Tóm tắt: Bài viết tập trung vào các giải pháp tiên tiến định hình bảo mật thanh toán - từ xác thực đa yếu tố và sinh trắc học đến phát hiện gian lận dựa trên trí tuệ nhân tạo (AI), Blockchain và kiến trúc zero-trust (không tin tưởng mặc định). Các quốc gia hàng đầu như Mỹ, Liên minh châu Âu (EU), Singapore và Hàn Quốc đang thiết lập tiêu chuẩn với những đổi mới như quy định PSD2, cảnh báo lừa đảo theo thời gian thực và thanh toán nhận dạng khuôn mặt. Dựa trên các thông lệ tốt nhất toàn cầu và điều kiện địa phương, bài viết đề xuất lộ trình về tăng cường bảo mật và thúc đẩy văn hóa an ninh mạng, nâng cao hiểu biết số cho người dân. Những bước đi này nhằm đảm bảo hệ thống tài chính Việt Nam phát triển mạnh mẽ, trở thành một trung tâm thanh toán kỹ thuật số an toàn và bền vững.
Từ khóa: Bảo mật thanh toán, an ninh mạng ngân hàng, xác thực đa yếu tố, gian lận tài chính, chuyển đổi số, an toàn thông tin.
BANK PAYMENT SECURITY IN THE DIGITAL ERA: GLOBAL TRENDS AND LESSONS FOR VIETNAM
Abstract: The article focuses on advanced solutions shaping payment security - from multi-factor authentication and biometrics to AI-driven fraud detection, Blockchain, and zero-trust architecture. Leading countries such as the United States, the European Union (EU), Singapore, and South Korea are setting standards with innovations like PSD2 regulations, real-time fraud alerts, and facial recognition payments. Drawing on global best practices and local conditions, the article proposes a roadmap for enhancing security, fostering a culture of cybersecurity, and improving digital literacy among citizens. These measures aim to ensure that Vietnam’s financial system grows robustly, becoming a safe and sustainable digital payment center.
Keywords: Payment security, banking cybersecurity, multi-factor authentication, financial fraud, digital transformation, information safety.
Ảnh minh họa (Nguồn: Internet)
1. Giới thiệu
Hãy tưởng tượng một buổi sáng bận rộn. Bạn mở ứng dụng ngân hàng trên điện thoại, nhập mã OTP được gửi qua tin nhắn và chuyển tiền để thanh toán hóa đơn. Chỉ mất vài giây, giao dịch đã hoàn tất. Sự tiện lợi này tưởng chừng đơn giản, nhưng đằng sau nó là cả một hệ thống phức tạp đang hoạt động không ngừng để bảo vệ số tiền và thông tin cá nhân của bạn. Trong kỷ nguyên số, khi mọi thứ từ mua sắm, đầu tư đến chuyển tiền quốc tế đều diễn ra trực tuyến, hệ thống tài chính toàn cầu đang đối mặt với những mối đe dọa chưa từng có.
Quỹ Tiền tệ quốc tế (IMF) gần đây đã gióng lên hồi chuông cảnh báo: Một cuộc tấn công mạng lớn có thể gây ra hiệu ứng domino, làm rung chuyển toàn bộ nền kinh tế. Ngân hàng, nơi lưu giữ khối lượng dữ liệu nhạy cảm khổng lồ và hàng tỉ đô la tài sản, là mục tiêu hàng đầu của tin tặc. Theo thống kê, khoảng 20% các vụ tấn công mạng trên thế giới nhắm vào ngành tài chính, và các ngân hàng thương mại chịu thiệt hại nặng nề nhất. Một sự cố nghiêm trọng có thể làm xói mòn niềm tin của công chúng, gây gián đoạn các dịch vụ thanh toán thiết yếu, và tạo ra hiệu ứng lây lan dây chuyền.
Hãy nhìn vào vụ việc tại Ngân hàng Trung ương Lesotho năm 2022. Một cuộc tấn công mạng đã khiến hệ thống thanh toán quốc gia của nước này tê liệt hoàn toàn. Các ngân hàng không thể xử lý giao dịch trong nhiều ngày, gây hỗn loạn và thiệt hại lớn. Ngay cả ở các thị trường phát triển như Mỹ hay châu Âu, các nhà quản lý cũng lo ngại về kịch bản “rút tiền hàng loạt do sự cố mạng”. Nếu khách hàng mất niềm tin và đồng loạt rút tiền, hậu quả có thể tương tự như một cuộc khủng hoảng ngân hàng truyền thống, nhưng với tốc độ lan truyền nhanh hơn nhiều trong thời đại số.
Bảo mật thanh toán ngân hàng không chỉ là việc bảo vệ số dư tài khoản của bạn hay lợi nhuận của ngân hàng. Nó là nền tảng để duy trì niềm tin vào toàn bộ hệ thống tài chính số. Một hệ thống thanh toán an toàn sẽ khuyến khích người dân chuyển sang ví điện tử, thẻ ngân hàng, hay ứng dụng Mobile Banking, từ đó thúc đẩy nền kinh tế số phát triển bền vững. Ngược lại, nếu các vụ lừa đảo hay tấn công mạng xảy ra liên tiếp, người dùng sẽ do dự, thậm chí quay lưng với các dịch vụ số.
Nhận thức được tầm quan trọng này, nhiều quốc gia đã hành động quyết liệt. Họ ban hành các chính sách chặt chẽ, đồng thời triển khai những công nghệ tiên tiến nhất để bảo vệ dòng tiền điện tử. Từ AI giúp phát hiện gian lận trong tích tắc, đến Blockchain đảm bảo giao dịch minh bạch, các ngân hàng trên thế giới đang chạy đua để đi trước tội phạm mạng một bước. Tuy nhiên chính những công nghệ này cũng bị tội phạm lợi dụng. Các chiêu thức lừa đảo như giả giọng nói, deepfake video, hay gửi tin nhắn giả mạo ngân hàng đang ngày càng tinh vi, buộc các ngân hàng phải liên tục đổi mới chiến lược bảo mật.
