or operating in a mode allowing a computer to directly communicate with an Android device (Android Debug Bridge);

b) The application software is injected with external code while running, performing acts such as monitoring executed functions, recording logs of data transmitted through functions, APIs, etc. (hook); or the application software is interfered with or subjected to repacking;

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

3. Clause 5 of Article 8 is amended and supplemented as follows:

“5. The password-saving feature is not permitted, except where the authentication form prescribed in clause 6 Article 11 of this Circular is applied.”.

Article 6. Amending and supplementing some points and clauses of Article 10

1. Point a clause 1 of Article 10 is amended and supplemented as follows:

“a) For payment transactions using checking accounts or e-wallets or mobile money accounts or money transfer transactions from debit cards or identified prepaid cards, the unit shall classify transactions by their type specified in the Appendix 01 to this Circular and apply the authentication form specified in the Appendix 02 to this Circular, except for the regulations set out under points b, c, d and dd of this clause;”.

2. Point d clause 1 of Article 10 is amended and supplemented as follows:

“d) For transactions in which the unit automatically debits checking accounts, automatically debits e-wallets, automatically debits mobile money accounts or automatically makes payments from the clients’ cards as agreed upon with clients, the transaction authentication specified in points a and c clause 1 of this Article is not required;”.

3. Clause 2 of Article 10 is amended and supplemented as follows:

“2. For services registered for automatic payments from checking accounts, e-wallets, mobile money accounts and cards of clients, the unit must apply at least one of the authentication forms specified in clauses 3, 4, 5, 7, 8 and 9 Article 11 of this Circular.”.

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

1. Point c clause 5 of Article 11 is amended and supplemented as follows:

“c) The Presentation Attack Detection - PAD prescribed in point a of this clause which is deployed by the unit itself or provided by a third party must be certified by a biometric organization/laboratory accredited by the FIDO Alliance or certified by a certification body licensed to certify conformity with international standards (ISO) and satisfaction of ISO 30107 Level 2 or an equivalent level. The certification body must be accredited by an accreditation body that is a signatory to the Multilateral Recognition Arrangement of the International Accreditation Forum (IAF MLA).”

2. Clause 8 of Article 11 is amended and supplemented as follows:

“8. PGP (Pretty Good Privacy) authentication is a form of authentication according to the standard for transaction authentication using asymmetric key algorithms (including private keys used to generate digital signatures, and public keys used to validate digital signatures) issued by the IETF (Internet Engineering Task Force). PGP authentication must meet the following requirements:

a) The client’s public key is registered with the unit, securely stored at the unit, and linked to the client’s e-transaction account;

b) Method are in place to ensure verification of the identity of the key holder, security mechanisms and key revocation mechanisms;

c) There is an agreement on the legal liability of the unit and the client relating to the authenticity, integrity and non-repudiation of transaction files signed using this method.”.

3. Clause 9 of Article 11 is amended and supplemented as follows:

“9. Secure e-signature authentication is a form of authentication based on e-signature which may be a digital signature or a foreign e-signature recognized in Vietnam in accordance with the law on e-signatures.”.

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

“Article 21. Responsibilities of units affiliated to SBV

1. The Information Technology Department shall carry out monitoring and inspection, and cooperate with related units to resolve difficulties arising from implementation of this Circular.

2. The State Bank Inspectorate shall inspect and examine the implementation of this Circular and handle violations in accordance with law.

3. Regional SBV branches shall inspect and supervise the implementation of this Circular by credit institutions, foreign bank branches and intermediary payment service providers within areas under their management and handle violations in accordance with law.”.

Article 9. Adding Clause 1a after clause 1 of Article 23

“1a. For services registered for automatic payments from mobile money accounts that are conducted before the effective date of this Circular shall continue to be rendered until the expiry of the signed agreements; in case the agreements do not specify an expiry date, they shall continue to be implemented until December 31, 2026. The amendment, supplementation or extension of such agreements must comply with clause 2 Article 10 of this Circular.”.

Article 10. Amending and supplementing Appendices to Article 50/2024/TT-NHNN

Appendices No. 01, 02 and 04 promulgated together with Circular No. 50/2024/TT-NHNN are replaced with Appendices No. 01, 02 and 04 to this Circular.

Article 11. Responsibility for organizing implementation

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

Article 12. Implementation clause

1. This Circular comes into force from March 01, 2026, except for the cases prescribed in clauses 2 and 3 of this Article.

2. For units providing online payment services to both individual and organizational clients, the provisions set forth in Article 3 and Article 10 of this Circular shall be applied from July 01, 2026.

3. For units providing online payment services only to institutional clients (not providing services to individual clients), the provisions set forth in Article 3 and Article 10 of this Circular shall be applied from October 01, 2026./.

