Đảm bảo an toàn hệ sinh thái số: Bảo vệ khách hàng sử dụng dịch vụ ngân hàng trên không gian mạng
| Ảnh minh họa (Nguồn: Internet) |
Cùng với sự phát triển mạnh mẽ của công nghệ số và trí tuệ nhân tạo (AI), các loại tội phạm sử dụng công nghệ cao cũng ngày càng gia tăng cả về quy mô, mức độ tinh vi và tính chất nguy hiểm. Những thủ đoạn mới liên tục xuất hiện, đặc biệt là việc lợi dụng AI, Deepfake và phần mềm độc hại để chiếm đoạt tài sản, đặt ra yêu cầu cấp thiết đối với công tác bảo đảm an ninh, an toàn trong hoạt động ngân hàng và bảo vệ người sử dụng.
Chiêu trò sử dụng công nghệ cao để trục lợi
Hành vi phạm tội này có tính ẩn danh cao, mang tính phi biên giới và lan truyền nhanh, với các phương thức phổ biến như: Ứng dụng AI và công nghệ Deepfake để sao chép khuôn mặt, giọng nói của người thân nhằm thực hiện các cuộc gọi vay tiền trực tuyến; giả mạo cơ quan nhà nước, doanh nghiệp lớn, tạo lập website, ứng dụng giả mạo; dẫn dụ đầu tư tài chính và việc làm ảo; phát tán mã độc (Malware); vượt qua các lớp bảo mật sinh trắc học bằng cách sử dụng các công cụ kỹ thuật tinh vi để qua mặt hệ thống quét khuôn mặt hoặc vân tay của ngân hàng trực tuyến.
Ngày 26/6/2026, Công an tỉnh Thanh Hóa đã ra quyết định khởi tố bị can, bắt tạm giam 08 đối tượng liên quan đến chuyên án mua bán trái phép thông tin tài khoản ngân hàng và sử dụng công nghệ cao nhằm trục lợi. Theo cơ quan Công an, các đối tượng đã móc nối với nhiều đối tượng tại các tỉnh, thành như Ninh Bình, Sơn La, Bắc Ninh, Hà Nội và Thành phố Hồ Chí Minh để thu thập, tàng trữ và mua bán trái phép số lượng lớn thông tin tài khoản ngân hàng. Để vượt qua hệ thống bảo mật nhiều lớp của các ngân hàng, nhóm này tìm kiếm và sử dụng phần mềm có chức năng điều hướng, chiếm quyền điều khiển thiết bị, qua đó can thiệp trực tiếp vào camera điện thoại của bị hại nhằm vượt qua bước xác thực sinh trắc học.
Cụ thể, khi hệ thống ngân hàng yêu cầu quét khuôn mặt, phần mềm sẽ chặn camera thật và thay thế bằng việc truy cập vào kho ảnh trên thiết bị, lựa chọn ảnh chân dung có sẵn của chủ tài khoản để đưa vào hệ thống xác thực. Với thủ đoạn này, các đối tượng đã qua mặt lớp bảo mật sinh trắc học, sau đó sử dụng các tài khoản “rác” để phục vụ các hoạt động phạm tội khác như đánh bạc, rửa tiền, chạy quảng cáo bẩn. Ngoài ra, nhóm đối tượng còn bán và cho thuê nhiều tài khoản ngân hàng kèm theo phần mềm vượt sinh trắc học cho mạng lưới chân rết tại nhiều tỉnh, thành trên cả nước nhằm thu lợi bất chính.
Trước đó, ngày 06/6/2026, Công an Thành phố Hà Nội đã phát đi cảnh báo về nguy cơ lộ, lọt dữ liệu cá nhân và tài khoản ngân hàng khi giao dịch trên môi trường mạng. Cụ thể, thời gian gần đây, Phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Công an Thành phố Hà Nội) tiếp nhận thông tin cho thấy khách hàng của một số tổ chức tín dụng (TCTD) trên địa bàn bị mất quyền sử dụng dịch vụ viễn thông của các nhà mạng mà không rõ nguyên nhân, dẫn đến việc bị chiếm đoạt tiền trong tài khoản ngân hàng. Trước tình hình đó, Công an Thành phố Hà Nội đã nhanh chóng điều tra, triệt phá và bắt giữ 05 đối tượng có hành vi sản xuất, mua bán, trao đổi phần mềm độc hại có khả năng vượt qua hệ thống xác thực sinh trắc học của một số TCTD.
Cũng trong tháng 6/2026, Công an tỉnh Lai Châu đã ghi nhận sự xuất hiện của các thiết bị di động được tùy chỉnh, cài đặt công cụ hỗ trợ vượt qua lớp xác thực sinh trắc học khuôn mặt trên ứng dụng ngân hàng điện tử. Theo cơ quan chức năng, các thiết bị này có khả năng vượt qua hoặc hỗ trợ vượt qua cơ chế xác thực khuôn mặt trên ứng dụng của nhiều ngân hàng tại Việt Nam.