2. Các mô hình bảo mật thanh toán hiện nay
2.1. Bảo mật nhiều lớp và kiến trúc an toàn
Hãy hình dung hệ thống bảo mật của một ngân hàng như một lâu đài với nhiều lớp tường thành. Mỗi lớp là một rào cản, và nếu kẻ tấn công vượt qua được một lớp, họ vẫn phải đối mặt với những lớp khác. Đây chính là nguyên tắc “phòng thủ nhiều lớp” mà các ngân hàng áp dụng để bảo vệ hệ thống thanh toán.
Mọi giao dịch bạn thực hiện, dù là chuyển tiền qua ứng dụng hay thanh toán online đều được mã hóa đầu cuối, giống như một bức thư được niêm phong kín từ lúc gửi đến khi nhận. Dữ liệu giao dịch được kiểm tra nghiêm ngặt để đảm bảo không bị chỉnh sửa hay đánh cắp. Nếu bạn để ứng dụng ngân hàng mở quá lâu mà không thao tác, hệ thống sẽ tự động ngắt phiên, như một cánh cửa tự khóa để ngăn kẻ gian lợi dụng.
Một số ngân hàng tiên tiến còn đi xa hơn với mô hình zero-trust. Trong mô hình này, không ai, dù là nhân viên ngân hàng hay khách hàng được tự động tin cậy. Mọi truy cập vào hệ thống phải được xác thực liên tục, và quyền truy cập bị giới hạn ở mức tối thiểu. Kết hợp với kỹ thuật phân đoạn mạng (micro-segmentation), hệ thống được chia thành các “khu vực” độc lập. Nếu tin tặc xâm nhập được một khu vực, họ sẽ bị cô lập, không thể lan sang các khu vực khác.
Để tăng cường bảo vệ, các ngân hàng sử dụng hàng loạt công cụ hiện đại: Tường lửa thế hệ mới để ngăn chặn các cuộc tấn công từ bên ngoài; hệ thống phát hiện và ngăn chặn xâm nhập (IDS/IPS) để theo dõi và chặn các hành vi bất thường; giám sát an ninh tập trung (SIEM), hoạt động như một trung tâm điều khiển, thu thập và phân tích dữ liệu để phát hiện mối đe dọa trong thời gian thực.
Những công cụ này giống như một đội bảo vệ tuần tra 24/7, luôn sẵn sàng báo động và hành động khi có dấu hiệu nguy hiểm. Mục tiêu nhằm đảm bảo rằng, dù tin tặc có vượt qua một lớp bảo vệ, vẫn còn nhiều lớp khác để ngăn chúng tiếp cận số tiền hay dữ liệu nhạy cảm của bạn.
2.2. Xác thực người dùng
Con người là trung tâm của mọi giao dịch, nhưng cũng là mắt xích dễ bị tấn công nhất. Hãy nghĩ về lần bạn nhận được tin nhắn giả mạo từ “ngân hàng” yêu cầu cung cấp mật khẩu. Để ngăn chặn những rủi ro như vậy, các ngân hàng đã nâng cấp cách xác minh danh tính khách hàng lên một tầm cao mới.
Xác thực đa yếu tố (MFA) giờ đây là tiêu chuẩn bắt buộc ở nhiều ngân hàng và cổng thanh toán. MFA yêu cầu bạn cung cấp ít nhất hai yếu tố để chứng minh bạn là chính bạn: Mật khẩu hoặc mã PIN, mã OTP gửi qua SMS, ứng dụng, hoặc thiết bị token hay dấu vân tay, khuôn mặt, hoặc giọng nói. Chẳng hạn, khi bạn đăng nhập ứng dụng ngân hàng bằng dấu vân tay và nhận mã OTP để xác nhận chuyển tiền, đó chính là MFA. Sự kết hợp này khiến tin tặc gần như không thể vượt qua, vì dù có mật khẩu của bạn, chúng vẫn cần dấu vân tay hoặc mã OTP.
Tại Việt Nam, Ngân hàng Nhà nước (NHNN) đã phân loại giao dịch thành 4 cấp độ, từ tra cứu thông tin (chỉ cần mật khẩu) đến giao dịch giá trị lớn (yêu cầu OTP nâng cao hoặc chữ ký số theo chuẩn xác thực nhận dạng nhanh trực tuyến - FIDO). Sinh trắc học đang trở thành xu hướng không thể thiếu. Nhiều ngân hàng cho phép bạn đăng nhập bằng khuôn mặt hoặc vân tay, thay vì gõ mật khẩu dài dòng. Điều này không chỉ tiện lợi mà còn an toàn hơn, vì dấu vân tay hay khuôn mặt của bạn là duy nhất.
Ngoài ra, các ngân hàng quản lý quyền truy cập rất chặt chẽ. Với khách hàng doanh nghiệp, một giao dịch phải qua hai bước: Người lập lệnh và người phê duyệt, để tránh gian lận nội bộ. Nếu tài khoản của bạn được đăng nhập từ một thiết bị lạ - chẳng hạn điện thoại mới - hệ thống sẽ gửi ngay thông báo qua SMS hoặc email. Điều này giúp bạn phát hiện kịp thời nếu có kẻ gian đang cố xâm nhập.
Một câu chuyện thực tế: Anh Minh, một khách hàng ở Hà Nội, từng nhận được thông báo đăng nhập từ một thiết bị lạ lúc nửa đêm. Nhờ cảnh báo kịp thời, anh đã khóa tài khoản ngay lập tức, ngăn chặn một vụ hack tiềm năng. Những biện pháp như vậy đang giúp khách hàng cảm thấy an tâm hơn khi sử dụng dịch vụ số.
2.3. AI và học máy chống gian lận
Hãy tưởng tượng một ngân hàng phải xử lý hàng triệu giao dịch mỗi giây, từ chuyển khoản nhỏ lẻ đến các khoản thanh toán quốc tế khổng lồ. Làm sao con người có thể kiểm tra từng giao dịch để tìm dấu hiệu gian lận? Đây là lúc AI và học máy (ML) trở thành “người hùng” thầm lặng.