PP. THE GOVERNOR
THE DEPUTY GOVERNOR

Pham Tien Dung

APPENDIX 01

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

No.

Description

Category A

Category B

Category C

Category D

Individual client

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

Group I.1:

- Money transfer between checking accounts, debit cards, identified prepaid cards (hereinafter referred to as “cards”) of a client in a payment service provider.

- Money transfer between e-wallets of a client in an intermediary payment service provider.

All transactions.

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

Group I.2:

- Lawful payment transactions for goods and services provided by payment service providers, intermediary payment service providers and mobile money service providers or selected, appraised, supervised and managed by payment service providers, intermediary payment service providers and mobile money service providers

Any transaction that satisfies the following condition:

G + T ≤ VND 5 million.

Any transaction that satisfies the following conditions:

(i) G + T > VND 5 million.

(ii) G + T ≤ VND 100 million.

Any transaction that satisfies the following conditions:

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

(ii) G + T ≤ VND 1.5 billion.

Any transaction that satisfies the following condition:

G + T > VND 1.5 billion.

Group I.3:

- Money transfer between checking accounts, cards, e-wallets, mobile money accounts of different account holders, card holders, e-wallet owners and mobile money account holders.

- Money transfer between accounts, cards, e-wallets and mobile money accounts opened at different payment service providers, card issuers, intermediary payment service providers and mobile money service providers.

- E-wallet cash-in from e-wallet owner’s bank account or card at a linked bank¹.

- E-wallet cash-out to e-wallet owner’s checking account or card at a linked bank.

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

(i) G ≤ VND 10 million.

(ii) G + T_ksth ≤ VND 20 million.

Any transaction (except cash-in or cash-out between an e-wallet and checking account or card of an e-wallet owner at the linked bank in accordance with law) that satisfies the following conditions:

(i) G ≤ VND 10 million.

(ii) G + T_ksth ≤ VND 20 million.

Any transaction that falls into one of the following cases:

1. Case 1: Any transaction that satisfies the following conditions:

(i) G ≤ VND 10 million.

(ii) G + T_ksth > VND 20 million.

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

2. Case 2: Any transaction that satisfies the following conditions:

(i) G > VND 10 million.

(ii) G ≤ VND 500 million.

(iii) G + T ≤ VND 1.5 billion.

Any transaction that falls into one of the following cases:

1. Case 1: Any transaction that satisfies the following conditions:

(i) G ≤ VND 10 million.

(ii) G + T_ksth > VND 20 million.

(iii) G + T > VND 1.5 billion.

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

(i) G > VND 10 million.

(ii) G ≤ VND 500 million.

(iii) G + T > VND 1.5 billion.

3. Case 3: Any transaction that satisfies the following condition:

G > VND 500 million.

Group I.4:

Outbound interbank transfer².

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

Any transaction that satisfies the following conditions:

(i) G ≤ VND 200 million.

(ii) G + T ≤ VND 1 billion.

Any transaction that falls into one of the following cases:

1. Case 1: Any transaction that satisfies the following conditions:

(i) G ≤ VND 200 million.

(ii) G + T > VND 1 billion.

2. Case 2: Any transaction that satisfies the following condition:

G > VND 200 million.

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

Institutional client³

Group II.1:

Money transfer between checking accounts or e-wallets of the same client in a payment service provider or intermediary payment service provider.

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

Group II.2:

- Money transfer between checking accounts and e-wallets of different account holders and e-wallet owners.

- Money transfer between accounts, e-wallets opened different at payment service providers and intermediary payment service providers.

- Lawful payment transactions for goods and services provided by payment service providers and intermediary payment service providers or at payment acceptors selected, appraised, supervised and managed by payment service providers and intermediary payment service providers.

- E-wallet cash-in from e-wallet owner’s bank account or card at a linked bank¹.

- E-wallet cash-out to e-wallet owner’s checking account or card at a linked bank.

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

I. Category C1:

Any transaction of a new institutional client that falls into one of the following cases:

1. Case 1: Any transaction that satisfies the following conditions:

(i) G > VND 50 million.

(ii) G ≤ VND 1 billion.

(iii) G + T ≤ VND 10 billion.

2. Case 2: Any transaction that satisfies the following conditions:

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

(ii) G + T_ksth > VND 100 million.

(iii) G + T ≤ VND 10 billion.

II. Category C2:

1. Case 1: Any transaction of a new institutional client that satisfies one of the following conditions:

(i) G ≤ VND 50 million.

(ii) G + T_ksth ≤ VND 100 million.

2. Case 2: Any transaction of other entity that satisfies the following conditions:

(i) G ≤ VND 1 billion.

(ii) G + T ≤ VND 10 billion.

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

Any transaction of a new institutional client that falls into one of the following cases:

1. Case 1: Any transaction that satisfies the following conditions:

(i) G > VND 50 million.

