A partir du debut du mois de mars 2026, les applications bancaires numeriques devront automatiquement echapper ou cesser leurs activites lorsqu'elles detectent des signes de fraude, d'intervention illegale ou de risque de securite de l'information. Il s'agit d'une nouvelle exigence de la circulaire n° 77/2025/TT-NHNN de la Banque d'Etat du Vietnam, modifiant et completant la circulaire n° 50/2024/TT-NHNN sur la securite et la confidentialite dans la fourniture de services en ligne du secteur bancaire.
Renforcer le controle des versions d'installation publiees de l'application Mobile Banking
Un point notable, a l'article 5 de la circulaire 77/2025, est l'exigence de controler strictement la version installee de l'application Mobile Banking. Selon la reglementation, les organisations fournissant des services doivent effectuer periodiquement au moins 3 mois d'evaluation de la securite et de la sûrete des versions de logiciels qui permettent aux clients d'installer et d'utiliser. L'evaluation vise a identifier les failles de securite et la possibilite d'intervention de cybercriminels.
Dans le cas ou les clients activent l'application Mobile Banking sur un nouvel appareil ou la reactivent, les organisations fournissant des services ne sont autorisees a installer et a utiliser que la version la plus recente ou la version la plus recente repondant pleinement aux exigences de securite et de sûrete. Dans le meme temps, les unites doivent avoir des solutions techniques pour empecher la mise a niveau des versions (downgrading) vers des versions plus anciennes, ce qui presente un risque d'exploitation de failles.
Lorsqu'une faille de securite est detectee qui est consideree comme elevee ou grave, l'etablissement de credit doit appliquer des mesures de controle, interdire la realisation de transactions ou appliquer les mesures necessaires pour empecher l'exploitation de la faille pour attaquer le reseau, effectuer des transactions frauduleuses, s'approprier des biens. La correction, le traitement et la mise a jour d'une nouvelle version doivent etre mis en œuvre immediatement dans les delais prescrits.
Decouverte d'une intervention illegale, l'application doit s'arreter automatiquement
La circulaire 77/2025 stipule egalement clairement la mise en œuvre de solutions techniques pour prevenir, combattre et detecter les actes d'ingerence illegale dans l'application Mobile Banking installee sur les appareils mobiles des clients.
En consequence, l'application Mobile Banking est obligee de quitter ou d'arreter automatiquement ses activites, tout en informant clairement les clients des raisons si l'un des trois signes de risque serieux est detecte.
Premierement, l'application detecte qu'un debuteur est attache, l'environnement ou le debuteur fonctionne, l'application fonctionne dans un environnement simule, un appareil virtuel, un appareil simule, ou fonctionne en mode permettant a l'ordinateur de communiquer directement avec l'appareil Android via Android Debug Bridge.
Deuxiemement, le logiciel d'application est insere avec un code externe pendant l'execution, avec des comportements tels que le suivi de la fonction d'execution, l'enregistrement de logs de donnees transmises via des fonctions, des API, ou l'application est interferee, reconditionnee.
Troisiemement, l'appareil du client a ete deverrouille du systeme de securite tel que root pour Android, jailbreak pour iOS, ou le mecanisme de protection a ete deverrouille (unlock bootloader).