Các thuật toán ML được huấn luyện để phân tích dữ liệu giao dịch lịch sử, nhận diện những mô hình bất thường. Ví dụ, nếu bạn thường chuyển tiền dưới 5 triệu đồng trong nước, nhưng đột nhiên có một giao dịch 100 triệu đồng đến một tài khoản ở nước ngoài, hệ thống AI sẽ đánh dấu đó là đáng ngờ và có thể tạm khóa giao dịch để xác minh.
Theo một khảo sát năm 2024, 85% nhà quản lý thanh toán trên thế giới đánh giá AI là công cụ hiệu quả nhất để chống gian lận. Tại Việt Nam, NAPAS - đơn vị vận hành hạ tầng thanh toán bán lẻ quốc gia - đã áp dụng AI và Big Data để giám sát rủi ro, phát hiện giao dịch giả mạo, và phòng chống rửa tiền. Khi hệ thống nhận thấy một giao dịch bất thường, nó có thể tự động yêu cầu xác minh bổ sung hoặc tạm khóa tài khoản, giống như một người bảo vệ kiểm tra kỹ lưỡng trước khi mở cổng.
Tuy nhiên, AI cũng đặt ra thách thức. Tội phạm mạng có thể lợi dụng AI để tạo ra các chiêu thức lừa đảo tinh vi hơn, như giả giọng nói của khách hàng để yêu cầu chuyển tiền. Vì vậy, các ngân hàng phải đảm bảo rằng mô hình AI của họ không bị thao túng, đồng thời tuân thủ nghiêm ngặt các quy định về quyền riêng tư khi phân tích dữ liệu khách hàng.
2.4. Blockchain và sổ cái phân tán
Blockchain giống như một cuốn sổ cái kỹ thuật số, nơi mọi giao dịch được ghi lại công khai, minh bạch, và không thể sửa đổi mà không có sự đồng thuận từ toàn mạng. Điều này khiến blockchain trở thành một công cụ đầy tiềm năng cho thanh toán, đặc biệt là trong các giao dịch xuyên biên giới, nơi tốc độ và chi phí là vấn đề lớn.
Một ví dụ, khách hàng muốn chuyển tiền từ Việt Nam sang Nhật Bản. Thay vì mất vài ngày và chịu phí cao qua các ngân hàng trung gian, blockchain cho phép giao dịch hoàn tất trong vài phút với chi phí thấp hơn. Hợp đồng thông minh (smart contract) trên blockchain có thể tự động thực thi các điều kiện thanh toán, như chỉ giải ngân khi người nhận xác nhận, giảm thiểu sai sót và gian lận.
Ngân hàng Thanh toán Quốc tế (BIS) đang thử nghiệm tiền kỹ thuật số (CBDC) dựa trên blockchain, như dự án mBridge cho thanh toán xuyên biên giới. Một số ngân hàng thương mại cũng đang thử nghiệm blockchain để minh bạch hóa giao dịch. Tuy nhiên, blockchain không phải là giải pháp hoàn hảo. Hệ thống tài chính phi tập trung (DeFi) dựa trên blockchain tiềm ẩn rủi ro nếu không được kiểm soát chặt chẽ, như nguy cơ rửa tiền hay trộm cắp tài sản số.
BIS khuyến nghị các ngân hàng tích hợp các biện pháp giám sát vào mã nguồn blockchain, chẳng hạn kiểm soát KYC hoặc giới hạn giao dịch, để ngăn lạm dụng. Một ứng dụng thực tế của Blockchain là “tokenization” trong thanh toán thẻ. Khi khách hàng mua sắm online, thay vì gửi số thẻ thật, hệ thống tạo ra một chuỗi mã (token) đại diện. Người bán chỉ thấy token, không thấy thông tin thẻ, giúp giảm nguy cơ lộ dữ liệu.
Bảo mật thanh toán không chỉ dựa vào công nghệ mà còn cần sự hợp tác và quy trình chặt chẽ. Các ngân hàng trên thế giới tham gia các liên minh như Mạng lưới Thông tin An ninh Tài chính (FS-ISAC) để chia sẻ thông tin về mối đe dọa mới. Ví dụ, nếu một ngân hàng ở châu Âu phát hiện một chiêu thức lừa đảo mới, họ sẽ cảnh báo các ngân hàng khác trên toàn cầu, giúp ngành tài chính phản ứng nhanh chóng trước các chiến dịch tấn công diện rộng.
Ngoài ra, các ngân hàng xây dựng các trung tâm dữ liệu dự phòng và thực hiện diễn tập ứng phó sự cố định kỳ. Điều này đảm bảo rằng, nếu xảy ra tấn công mạng hay lỗi kỹ thuật, hệ thống thanh toán vẫn hoạt động liên tục hoặc được khôi phục nhanh chóng. Quy trình nội bộ cũng được siết chặt: Giao dịch giá trị lớn phải qua nhiều cấp phê duyệt; nhân sự được huấn luyện định kỳ về an ninh thông tin và những vị trí nhạy cảm được kiểm tra kỹ để tránh rủi ro nội gián.
Đối với khách hàng, các ngân hàng bổ sung các lớp xác minh cho những thao tác quan trọng. Ví dụ, khi bạn chuyển một khoản tiền lớn, hệ thống có thể yêu cầu nhập mã OTP và trả lời câu hỏi bảo mật. Những biện pháp này tạo thành một “phòng tuyến đa tầng”, đảm bảo rằng cả ngân hàng và khách hàng đều được bảo vệ trước các mối đe dọa ngày càng phức tạp.