(ii) G ≤ VND 1 billion.

(iii) G + T > VND 10 billion.

2. Case 2: Any transaction that satisfies the following conditions:

(i) G ≤ VND 50 million.

(ii) G + T_ksth > VND 100 million.

(iii) G + T > VND 10 billion.

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

G > VND 1 billion.

II. Category D2:

Any transaction of other entity that falls into one of the following cases:

1. Case 1: Any transaction that satisfies the following conditions:

(i) G ≤ VND 1 billion.

(ii) G + T > VND 10 billion.

2. Case 2: Any transaction that satisfies the following condition:

G > VND 1 billion.

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

Outbound interbank transfer².

Category C3:

Any transaction that satisfies the following conditions:

(i) G ≤ VND 500 million.

(ii) G + T ≤ VND 5 billion.

Category D3:

Any transaction that falls into one of the following cases:

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

(i) G ≤ VND 500 million.

(ii) G + T > VND 5 billion.

2. Case 2: Any transaction that satisfies the following condition:

G > VND 500 million.

Notes:

G: Value of the transaction.

T_ksth: Total value of Category A, Category B and Category C2 (for a new institutional client) transactions of each category of transactions performed on a checking account or a card (including e-wallet cash-in from checking account or card of the e-wallet owner at the linked bank when conducted on the e-wallet application) or an e-wallet (excluding the deposit of cash in that e-wallet from checking account or card of the e-wallet owner at the linked bank when conducted on the e-wallet application) or a mobile money account of a client at a payment service provider or intermediary payment service provider or mobile money service provider, excluding checking account auto-debit, e-wallet auto-debit, mobile money account auto-debit and card auto-debit transactions. T_ksth shall be zero (0) at the beginning of the day or immediately after the client has a transaction in the day which is authenticated by an authentication method for Category C or Category D transactions (for an individual client) or Category C1 or Category D1 transactions (for a new institutional client).

T: Total value of each category of transactions performed in a day (on a checking account or a card (including e-wallet cash-in from checking account or card of the e-wallet owner at the linked bank when conducted on the e-wallet application) or an e-wallet (excluding the deposit of cash in that e-wallet from checking account or card of the e-wallet owner at the linked bank when conducted on the e-wallet application) or a mobile money account) of a client at a payment service provider or intermediary payment service provider or mobile money service provider), excluding checking account auto-debit, e-wallet auto-debit, mobile money account auto-debit and card auto-debit transactions.

(1) In case of e-wallet cash-in from the e-wallet owner's checking account/card at a linked bank, the transaction classification shall rely on the checking account/card linked to the e-wallet.

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

(3) In case the client is a business household or a micro-enterprise applying a simple accounting regime, transactions of such business household or micro-enterprise are classified similarly to transactions of an individual client.

APPENDIX 02

ONLINE PAYMENT TRANSACTION AUTHENTICATION
(Enclosed with the Circular No. 77/2025/TT-NHNN dated December 31, 2025 of the Governor of the State Bank of Vietnam)

No.

Transaction

Minimum online payment transaction authentication form

Individual client

Institutional client

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

Category A transaction

- Password or PIN (if authenticated at the login step, authentication is not required at the transaction step).

Category B transaction

- SMS OTP or Voice OTP or Email OTP;

- Or OTP Matrix Card;

- Or basic or advanced Soft OTP/ Token OTP;

- Or two-channel;

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

- Or FIDO;

- Or secure e-signatures.

- SMS OTP or Voice OTP or Email OTP;

- Or OTP Matrix Card;

- Or matching the device-based biometric information of the legal representative or the individual authorized by the legal representative (if any).

Category C transaction

- OTP sent via SMS/Voice or basic Soft OTP/Token OTP.

- And biometric authentication.

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

- Matching the biometric information of the legal representative in combination with basic Soft OTP/Token OTP or two channel.

2. Category C2 and C3 transactions:

- Basic Soft OTP/Token OTP;

- Or two-channel.

Category D transaction

- Advanced Soft OTP/Token OTP or FIDO or secure e-signatures,

- And biometric authentication.

1. Category D1 transaction:

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

- Or secure e-signatures integrated with e-identification account of the institution.

2. Category D2 and D3 transactions:

- Advanced Soft OTP/Token OTP;

- Or FIDO;

- Or secure e-signatures.

Notes:

- Details about authentication forms are specified in Article 11 of this Circular.

- For an individual client:

+ Category D transaction authentication form may be used to authenticate Category A, B and C transactions.

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

+ Category B transaction authentication form may be used to authenticate Category A transactions.

- For an institutional client:

+ Category D1 transaction authentication form may be used to authenticate Category A, B and C1 transactions.