Việc thủ đoạn này xuất hiện đồng thời tại Hà Nội, Thanh Hóa và Lai Châu trong thời gian ngắn cho thấy đây không còn là hoạt động đơn lẻ của một nhóm đối tượng, mà đã hình thành một “thị trường ngầm” với sự tham gia của người mua, người bán và các đối tượng môi giới tại nhiều địa bàn khác nhau.
Trước đó, vào tháng 5/2025, Công an tỉnh Thái Bình đã triệt phá một băng nhóm gồm 14 đối tượng bị cáo buộc rửa khoảng 1.000 tỉ đồng. Nhóm này sử dụng dữ liệu sinh trắc học khuôn mặt do AI tạo ra để vượt qua hệ thống nhận dạng khuôn mặt của các ngân hàng trong giai đoạn từ cuối năm 2024 đến tháng 4/2025.
An ninh, bảo mật là nhiệm vụ quan trọng, thường xuyên của ngành Ngân hàng
Về phía ngành Ngân hàng, công tác bảo đảm an ninh, an toàn thông tin, bảo mật tài khoản và dữ liệu khách hàng luôn được xác định là nhiệm vụ trọng tâm, xuyên suốt. Đây không chỉ là yêu cầu nhằm duy trì sự vận hành an toàn, ổn định của hệ thống tài chính - ngân hàng, mà còn là yếu tố cốt lõi để bảo vệ quyền và lợi ích hợp pháp của khách hàng trong môi trường số.
Trong bối cảnh chuyển đổi số và sự phát triển mạnh mẽ của AI, “niềm tin số” trong lĩnh vực tài chính ngày càng trở thành một dạng “hạ tầng chiến lược”. Yếu tố này không chỉ quyết định mức độ chấp nhận của người dùng đối với các dịch vụ ngân hàng số, mà còn tác động trực tiếp đến khả năng mở rộng, đổi mới sáng tạo và thậm chí là sự tồn tại của các tổ chức tài chính trong kỷ nguyên số.
Về phía Ngân hàng Nhà nước Việt Nam (NHNN), khuôn khổ pháp lý về bảo đảm an ninh, an toàn trong hoạt động thanh toán và cung ứng dịch vụ ngân hàng trên không gian mạng đã không ngừng được hoàn thiện. NHNN đã ban hành nhiều thông tư điều chỉnh toàn diện các lĩnh vực trọng yếu, bao gồm: Hoạt động đại lý thanh toán; quản lý, vận hành và sử dụng Hệ thống thanh toán điện tử liên ngân hàng quốc gia; cung ứng dịch vụ thanh toán không dùng tiền mặt; mở và sử dụng tài khoản thanh toán tại các TCTD; hoạt động thẻ ngân hàng; dịch vụ trung gian thanh toán; giám sát các hệ thống thanh toán quan trọng; cũng như cấp phép tham gia các hệ thống thanh toán quốc tế của ngân hàng và chi nhánh ngân hàng nước ngoài.
Thời gian gần đây, NHNN đã hoàn thiện khuôn khổ pháp lý nhằm tăng cường bảo đảm an toàn, bảo mật trong hoạt động thanh toán điện tử và phòng ngừa các hành vi gian lận, lừa đảo trên môi trường số. Cụ thể, theo Thông tư số 17/2024/TT-NHNN ngày 28/6/2024 của Thống đốc NHNN quy định về việc mở và sử dụng tài khoản thanh toán, tổ chức cung ứng dịch vụ thanh toán chỉ được cho phép khách hàng thực hiện giao dịch rút tiền, thanh toán bằng phương tiện điện tử sau khi đã hoàn thành việc đối chiếu, xác thực thông tin giấy tờ tùy thân với dữ liệu sinh trắc học của chính chủ tài khoản hoặc người đại diện hợp pháp theo quy định. Đồng thời, Thông tư cũng quy định việc gặp mặt trực tiếp kết hợp xác thực sinh trắc học khi mở tài khoản hoặc thay đổi thông tin trong một số trường hợp nhằm nâng cao mức độ xác thực danh tính khách hàng và hạn chế tình trạng sử dụng tài khoản không chính chủ.