3. Kinh nghiệm của một số quốc gia về bảo mật thanh toán
3.1. Mỹ
Mỹ là trung tâm tài chính số của thế giới, xử lý hàng trăm triệu giao dịch mỗi ngày. Các ngân hàng Mỹ tuân thủ nghiêm ngặt các tiêu chuẩn của Hội đồng Kiểm tra Tài chính Liên bang (FFIEC), đầu tư mạnh vào các giải pháp như MFA, sinh trắc học (như nhận diện giọng nói khi gọi tổng đài), và phân tích hành vi thời gian thực. Hệ thống dịch vụ thanh toán tức thời FedNow (thuộc Cục Dự trữ liên bang Mỹ - Fed) ra mắt năm 2023, cho phép thanh toán tức thời với các cơ chế chống gian lận tích hợp, giúp giảm rủi ro trong môi trường giao dịch nhanh.
Tuy nhiên, Mỹ vẫn đối mặt với làn sóng gian lận nghiêm trọng. Theo Hiệp hội Chuyên gia tài chính (AFP), 79% doanh nghiệp Mỹ báo cáo bị tấn công hoặc gian lận thanh toán trong năm 2024. Các chiêu thức phổ biến bao gồm giả mạo email doanh nghiệp (BEC), giả danh lãnh đạo công ty để yêu cầu chuyển tiền, hay séc giả do Mỹ vẫn sử dụng séc rộng rãi. Đáng lo ngại hơn nữa là tỉ lệ thu hồi tiền giảm: Chỉ 22% tổ chức lấy lại được trên 75% số tiền bị mất, so với 41% năm 2023.
Để đối phó, Mỹ đã triển khai nhiều giải pháp đồng bộ như: Phân tích hành vi với các giao dịch qua các phương thức chuyển tiền di động Zelle, ACH, hay wire transfer được giám sát theo thời gian thực để phát hiện hành vi bất thường; quản trị rủi ro cấp cao khi các ngân hàng lớn phải có giám đốc an ninh thông tin (CISO) và báo cáo rủi ro mạng định kỳ trước hội đồng quản trị; kiểm tra sức chịu đựng, Fed và Công ty Bảo hiểm Ký thác Liên bang (FDIC) thực hiện các bài kiểm tra để đánh giá khả năng chống tấn công của ngân hàng; phối hợp với FS-ISAC và các công ty công nghệ tài chính để cảnh báo sớm, Hội đồng Ổn định Tài chính (FSOC) thực hiện giám sát rủi ro công nghệ.
Mỹ chưa từng chứng kiến một cuộc khủng hoảng niềm tin toàn diện, nhưng các vụ tấn công nhỏ lẻ vẫn khiến một số ngân hàng nhỏ đối mặt với hiện tượng rút tiền. Kinh nghiệm của Mỹ cho thấy, ngoài công nghệ, quản trị rủi ro và hợp tác đa bên là yếu tố then chốt.
3.2. EU
EU đi tiên phong về khung pháp lý bảo mật thanh toán. Chỉ thị về dịch vụ thanh toán (PSD2) năm 2018 yêu cầu xác thực khách hàng mạnh (SCA) cho hầu hết giao dịch trực tuyến, đòi hỏi ít nhất hai yếu tố xác thực độc lập. Theo Ngân hàng Trung ương châu Âu (ECB), kết quả là tỉ lệ gian lận thẻ trong Khu vực Kinh tế châu Âu (EEA) năm 2022 chỉ còn 0,03% giá trị giao dịch, trong khi đó các giao dịch không tuân thủ SCA có tỉ lệ gian lận cao gấp 10 lần, đã chứng minh hiệu quả của quy định này.
EU cũng áp dụng hàng loạt biện pháp bổ trợ như: Sử dụng 3-D Secure 2.0 nhằm tăng cường bảo mật cho giao dịch thẻ trực tuyến; sử dụng Thẻ chip EMV nhằm thay thế hoàn toàn thẻ từ, bắt buộc mã PIN tại điểm bán; quản lý gian lận tập trung, các ngân hàng chia sẻ dữ liệu qua cơ sở dữ liệu gian lận chung.
Quy định Bảo vệ dữ liệu chung (GDPR) của EU buộc ngân hàng mã hóa dữ liệu khách hàng và kiểm soát truy cập nội bộ chặt chẽ, tránh rò rỉ thông tin. Hạ tầng thanh toán quan trọng như TARGET2 tuân thủ nghiêm ngặt chuẩn PFMI, được đánh giá độc lập để đảm bảo an toàn và khả năng phục hồi.
Tuy nhiên, EU vẫn đối mặt với loại gian lận mới, như lừa đảo ủy nhiệm thanh toán, khách hàng bị dụ chuyển tiền cho kẻ gian. Một số nước đang cân nhắc cơ chế chia sẻ trách nhiệm bồi hoàn, tương tự Singapore, để giải quyết vấn đề này. EU cũng đang hoàn thiện Chỉ thị Dịch vụ Thanh toán 3 (PSD3) để nâng cao tiêu chuẩn bảo mật, mở rộng sang tiền điện tử.
3.3. Singapore
Singapore là “ngôi sao sáng” ở châu Á về bảo mật thanh toán. Sau các vụ lừa đảo nghiêm trọng năm 2021 - 2022, Cơ quan Tiền tệ Singapore (MAS) và Hiệp hội Ngân hàng Singapore đã thực hiện các biện pháp mạnh như: Loại bỏ link trong SMS/email nhằm ngăn chặn chiêu thức gửi link giả mạo; thiết lập đường dây nóng 24/7; “Kill switch” - cho phép khách hàng tự khóa tài khoản khẩn cấp nếu nghi ngờ bị hack. Từ năm 2023, các ví điện tử lớn phải áp dụng thời gian chờ 12 giờ khi đăng nhập thiết bị mới, xác nhận bổ sung cho giao dịch lớn (trên 1.000 SGD), hạn mức giao dịch mặc định, cảnh báo tức thời cho mọi giao dịch và đăng nhập lạ.
Điểm sáng của Singapore là Khung Chia sẻ trách nhiệm (SRF) được đề xuất năm 2024. Nếu xảy ra lừa đảo phishing, trách nhiệm bồi hoàn được phân bổ dựa trên lỗi của ngân hàng, nhà mạng hay khách hàng. Nếu ngân hàng không tuân thủ biện pháp chống lừa đảo, họ phải bồi thường toàn bộ. Cách tiếp cận này thúc đẩy tất cả các bên nâng cao phòng ngừa, khiến Singapore trở thành hình mẫu trong khu vực.