+ Category D2 and D3 transaction authentication form may be used to authenticate Category A, B, C2 and C3 transactions.

+ Category C (including C1, C2 and C3) transactions authentication form may be used to authenticate Category A and B transactions.

+ Category B transaction authentication form may be used to authenticate Category A transactions.

- In case the client is a business household or a micro-enterprise applying a simple accounting regime, the transaction authentication form to be applied is similar to that applied to an individual client. Regarding the form of biometric authentication and the form of device-based biometric authentication, the biometric information used for comparison is that of the legal representative or the individual authorized by the legal representative (if any).

(1) In case the client has signed into the Online Banking app using device-based biometric authentication, this biometric authentication shall not be used during transactions in the same sign-in session.

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

ONLINE CARD PAYMENT TRANSACTION AUTHENTICATION
(Enclosed with the Circular No. 77/2025/TT-NHNN dated December 31, 2025 of the Governor of the State Bank of Vietnam)

No.

Transaction

Minimum online card payment transaction authentication form

Category E transaction

Password or PIN (if authenticated at the login step, authentication is not required at the transaction step).

Category F transaction

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

- Or OTP Matrix Card;

- Or Basic Soft OTP/ Token OTP;

- Or device-based biometric authentication;

- Or two-channel.

Category G transaction

- Advanced Soft OTP/ Token OTP;

- Or FIDO;

- Or secure e-signatures;

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

Notes:

- Details about authentication forms are specified in Article 11 of this Circular.

- Category G transaction authentication form may be used to authenticate Category E and F transactions.

- Category F transaction authentication form may be used to authenticate Category E transactions.

Văn bản được hướng dẫn - [0]

Văn bản được hợp nhất - [0]

Văn bản bị sửa đổi bổ sung - [0]

Văn bản bị đính chính - [0]

Văn bản bị thay thế - [0]

Văn bản được dẫn chiếu - [0]

Văn bản được căn cứ - [0]

Văn bản liên quan ngôn ngữ - [1]

Văn bản đang xem

Thông tư 77/2025/TT-NHNN sửa đổi Thông tư 50/2024/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành ngân hàng do Thống đốc Ngân hàng Nhà nước Việt Nam ban hành

Số hiệu:	77/2025/TT-NHNN
Loại văn bản:	Thông tư
Lĩnh vực, ngành:	Tiền tệ - Ngân hàng,Công nghệ thông tin
Nơi ban hành:	Ngân hàng Nhà nước Việt Nam
Người ký:	Phạm Tiến Dũng
Ngày ban hành:	31/12/2025
Ngày hiệu lực:	Đã biết
Ngày đăng:	Đã biết
Số công báo:	Đã biết
Tình trạng:	Đã biết

Văn bản liên quan cùng nội dung - [0]

Văn bản hướng dẫn - [0]

Văn bản hợp nhất - [0]

Văn bản sửa đổi bổ sung - [0]

Văn bản đính chính - [0]

Văn bản thay thế - [0]

[...] Đăng nhập tài khoản TVPL Basic hoặc TVPL Pro để xem toàn bộ lược đồ văn bản

NGÂN HÀNG NHÀ NƯỚC VIỆT NAM -------	CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự do - Hạnh phúc ---------------
Số: 77/2025/TT-NHNN	Hà Nội, ngày 31 tháng 12 năm 2025

THÔNG TƯ

Căn cứ Luật Ngân hàng Nhà nước Việt Nam số 46/2010/QH12;

Căn cứ Luật An toàn thông tin mạng số 86/2015/QH13;

Căn cứ Luật An ninh mạng số 24/2018/QH14;

Căn cứ Luật Giao dịch điện tử số 20/2023/QH15;

Căn cứ Luật Các tổ chức tín dụng số 32/2024/QH15 được sửa đổi, bổ sung bởi Luật số 96/2025/QH15;

Căn cứ Nghị định số 26/2025/NĐ-CP của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Ngân hàng Nhà nước Việt Nam;

Theo đề nghị của Cục trưởng Cục Công nghệ thông tin;

Điều 1. Sửa đổi, bổ sung một số điểm, khoản của Điều 1

1. Bổ sung điểm d khoản 1 Điều 1 như sau:

“d) Hoạt động cung ứng dịch vụ Tiền di động;”.

