Từ ngày 16/7/2026, VietinBank sẽ chính thức áp dụng mã PIN Soft OTP gồm 6 chữ số thay cho mã PIN 4 số hiện nay nhằm đáp ứng quy định của Ngân hàng Nhà nước về tăng cường an toàn trong giao dịch thanh toán.

VietinBank vừa phát đi thông báo tới khách hàng về việc thay đổi độ dài mã PIN của tính năng Soft OTP. Theo đó, kể từ ngày 16/7/2026, mã PIN xác thực sẽ được nâng từ 4 chữ số lên 6 chữ số theo quy định của Ngân hàng Nhà nước.

Để việc sử dụng dịch vụ không bị ảnh hưởng, ngân hàng đề nghị khách hàng thực hiện đổi mã PIN ngay tại mục Cài đặt Soft OTP trước thời điểm quy định bắt đầu có hiệu lực.

Việc điều chỉnh được thực hiện nhằm đáp ứng các yêu cầu về bảo mật trong hoạt động thanh toán theo quy định của Ngân hàng Nhà nước. Hiện nay, phần lớn các ngân hàng đã hoàn tất việc chuyển đổi từ mã PIN 4 số sang 6 số đối với tính năng Soft OTP.

Theo Điều 11 Thông tư số 50/2024/TT-NHNN, mã PIN là chuỗi số bí mật được sử dụng để xác thực người dùng. Đối với các hình thức xác thực bằng mã PIN không gắn với thẻ vật lý, độ dài tối thiểu phải là 6 ký tự. Đồng thời, thời hạn hiệu lực của mã PIN tối đa là 12 tháng, riêng mã PIN được cấp mặc định lần đầu chỉ có hiệu lực tối đa 30 ngày.

11-1783756766-vietinbank-nang-ma-pin-soft-otp-len-6-so-tu-ngay-167-theo-quy-dinh-moi
Mã PIN Soft OTP sẽ tăng lên 6 chữ số theo quy định của NHNN. Ảnh: Hoàng Hà.

Soft OTP là phương thức xác thực bằng mã OTP được tạo thông qua phần mềm cài đặt trên thiết bị di động của khách hàng. Phần mềm này có thể hoạt động độc lập hoặc được tích hợp trực tiếp vào ứng dụng Mobile Banking.

Theo quy định, Soft OTP gồm hai hình thức. Loại cơ bản tạo mã OTP ngẫu nhiên theo thời gian và đồng bộ với hệ thống ngân hàng trực tuyến. Trong khi đó, Soft OTP nâng cao tạo mã OTP dựa trên thông tin của từng giao dịch, giúp tăng cường mức độ bảo mật trong quá trình xác thực.

Đối với phần mềm Soft OTP hoạt động độc lập với ứng dụng Mobile Banking, đơn vị cung cấp phải đăng ký và quản lý trên kho ứng dụng chính thức của hệ điều hành di động, đồng thời công khai hướng dẫn cài đặt trên trang thông tin điện tử để khách hàng dễ dàng tải và sử dụng.

Bên cạnh đó, phần mềm Soft OTP bắt buộc phải được kích hoạt trước khi sử dụng bằng mã kích hoạt do ngân hàng cung cấp. Mã kích hoạt này chỉ có giá trị trên thiết bị di động và phải được quy định thời hạn sử dụng cụ thể.

Thông tư cũng yêu cầu phần mềm Soft OTP phải có cơ chế kiểm soát truy cập. Nếu khách hàng nhập sai mã PIN vượt quá số lần cho phép, hệ thống phải tự động khóa chức năng sử dụng. Việc mở khóa chỉ được thực hiện khi khách hàng có yêu cầu và ngân hàng hoàn tất quy trình xác minh nhằm phòng ngừa gian lận và giả mạo.

Ngoài ra, với phần mềm Soft OTP độc lập, trước khi khách hàng sử dụng lần đầu hoặc đăng nhập trên thiết bị mới, hệ thống phải tiến hành xác thực danh tính. Quy trình này tối thiểu phải bao gồm việc xác thực bằng SMS OTP hoặc Voice OTP gửi tới số điện thoại đã đăng ký, đồng thời đối chiếu chính xác dữ liệu sinh trắc học của khách hàng.

Bích Ngọc (SHTT)