4. Thực trạng bảo mật thanh toán tại Việt Nam
Sự bùng nổ thanh toán số
Thanh toán không dùng tiền mặt ở Việt Nam đang tăng trưởng với tốc độ đáng kinh ngạc. Theo NHNN, đến cuối năm 2024, tổng thanh toán không dùng tiền mặt (TTKDTM) đạt 17,7 tỉ giao dịch với giá trị 295 triệu tỉ đồng, gấp 26 lần GDP của Việt Nam. Tỉ lệ người trưởng thành có tài khoản thanh toán đạt 87%, vượt mục tiêu 80% vào năm 20251. Trong 5 tháng đầu năm 2025, giao dịch TTKDTM tăng 45,44% về số lượng và 25,21% về giá trị; trong đó, qua kênh internet tăng 47,09% về số lượng và 34,46% về giá trị; qua kênh điện thoại di động tăng 39,9% về số lượng và 23,22% về giá trị; giao dịch qua QR Code tăng 76,62% về số lượng và 179,14% về giá trị; giao dịch qua hệ thống thanh toán điện tử liên ngân hàng tăng 9,99% về số lượng và 39,85% về giá trị so với cùng kỳ năm 2024. Trong khi đó, giao dịch qua ATM tiếp tục giảm 15,33% về số lượng và giảm 4,25% về giá trị, cho thấy sự dịch chuyển tích cực từ giảm sử dụng tiền mặt đến tăng cường sử dụng các phương tiện, dịch vụ TTKDTM trong nền kinh tế2.
Tuy nhiên đi kèm với sự chuyển dịch này bao gồm không ít rủi ro. Năm 2024, Bộ Công an đã ghi nhận hơn 6.000 vụ lừa đảo trực tuyến, gây thiệt hại 12.000 tỉ đồng. Các chiêu thức phổ biến bao gồm: Giả mạo nhân viên ngân hàng gọi điện yêu cầu cung cấp OTP; gửi tin nhắn chứa link giả mạo dẫn đến website lừa đảo; dụ cài ứng dụng giả chứa mã độc để đánh cắp thông tin... Thông qua các vụ việc lừa đảo trực tuyến cho thấy, điểm yếu lớn nhất chính là “yếu tố con người”, trong đó chỉ khoảng 45,7% nạn nhân báo cáo vụ việc, khiến việc truy bắt tội phạm và thu hồi tiền gặp khó khăn.
Những năm gần đây, Việt Nam đã có những bước tiến lớn trong việc xây dựng khung pháp lý bảo mật. Năm 2023 - 2024, Chính phủ và NHNN đã ban hành nhiều văn bản quan trọng quy định về ứng dụng công nghệ và an toàn hệ thống, bảo mật thông tin, điển hình như: Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 của Chính phủ về bảo vệ dữ liệu cá nhân; Nghị định số 52/2024/NĐ-CP ngày 15/5/2024 của Chính phủ quy định về TTKDTM; Thông tư số 17/2024/TT-NHNN ngày 28/6/2024 của Thống đốc NHNN quy định việc mở và sử dụng tài khoản thanh toán tại tổ chức cung ứng dịch vụ thanh toán; Thông tư số 40/2024/TT-NHNN ngày 17/7/2024 của Thống đốc NHNN quy định về hoạt động cung ứng dịch vụ trung gian thanh toán; Thông tư số 50/2024/TT-NHNN ngày 31/10/2024 của Thống đốc NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng... Những quy định này mặc dù đã tiệm cận với chuẩn quốc tế, nhưng thách thức đặt ra là triển khai đồng bộ trên hàng chục triệu tài khoản, buộc các ngân hàng phải nâng cấp hệ thống, tích hợp với cơ sở dữ liệu dân cư, và hỗ trợ khách hàng cập nhật thông tin đúng hạn.
Về năng lực kỹ thuật
Hầu hết các ngân hàng ở Việt Nam đã chú trọng và đầu tư đáng kể vào công tác bảo mật và an toàn thông tin, bảo vệ dữ liệu khách hàng bằng các biện pháp như: Tường lửa và IDS/IPS nhằm ngăn chặn tấn công từ bên ngoài; mã hóa TLS để bảo vệ dữ liệu giao dịch; chuẩn PCI-DSS để đảm bảo an toàn dữ liệu thẻ, sử dụng AI và Big Data để phát hiện gian lận.
Tỉ lệ thẻ chip nội địa vượt 90%, giảm nguy cơ sao chép. Nhiều ngân hàng lớn có trung tâm giám sát an ninh (SOC) hoạt động 24/7. Tuy nhiên, một số ngân hàng nhỏ còn hạn chế về nguồn lực. Bên cạnh đó, việc tích hợp với cơ sở dữ liệu dân cư đòi hỏi hạ tầng kết nối bảo mật cao, cũng như cần có đội ngũ chuyên gia an ninh mạng am hiểu chuyên sâu về công nghệ cao.
5. Một số đề xuất mô hình bảo mật thanh toán cho Việt Nam trong thời gian tới
Từ phân tích các xu hướng quốc tế và thực trạng trong nước, có thể rút ra nhiều bài học quý giá nhằm hoàn thiện mô hình bảo mật thanh toán ngân hàng tại Việt Nam trong thời gian tới.