2. Sửa đổi, bổ sung khoản 2 Điều 1 như sau:

“2. Đối tượng áp dụng

Điều 2. Bổ sung khoản 11 Điều 2

a) Các cơ quan nhà nước, đơn vị sự nghiệp công lập;

b) Các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài;

c) Các tổ chức niêm yết theo quy định tại Luật chứng khoán;

d) Các tổ chức thuộc danh sách Fortune Global 500 do Tạp chí Fortune công bố vào năm liền trước;

đ) Nhà đầu tư nước ngoài là người không cư trú mở tài khoản thanh toán để thực hiện hoạt động đầu tư gián tiếp tại Việt Nam;

Điều 3. Sửa đổi, bổ sung điểm a khoản 3 Điều 3

Điều 4. Sửa đổi, bổ sung một số điểm, khoản của Điều 7

1. Sửa đổi, bổ sung điểm c khoản 3 Điều 7 như sau:

2. Sửa đổi, bổ sung điểm g khoản 6 Điều 7 như sau:

3. Sửa đổi, bổ sung điểm b khoản 8 Điều 7 như sau:

Điều 5. Sửa đổi, bổ sung một số khoản của Điều 8

1. Bổ sung khoản 1a vào sau khoản 1 Điều 8 như sau:

“1a. Kiểm soát phiên bản cài đặt được phát hành của ứng dụng Mobile Banking:

2. Sửa đổi, bổ sung khoản 4 Điều 8 như sau:

c) Thiết bị đã bị phá khóa (root / jailbreak); hoặc bị mở khóa cơ chế bảo vệ (unlockbootloader).”.

3. Sửa đổi, bổ sung khoản 5 Điều 8 như sau:

“5. Không cho phép chức năng ghi nhớ mã khóa bí mật truy cập, trừ trường hợp áp dụng hình thức xác nhận quy định tại khoản 6 Điều 11 Thông tư này.”.

Điều 6. Sửa đổi, bổ sung một số điểm, khoản của Điều 10

1. Sửa đổi, bổ sung điểm a khoản 1 Điều 10 như sau:

2. Sửa đổi, bổ sung điểm d khoản 1 Điều 10 như sau:

3. Sửa đổi, bổ sung khoản 2 Điều 10 như sau:

Điều 7. Sửa đổi, bổ sung một số điểm, khoản của Điều 11

1. Sửa đổi, bổ sung điểm c khoản 5 Điều 11 như sau:

2. Sửa đổi, bổ sung khoản 8 Điều 11 như sau:

b) Có phương thức bảo đảm xác minh danh tính chủ thể gắn với khóa, cơ chế bảo mật và thu hồi khóa;

3. Sửa đổi, bổ sung khoản 9 Điều 11 như sau:

Điều 8. Sửa đổi, bổ sung Điều 21

“Điều 21. Trách nhiệm của các đơn vị thuộc Ngân hàng Nhà nước

2. Thanh tra Ngân hàng Nhà nước có trách nhiệm thanh tra, kiểm tra việc thi hành Thông tư này và xử lý các trường hợp vi phạm theo quy định của pháp luật.

Điều 9. Bổ sung khoản 1a vào sau khoản 1 Điều 23

Điều 10. Sửa đổi, bổ sung Phụ lục kèm theo Thông tư số 50/2024/TT-NHNN

Thay thế Phụ lục số 01, 02, 04 ban hành kèm theo Thông tư số 50/2024/TT-NHNN bằng Phụ lục số 01, 02, 04 đính kèm Thông tư này.

Điều 11. Trách nhiệm tổ chức thực hiện

Điều 12. Điều khoản thi hành

1. Thông tư này có hiệu lực thi hành kể từ ngày 01 tháng 3 năm 2026, trừ trường hợp quy định tại khoản 2, khoản 3 Điều này.

Nơi nhận:
- Như Điều 11;
- Ban Lãnh đạo NHNN;
- Văn phòng Chính phủ;
- Bộ Tư pháp (để kiểm tra);
- Cổng TTĐT NHNN;
- Công báo;
- Lưu VT, CNTT.

KT. THỐNG ĐỐC
PHÓ THỐNG ĐỐC

Phạm Tiến Dũng

PHỤ LỤC 01

PHÂN LOẠI GIAO DỊCH THANH TOÁN TRỰC TUYẾN
(Ban hành kèm theo Thông tư số 77/2025/TT-NHNN ngày 31 tháng 12 năm 2025 của Thống đốc Ngân hàng Nhà nước Việt Nam)