Thứ nhất, hoàn thiện hành lang pháp lý và tiêu chuẩn quản lý. NHNN cần đánh giá kết quả việc thực thi các văn bản, chính sách đã ban hành để điều chỉnh kịp thời nếu xuất hiện lỗ hổng hoặc loại gian lận mới. Khi các hình thức thanh toán mới xuất hiện, cơ quan quản lý cần sớm ban hành quy định về kết nối API an toàn, chia sẻ dữ liệu khách hàng an toàn, tránh nguy cơ rò rỉ từ bên thứ ba. Xem xét xây dựng Chiến lược quốc gia về an ninh mạng tài chính. Việt Nam có Luật An ninh mạng, nhưng một chiến lược riêng cho lĩnh vực ngân hàng - tài chính sẽ giúp xác định rõ các mục tiêu, lộ trình và trách nhiệm từng bên trong việc bảo vệ hệ thống thanh toán. Đây cũng là cơ sở huy động nguồn lực đầu tư và hợp tác quốc tế tốt hơn.
Bên cạnh đó, NHNN cần tăng cường công tác thanh tra, giám sát việc tuân thủ các quy định bảo mật. Thường xuyên kiểm tra an toàn thông tin tại các TCTD, yêu cầu báo cáo sự cố định kỳ. Những ngân hàng yếu kém về bảo mật cần bị nhắc nhở hoặc áp dụng chế tài để đảm bảo mặt bằng chung. Xây dựng cơ chế xử lý và chia sẻ trách nhiệm khi xảy ra gian lận. Có thể tham khảo Singapore về khung chia sẻ trách nhiệm (SRF) giữa ngân hàng, viễn thông và khách hàng trong các vụ lừa đảo. Một mô hình thí điểm có thể được triển khai với sự tham gia của Hiệp hội Ngân hàng, các nhà mạng lớn và Bộ Công an để thống nhất nguyên tắc bồi hoàn công bằng, tránh tình trạng đùn đẩy trách nhiệm hoặc khách hàng chịu thiệt hoàn toàn. Điều này sẽ thúc đẩy các bên cùng nâng cao biện pháp phòng ngừa, đồng thời củng cố niềm tin người dân vào hệ thống thanh toán số.
Thứ hai, ưu tiên các công nghệ bảo mật trọng tâm. Đối mặt với tội phạm sử dụng công nghệ cao, đầu tư công nghệ bảo mật tiên tiến là giải pháp then chốt. Trong giai đoạn tới, ngành Ngân hàng Việt Nam cần tập trung vào một số công nghệ trọng điểm sau: (i) AI và phân tích Big Data: AI/ML giúp phát hiện gian lận hiệu quả, do đó các ngân hàng nên tăng cường ứng dụng AI trong hệ thống FDS, có thể thông qua các nền tảng dùng chung hoặc đối tác Fintech. NHNN có thể hỗ trợ bằng cách xây dựng một trung tâm dữ liệu gian lận tập trung (thu thập dữ liệu giao dịch nghi ngờ từ các ngân hàng) để “huấn luyện” mô hình AI, từ đó cảnh báo sớm xu hướng gian lận liên ngân hàng. (ii) Xác thực không mật khẩu và chuẩn FIDO2, đây là xu hướng toàn cầu nhằm giúp loại bỏ sự phụ thuộc vào mật khẩu và nâng cao tính bảo mật của người dùng. Việt Nam đã nhắc tới FIDO trong quy định loại D, nhưng cần thúc đẩy triển khai thực tế. Các ngân hàng có thể cung cấp thiết bị khóa bảo mật cho khách hàng VIP hoặc ứng dụng xác thực FIDO qua smartphone để khách hàng không cần ghi nhớ mật khẩu, dễ bị lộ. (iii) Tiếp tục mở rộng sử dụng sinh trắc nhưng đi kèm biện pháp bảo vệ chống giả mạo, Bộ Công an và ngành Ngân hàng nên phối hợp cập nhật thuật toán đối chiếu sinh trắc. (iv) Triển khai rộng các giải pháp mã hóa dữ liệu nhạy cảm trong cơ sở dữ liệu, và khi chia sẻ dữ liệu thì áp dụng kỹ thuật mã hóa đồng bộ hoặc đa bên để vừa khai thác được Big Data, vừa bảo mật. (v) Áp dụng kiến trúc zero-trust và bảo mật đám mây, với xu hướng dần chuyển dịch lên điện toán đám mây, các ngân hàng cần áp dụng triết lý zero-trust, liên tục xác thực và phân quyền khi nhân viên truy cập tài nguyên nội bộ, sử dụng giải pháp CASB (Cloud Access Security Broker) để giám sát truy cập đám mây. Việc này giảm thiểu nguy cơ rò rỉ dữ liệu thanh toán từ nội bộ hoặc qua bên thứ ba.
Cuối cùng, ứng dụng Blockchain cho thanh toán liên ngân hàng, có thể nghiên cứu thí điểm sử dụng công nghệ sổ cái phân tán trong một số ứng dụng hẹp, như kết nối thanh toán xuyên biên giới khu vực ASEAN bằng QR code hoặc stablecoin, nhưng cần đi đôi với kiểm soát chặt chẽ. Ưu tiên tính an toàn, minh bạch và khả năng kiểm soát của cơ quan quản lý khi ứng dụng Blockchain, tránh chạy theo trào lưu mà bỏ qua rủi ro.
Thứ ba, tăng cường quản trị rủi ro và hợp tác đa ngành. Kinh nghiệm quốc tế cho thấy bảo mật tài chính không chỉ là vấn đề kỹ thuật, mà còn đòi hỏi quản trị và phối hợp đồng bộ. Các ngân hàng cần nâng cao văn hóa an toàn thông tin từ cấp lãnh đạo xuống nhân viên. Hội đồng quản trị và ban điều hành ngân hàng nên đưa an ninh mạng thành một nội dung trong chiến lược kinh doanh, gắn trách nhiệm cụ thể.
Bên cạnh đó, các ngân hàng cần xây dựng quy trình ứng phó và phục hồi khi xảy ra sự cố. Thường xuyên diễn tập tình huống tấn công mạng, có kế hoạch duy trì hoạt động liên tục cho hệ thống thanh toán quan trọng. Về phía nhà nước, nên thành lập một đầu mối điều phối xử lý sự cố tài chính để kịp thời hỗ trợ nếu một sự cố lớn xảy ra, giảm thiểu tác động lan truyền.
Đặc biệt, cần đẩy mạnh hợp tác công - tư và quốc tế. Tội phạm mạng mang tính xuyên biên giới, do đó Việt Nam cần hợp tác với các tổ chức toàn cầu như FS-ISAC, Interpol… để cập nhật thông tin mối đe dọa. NHNN có thể tham gia các nhóm công tác của BIS, IMF về an ninh mạng tài chính để học hỏi kinh nghiệm và tranh thủ hỗ trợ kỹ thuật. Trong nước, NHNN nên làm đầu mối kết nối với Bộ Công an, Bộ Khoa học và Công nghệ, các doanh nghiệp viễn thông trong chia sẻ thông tin cảnh báo sớm. Ngoài ra, ngành Ngân hàng có thể hợp tác với các mạng xã hội để gỡ bỏ nhanh các trang giả mạo thương hiệu ngân hàng lừa người dùng.
Thứ tư, nâng cao năng lực số cho ngân hàng và người dùng. Nhận thức người dùng là “tuyến phòng thủ cuối cùng” nhưng cũng là điểm cần cải thiện nhất ở Việt Nam. Yếu tố con người quyết định thành bại của mọi chiến lược bảo mật. Về phía các ngân hàng, như đã đề cập, cần chú trọng phát triển nguồn nhân lực công nghệ cao. Mỗi ngân hàng nên có đội ngũ chuyên trách về an ninh thông tin đủ mạnh, được đào tạo liên tục về các kỹ năng mới. NHNN có thể hỗ trợ bằng cách tổ chức các khóa huấn luyện chung, mời chuyên gia quốc tế giảng dạy hoặc gửi nhân sự ngân hàng tham gia các chương trình đào tạo của IMF, WB về an ninh mạng tài chính. Bên cạnh đó, tạo cơ chế thu hút nhân tài an ninh mạng vào ngành Ngân hàng vì sự thiếu hụt chuyên gia hiện nay là vấn đề toàn cầu.
Các ngân hàng cần phối hợp với các tổ chức liên quan triển khai các chiến dịch truyền thông nâng cao nhận thức người dùng trên diện rộng. Có thể tận dụng "Ngày không tiền mặt" để lồng ghép chủ đề an toàn thanh toán, tổ chức tuần lễ hoặc tháng sự kiện tuyên truyền khắp cả nước. Nội dung giáo dục nên cụ thể, sinh động, dễ hiểu, tập trung vào các kỹ năng thực hành: Cách nhận biết tin nhắn/email lừa đảo, xác thực website chính thống, bảo mật thông tin thẻ khi mua sắm online, không chia sẻ mã OTP…
Ngoài ra, cần phổ cập kiến thức đến từng nhóm đối tượng như học sinh, sinh viên, người lao động phổ thông, người cao tuổi. Một sáng kiến có thể xem xét là tích hợp các bài kiểm tra kiến thức an toàn ngay trên ứng dụng ngân hàng. Bên cạnh việc đào tạo người dùng, ngân hàng cũng nên cung cấp công cụ để người dùng tự bảo vệ tốt hơn. Chẳng hạn, phát triển tính năng chủ động cài đặt hạn mức, khóa/mở tính năng thanh toán trên ứng dụng, khách hàng có thể khóa chức năng thanh toán quốc tế trên thẻ khi không dùng, đặt hạn mức chi tiêu ngày… để giảm nguy cơ mất nhiều tiền nếu lộ thông tin thẻ. Nhiều ngân hàng Việt Nam đã có tính năng tương tự nhưng chưa nhiều người biết; cần thúc đẩy để khách hàng đồng hành cùng ngân hàng trong bảo vệ tài khoản của chính họ.
Nhìn chung, trong bối cảnh môi trường số sẽ còn nhiều biến động với các xu hướng mới (từ metaverse, IoT thanh toán đến tiền kỹ thuật số), do đó mô hình bảo mật phải liên tục cập nhật và tiến hóa. Sự kết hợp giữa chính sách mạnh mẽ, công nghệ tiên tiến, quản trị tốt và ý thức của người dùng sẽ tạo thành “tấm khiên 4 lớp” bảo vệ hệ thống tài chính số quốc gia. Đây không chỉ là nhiệm vụ của riêng ngành Ngân hàng, mà cần sự chung tay của toàn xã hội để vừa phát triển thanh toán số, tạo thuận lợi cho người dân, vừa đảm bảo an ninh tài chính, giữ vững ổn định kinh tế vĩ mô.
6. Kết luận
Bảo mật trong thanh toán ngân hàng là nền tảng không thể tách rời của quá trình chuyển đổi số tài chính. Phân tích trên cho thấy bức tranh đa chiều, cơ hội mở ra từ công nghệ mới đi kèm thách thức lớn về an ninh. Toàn cầu đã chứng kiến những thiệt hại hàng chục tỉ USD do gian lận, tội phạm mạng gây ra, nhưng cũng đồng thời đạt được những tiến bộ quan trọng nhờ áp dụng các mô hình bảo mật hiện đại. Những quốc gia phát triển như Mỹ, EU nhấn mạnh vai trò của khuôn khổ pháp lý và hệ thống giám sát, hợp tác liên ngành. Các nước tiên tiến châu Á như Singapore, Hàn Quốc lại cho thấy tính hiệu quả của các sáng kiến sáng tạo khi được hỗ trợ bởi chính sách đúng đắn và nhận thức cao của xã hội. Tựu trung, kinh nghiệm quốc tế khẳng định, bảo mật thanh toán cần cách tiếp cận tổng thể, kết hợp công nghệ, con người và quy định pháp lý.