STT	Loại hình giao dịch	Giao dịch loại A	Giao dịch loại B	Giao dịch loại C	Giao dịch loại D
I	Khách hàng cá nhân
1	Nhóm I.1: - Chuyển tiền giữa các tài khoản thanh toán, thẻ ghi nợ, thẻ trả trước định danh (sau đây gọi chung là thẻ) của một khách hàng trong một tổ chức cung ứng dịch vụ thanh toán. - Chuyển tiền giữa các ví điện tử của một khách hàng trong một tổ chức cung ứng dịch vụ trung gian thanh toán.	Tất cả các giao dịch.
2	Nhóm I.2: - Các giao dịch thanh toán hàng hóa, dịch vụ hợp pháp được tổ chức cung ứng dịch vụ thanh toán, trung gian thanh toán, tổ chức cung ứng dịch vụ Tiền di động cung cấp hoặc tại các đơn vị chấp nhận thanh toán do các tổ chức cung ứng dịch vụ thanh toán, trung gian thanh toán, tổ chức cung ứng dịch vụ Tiền di động chịu trách nhiệm lựa chọn, thẩm định, giám sát và quản lý.	Giao dịch thỏa mãn điều kiện: G + T ≤ 5 triệu VND.	Giao dịch thỏa mãn các điều kiện: (i) G + T > 5 triệu VND. (ii) G + T ≤ 100 triệu VND.	Giao dịch thỏa mãn các điều kiện: (i) G + T > 100 triệu VND. (ii) G + T ≤ 1,5 tỷ VND.	Giao dịch thỏa mãn điều kiện: G + T > 1,5 tỷ VND.
3	Nhóm I.3: - Chuyển tiền giữa các tài khoản thanh toán, thẻ, ví điện tử, tài khoản Tiền di động của các chủ tài khoản, chủ thẻ, chủ ví điện tử, chủ tài khoản Tiền di động khác nhau. - Chuyển tiền giữa các tài khoản, thẻ, ví điện tử, tài khoản Tiền di động mở tại các tổ chức cung ứng dịch vụ thanh toán, tổ chức phát hành thẻ, tổ chức cung ứng dịch vụ trung gian thanh toán, tổ chức cung ứng dịch vụ Tiền di động khác nhau. - Chuyển tiền vào Ví điện tử từ tài khoản ngân hàng hoặc thẻ của chủ Ví điện tử tại ngân hàng liên kết¹. - Rút tiền ra khỏi Ví điện tử về tài khoản thanh toán hoặc thẻ của chủ ví điện tử tại ngân hàng liên kết.	Giao dịch chuyển tiền, rút tiền giữa Ví điện tử và tài khoản thanh toán, thẻ của chủ ví điện tử tại ngân hàng liên kết theo quy định của pháp luật thỏa mãn các điều kiện: (i) G ≤ 10 triệu VND. (ii) G + T_ksth ≤ 20 triệu VND.	Giao dịch (ngoại trừ giao dịch chuyển tiền, rút tiền giữa Ví điện tử và tài khoản thanh toán, thẻ của chủ ví điện tử tại ngân hàng liên kết theo quy định của pháp luật) thỏa mãn các điều kiện: (i) G ≤ 10 triệu VND. (ii) G + T_ksth ≤ 20 triệu VND.	Giao dịch thỏa mãn một trong các trường hợp sau: 1. Trường hợp 1: Giao dịch thỏa mãn các điều kiện: (i) G ≤ 10 triệu VND. (ii) G + T_ksth > 20 triệu VND. (iii) G + T ≤ 1,5 tỷ VND. 2. Trường hợp 2: Giao dịch thỏa mãn các điều kiện: (i) G > 10 triệu VND. (ii) G ≤ 500 triệu VND. (iii) G + T ≤ 1,5 tỷ VND.	Giao dịch thỏa mãn một trong các trường hợp sau: 1. Trường hợp 1: Giao dịch thỏa mãn các điều kiện: (i) G ≤ 10 triệu VND. (ii) G + T_ksth > 20 triệu VND. (iii) G + T > 1,5 tỷ VND. 2. Trường hợp 2: Giao dịch thỏa mãn các điều kiện: (i) G > 10 triệu VND. (ii) G ≤ 500 triệu VND. (iii) G + T > 1,5 tỷ VND. 3. Trường hợp 3: Giao dịch thỏa mãn điều kiện: G > 500 triệu VND.