Đối chiếu vào Việt Nam, có thể nhận thấy sự quyết tâm mạnh mẽ của các nhà quản lý trong việc nâng cao an toàn hệ thống thanh toán. Chưa bao giờ hành lang pháp lý về bảo mật ngân hàng được hoàn thiện toàn diện như hiện nay với hàng loạt quy định cụ thể từ Luật, Nghị định đến Thông tư... Các ngân hàng cũng đang trong quá trình đầu tư nâng cấp công nghệ, áp dụng tiêu chuẩn mới để đáp ứng yêu cầu của NHNN. Bên cạnh đó, ý thức của cộng đồng và truyền thông về hiểm họa lừa đảo tài chính cũng đã được nâng lên rõ rệt. Tuy nhiên, chặng đường phía trước còn dài. Tội phạm mạng không ngừng thay đổi thủ đoạn, sẽ tiếp tục thử thách hệ thống phòng thủ của chúng ta. Vì vậy, các giải pháp đề ra cần được triển khai đồng bộ và liên tục cập nhật. Chúng ta nên lấy mục tiêu “vừa phát triển thanh toán số, vừa đảm bảo an toàn hệ thống” làm kim chỉ nam cho mọi chiến lược và hành động trong lĩnh vực này.
Bảo mật thanh toán ngân hàng vừa là thách thức vừa là cơ hội cho Việt Nam. Thách thức vì nó đòi hỏi đầu tư nguồn lực, thay đổi tư duy quản trị và nỗ lực chung của toàn hệ thống. Cơ hội vì nếu làm tốt, Việt Nam có thể vừa phát triển dịch vụ tài chính số hiện đại, vừa giữ vững an ninh tài chính, trở thành điểm sáng về chuyển đổi số an toàn trong khu vực. Với sự quan tâm chỉ đạo sát sao của Chính phủ và NHNN, cùng sự vào cuộc tích cực của các ngân hàng, doanh nghiệp công nghệ và người dùng, chúng ta hoàn toàn có cơ sở để tin tưởng rằng, mục tiêu xây dựng hệ thống thanh toán số an toàn, tiện ích, đáng tin cậy sẽ hoàn thành trong những năm tới, góp phần thúc đẩy kinh tế - xã hội phát triển trong kỷ nguyên số hóa.
1 https://thoibaonganhang.vn/ngan-hang-va-thanh-toan-so-cau-noi-chuyen-doi-so-quoc-gia-166361.html
2 Trích dẫn Báo cáo Kết quả hoạt động ngân hàng 6 tháng đầu năm và nhiệm vụ, giải pháp 6 tháng cuối năm 2025 của Ngân hàng Nhà nước Việt Nam
Tài liệu tham khảo:
1. Tạp chí Ngân hàng, https://tapchinganhang.gov.vn/dau-an-cong-nghe-ngan-hang-nam-2024-an-ninh-an-toan-trong-cung-cap-va-su-dung-dich-vu-ngan-hang-tren-khong-gian-mang-15235.html
2. Thư viện pháp luật, https://thuvienphapluat.vn/phap-luat-doanh-nghiep/bai-viet/04-cap-do-bao-mat-giao-dich-thanh-toan-doi-voi-khach-hang-la-to-chuc-tu-01-7-2024-8741.html
3. Ngân hàng Nhà nước Việt Nam, Quyết định số 2345/QĐ-NHNN ngày 18/12/2023 về triển khai các giải pháp an toàn, bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng.
4. Ngân hàng Nhà nước Việt Nam, Thông tư số 17/2024/TT-NHNN ngày 28/6/2024 quy định mở và sử dụng tài khoản thanh toán tại tổ chức cung ứng dịch vụ thanh toán.
5. Ngân hàng Nhà nước Việt Nam, Thông tư số 40/2024/TT-NHNN ngày 17/7/2024 quy định về hoạt động cung ứng dịch vụ trung gian thanh toán.
6. Ngân hàng Nhà nước Việt Nam, Thông tư số 50/2024/TT-NHNN ngày 31/10/2024 quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng.
7. Rising Cyber Threats Pose Serious Concerns for Financial Stability. https://www.imf.org/en/Blogs/Articles/2024/04/09/rising-cyber-threats-pose-serious-concerns-for-financial-stability
8. Cyber Risk: A Growing Concern for Macrofinancial Stability. Global Financial Stability Report, IMF April 2024, Chapter 3. https://www.imf.org/en/Blogs/Articles/2024/04/09/rising-cyber-threats-pose-serious-concerns-for-financial-stability
9. Joint Report on Payment Fraud. European Central Bank Press Release, 1 Aug 2024. https://www.ecb.europa.eu/press/pr/date/2024/html/ecb.pr240801~f21cc4a009.en.html
10. Working together to ensure financial integrity. Bài phát biểu của Giám đốc BIS London Hub (27/3/2025). https://www.bis.org/speeches/sp250327.htm
11. BIS flags growing financial stability risks as DeFi and crypto reach "critical mass". Hogan Lovells Payments Newsletter May 2025. https://www.hoganlovells.com/en/publications/the-payments-newsletter-including-digital-assets-blockchain-may-2025
12. 2025 AFP Payments Fraud and Control Survey Report. https://www.financialprofessionals.org/training-resources/resources/survey-research-economic-data/details/payments-fraud
13. Consultation on Shared Responsibility Framework for Phishing Scams. Allen & Overy summary, June 2024. https://www.aoshearman.com/en/insights/ao-shearman-on-fintech-and-digital-assets/combatting-payment-account-fraud-latest-regulatory-developments-in-singapore
14. Circular on Anti-Scam Measures for E-Wallets. Morgan Lewis, Nov 2024. https://www.morganlewis.com/pubs/2024/11/mas-issues-circular-on-anti-scam-measures-for-major-payment-institutions-that-provide-e-wallets
15. South Korea embraces facial recognition for retail payments. http://www.biometricupdate.com/202508/south-korea-embraces-facial-recognition-for-retail-payments
16. NAPAS: gia tăng trải nghiệm khách hàng, đa dạng hóa hệ sinh thái thanh toán không dùng tiền mặt. https://sbv.gov.vn/
17. Hơn 6.000 vụ lừa đảo trực tuyến gây thiệt hại hơn 12.000 tỉ đồng – VTV
18. Một số tài liệu tham khảo khác.
Đại Hùng
NHNN