4	Nhóm I.4: Chuyển tiền liên ngân hàng ra nước ngoài².			Giao dịch thỏa mãn các điều kiện: (i) G ≤ 200 triệu VND. (ii) G + T ≤ 1 tỷ VND.	Giao dịch thỏa mãn một trong các trường hợp sau: 1. Trường hợp 1: Giao dịch thỏa mãn các điều kiện: (i) G ≤ 200 triệu VND. (ii) G + T > 1 tỷ VND. 2. Trường hợp 2: Giao dịch thỏa mãn điều kiện: G > 200 triệu VND.
II	Khách hàng tổ chức³
1	Nhóm II.1: Chuyển tiền giữa các tài khoản thanh toán hoặc Ví điện tử của cùng một khách hàng trong một tổ chức cung ứng dịch vụ thanh toán hoặc tổ chức cung ứng dịch vụ trung gian thanh toán.		Tất cả các giao dịch.
2	Nhóm II.2: - Chuyển tiền giữa các tài khoản thanh toán, ví điện tử của các chủ tài khoản, chủ ví điện tử khác nhau. - Chuyển tiền giữa các tài khoản, ví điện tử mở tại các tổ chức cung ứng dịch vụ thanh toán, tổ chức cung ứng dịch vụ trung gian thanh toán khác nhau. - Các giao dịch thanh toán hàng hóa, dịch vụ hợp pháp được tổ chức cung ứng dịch vụ thanh toán, trung gian thanh toán cung cấp hoặc tại các đơn vị chấp nhận thanh toán do các tổ chức cung ứng dịch vụ thanh toán, trung gian thanh toán chịu trách nhiệm lựa chọn, thẩm định, giám sát và quản lý. - Chuyển tiền vào Ví điện tử từ tài khoản ngân hàng hoặc thẻ của chủ Ví điện tử tại ngân hàng liên kết¹. - Rút tiền ra khỏi Ví điện tử về tài khoản thanh toán hoặc thẻ của chủ ví điện tử tại ngân hàng liên kết. - Chuyển tiền vào tài khoản Tiền di động.			I. Loại C1: Giao dịch của khách hàng tổ chức mới thỏa mãn một trong các trường hợp: 1. Trường hợp 1: Giao dịch thỏa mãn các điều kiện: (i) G > 50 triệu VND. (ii) G ≤ 1 tỷ VND. (iii) G + T ≤ 10 tỷ VND. 2. Trường hợp 2: Giao dịch thỏa mãn các điều kiện: (i) G ≤50 triệu VND. (ii) G + T_ksth > 100 triệu VND. (iii) G + T ≤ 10 tỷ VND. II. Loại C2: 1. Trường hợp 1: Giao dịch của khách hàng tổ chức mới thỏa mãn các điều kiện: (i) G ≤ 50 triệu VND. (ii) G + T_ksth ≤ 100 triệu VND. 2. Trường hợp 2: Giao dịch của các đối tượng khác thỏa mãn các điều kiện: (i) G ≤ 1 tỷ VND. (ii) G + T ≤ 10 tỷ VND.	I. Loại D1: Giao dịch của khách hàng tổ chức mới thỏa mãn một trong các trường hợp: 1. Trường hợp 1: Giao dịch thỏa mãn các điều kiện: (i) G > 50 triệu VND. (ii) G ≤ 1 tỷ VND. (iii) G + T > 10 tỷ VND. 2. Trường hợp 2: Giao dịch thỏa mãn các điều kiện: (i) G ≤ 50 triệu VND. (ii) G + T_ksth > 100 triệu VND. (iii) G + T > 10 tỷ VND. 3. Trường hợp 3: Giao dịch thỏa mãn điều kiện: G > 1 tỷ VND. II. Loại D2: Giao dịch của các đối tượng khác thỏa mãn một trong các trường hợp: 1. Trường hợp 1: Giao dịch thỏa mãn các điều kiện: (i) G ≤ 1 tỷ VND. (ii) G + T > 10 tỷ VND. 2. Trường hợp 2: Giao dịch thỏa mãn điều kiện: G > 1 tỷ VND.
3	Nhóm II.3: Chuyển tiền liên ngân hàng ra nước ngoài².			Loại C3: Giao dịch thỏa mãn các điều kiện: (i) G ≤ 500 triệu VND. (ii) G + T ≤ 5 tỷ VND.	Loại D3: Giao dịch thỏa mãn một trong các trường hợp sau: 1. Trường hợp 1: Giao dịch thỏa mãn các điều kiện: (i) G ≤ 500 triệu VND. (ii) G + T > 5 tỷ VND. 2. Trường hợp 2: Giao dịch thỏa mãn điều kiện: G > 500 triệu VND.

Ghi chú:

G: Giá trị của giao dịch.

(2) Hạn mức quy đổi theo tỷ giá tại thời điểm thực hiện giao dịch.

PHỤ LỤC 02

XÁC NHẬN GIAO DỊCH THANH TOÁN TRỰC TUYẾN
(Ban hành kèm theo Thông tư 77/2025/TT-NHNN ngày 31 tháng 12 năm 2025 của Thống đốc Ngân hàng Nhà nước Việt Nam)

STT	Giao dịch	Hình thức xác nhận giao dịch thanh toán trực tuyến tối thiểu
STT	Giao dịch	Khách hàng cá nhân	Khách hàng tổ chức
1	Giao dịch loại A	- Mã khóa bí mật hoặc mã PIN (trường hợp đã xác nhận tại bước đăng nhập thì không bắt buộc phải xác nhận tại bước thực hiện giao dịch).	- Mã khóa bí mật hoặc mã PIN (trường hợp đã xác nhận tại bước đăng nhập thì không bắt buộc phải xác nhận tại bước thực hiện giao dịch).
2	Giao dịch loại B	- SMS OTP hoặc Voice OTP hoặc Email OTP; - Hoặc Thẻ ma trận OTP; - Hoặc Soft OTP/ Token OTP loại cơ bản hoặc nâng cao; - Hoặc hai kênh; - Hoặc khớp đúng thông tin sinh trắc học thiết bị⁽¹⁾; - Hoặc FIDO; - Hoặc chữ ký điện tử an toàn.	- SMS OTP hoặc Voice OTP hoặc Email OTP; - Hoặc Thẻ ma trận OTP; - Hoặc khớp đúng thông tin sinh trắc học thiết bị⁽¹⁾ của người đại diện hợp pháp hoặc cá nhân được người đại diện hợp pháp ủy quyền (nếu có).
3	Giao dịch loại C	- OTP gửi qua SMS/Voice hoặc Soft OTP/Token OTP loại cơ bản. - Và kết hợp khớp đúng thông tin sinh trắc học.	1. Loại giao dịch C1: - Khớp đúng thông tin sinh trắc học của người đại diện hợp pháp, kết hợp với Soft OTP/Token OTP loại cơ bản hoặc hai kênh. 2. Loại giao dịch C2, C3: - Soft OTP/Token OTP loại cơ bản; - Hoặc hai kênh.
4	Giao dịch loại D	- Soft OTP/Token OTP loại nâng cao hoặc FIDO hoặc chữ ký điện tử an toàn, - Và kết hợp khớp đúng thông tin sinh trắc học.	1. Loại giao dịch D1: - Khớp đúng thông tin sinh trắc học của người đại diện hợp pháp, kết hợp với Soft OTP/Token OTP loại nâng cao hoặc FIDO hoặc chữ ký điện tử an toàn. - Hoặc chữ ký điện tử an toàn được tích hợp với tài khoản định danh điện tử của tổ chức. 2. Loại giao dịch D2, D3: - Soft OTP/Token OTP loại nâng cao; - Hoặc FIDO; - Hoặc chữ ký điện tử an toàn.

Ghi chú:

- Các hình thức xác nhận quy định chi tiết tại Điều 11 Thông tư này.

- Đối với khách hàng cá nhân:

+ Hình thức xác nhận giao dịch loại D có thể xác nhận giao dịch loại A, B, C.

+ Hình thức xác nhận giao dịch loại C có thể xác nhận giao dịch loại A, B.

+ Hình thức xác nhận giao dịch loại B có thể xác nhận giao dịch loại A.

- Đối với khách hàng tổ chức:

+ Hình thức xác nhận giao dịch loại D1 có thể xác nhận giao dịch loại A, B, C1.

+ Hình thức xác nhận giao dịch loại D2, D3 có thể xác nhận giao dịch loại A, B, C2, C3.

+ Hình thức xác nhận giao dịch loại C (gồm C1, C2 và C3) có thể xác nhận giao dịch loại A, B.

+ Hình thức xác nhận giao dịch loại B có thể xác nhận giao dịch loại A.

PHỤ LỤC 04

XÁC NHẬN GIAO DỊCH THANH TOÁN THẺ TRỰC TUYẾN
(Ban hành kèm theo Thông tư 77/2025/TT-NHNN ngày 31 tháng 12 năm 2025 của Thống đốc Ngân hàng Nhà nước Việt Nam)

STT	Giao dịch	Hình thức xác nhận giao dịch thanh toán thẻ trực tuyến tối thiểu
1	Giao dịch loại E	Mã khóa bí mật hoặc mã PIN (trường hợp đã xác nhận tại bước đăng nhập thì không bắt buộc phải xác nhận tại bước thực hiện giao dịch).
2	Giao dịch loại F	- SMS OTP hoặc Voice OTP hoặc Email OTP; - Hoặc Thẻ ma trận OTP; - Hoặc Soft OTP/ Token OTP loại cơ bản; - Hoặc khớp đúng thông tin sinh trắc học thiết bị; - Hoặc hai kênh.
3	Giao dịch loại G	- Soft OTP/Token OTP loại nâng cao; - Hoặc FIDO; - Hoặc chữ ký điện tử an toàn; - Hoặc EMV 3DS.

Ghi chú:

- Các hình thức xác nhận quy định chi tiết tại Điều 11 Thông tư này.

- Hình thức xác nhận giao dịch loại G có thể xác nhận giao dịch loại E, F.

- Hình thức xác nhận giao dịch loại F có thể xác nhận giao dịch loại E.

Đăng nhập để tiếp tục

...hiểu pháp lý, rõ quy hoạch, giao dịch nhanh...

Thông tư 77/2025/TT-NHNN sửa đổi Thông tư 50/2024/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành ngân hàng do Thống đốc Ngân hàng Nhà nước Việt Nam ban hành