Bên cạnh đó, nhằm tăng cường an toàn đối với các giao dịch thanh toán trực tuyến, NHNN đã ban hành Quyết định số 2345/QĐ-NHNN ngày 18/12/2023 về việc triển khai các giải pháp an toàn, bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng, đồng thời tiếp tục hoàn thiện quy định thông qua Thông tư số 50/2024/TT-NHNN ngày 31/10/2024 quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng và các văn bản hướng dẫn liên quan. Theo đó, việc xác thực bằng dữ liệu sinh trắc học được áp dụng bắt buộc đối với các giao dịch trực tuyến có giá trị lớn hoặc tiềm ẩn rủi ro cao. Đối với khách hàng cá nhân, yêu cầu xác thực sinh trắc học được áp dụng khi giá trị giao dịch vượt 10 triệu đồng/lần hoặc tổng giá trị giao dịch vượt 20 triệu đồng/ngày, đồng thời áp dụng trong các trường hợp đăng nhập lần đầu trên thiết bị mới, thay đổi thiết bị thực hiện giao dịch hoặc thay đổi các thông tin bảo mật quan trọng. Đối với khách hàng tổ chức, việc xác thực được thực hiện theo các yêu cầu về an toàn, bảo mật đối với từng loại giao dịch và mức độ rủi ro theo quy định của NHNN, trong đó có các trường hợp áp dụng xác thực tăng cường đối với khách hàng mới thiết lập quan hệ và các giao dịch có giá trị lớn.
Bên cạnh việc hoàn thiện khuôn khổ pháp lý, ngành Ngân hàng đã chủ động phối hợp liên ngành, triển khai đồng bộ nhiều giải pháp nhằm làm sạch dữ liệu và tăng cường phòng, chống gian lận, lừa đảo trong hoạt động thanh toán.
Theo đó, NHNN đã phối hợp với Bộ Công an ban hành Kế hoạch phối hợp số 01/KHPH-BCA-NHNNVN ngày 24/4/2023, tập trung vào việc khai thác, kết nối Cơ sở dữ liệu quốc gia về dân cư, căn cước công dân (CCCD) gắn chíp và ứng dụng định danh, xác thực điện tử (VNeID). Việc kết nối này góp phần làm sạch dữ liệu khách hàng, nâng cao độ chính xác trong nhận biết và xác minh thông tin, qua đó hạn chế tình trạng tội phạm mạo danh, sử dụng giấy tờ giả để đăng ký và lợi dụng dịch vụ ngân hàng cho các mục đích bất hợp pháp.
Thực hiện Công điện số 29/CĐ-TTg ngày 03/4/2025 của Thủ tướng Chính phủ về tăng cường phòng ngừa, xử lý tội phạm lừa đảo công nghệ cao, NHNN tiếp tục phối hợp với Bộ Công an, Bộ Khoa học và Công nghệ cùng các cơ quan liên quan triển khai đối chiếu thông tin giữa chủ thuê bao di động sử dụng Mobile Banking với chủ tài khoản thanh toán; đồng thời tiến hành tổng rà soát tài khoản thanh toán và sim điện thoại. Các biện pháp này nhằm tăng cường hiệu lực quản lý nhà nước, đồng thời chủ động phòng ngừa và ngăn chặn các hành vi lừa đảo trên không gian mạng.
Đáng chú ý, ngày 23/6/2026 tại Hà Nội, Bộ Công an và NHNN đã tổ chức Hội nghị ký kết và triển khai kế hoạch thực hiện Quy chế phối hợp trong công tác phòng, chống lừa đảo trực tuyến, thể hiện quyết tâm tăng cường phối hợp liên ngành trước diễn biến ngày càng phức tạp của tội phạm công nghệ cao.
Ở cấp độ TCTD, các ngân hàng đã tích cực triển khai công tác làm sạch dữ liệu, tăng cường nhận biết và xác minh thông tin khách hàng. Tính đến ngày 23/6/2026, toàn ngành Ngân hàng đã hoàn thành đối chiếu sinh trắc học theo phương thức trực tuyến đối với hơn 161,5 triệu hồ sơ khách hàng cá nhân và 2,6 triệu hồ sơ khách hàng tổ chức thông qua CCCD gắn chíp hoặc VNeID, đạt 100% số lượng tài khoản phát sinh giao dịch trên kênh số. Kết quả này góp phần quan trọng trong việc nâng cao hiệu quả quản lý và bảo đảm an toàn, bảo mật cho các giao dịch ngân hàng điện tử.
Đặc biệt, NHNN đã triển khai Hệ thống thông tin hỗ trợ quản lý, giám sát và phòng ngừa rủi ro gian lận trong hoạt động thanh toán (Hệ thống SIMO). Hệ thống này cho phép các tổ chức thành viên chủ động báo cáo, cập nhật thông tin về các tài khoản đáng ngờ ngay khi phát hiện, đồng thời chia sẻ dữ liệu cảnh báo tới toàn bộ mạng lưới tham gia.
Trên cơ sở dữ liệu tập trung của SIMO, các TCTD có thể kịp thời đưa ra quyết định ngăn chặn giao dịch hoặc yêu cầu xác thực, định danh bổ sung trước khi thực hiện các giao dịch trực tuyến. Qua đó, góp phần nâng cao khả năng phòng ngừa, giảm thiểu rủi ro gian lận và bảo vệ an toàn tài khoản khách hàng. Theo số liệu báo cáo đến ngày 21/6/2026, hệ thống đã gửi cảnh báo tới hơn 4,5 triệu lượt khách hàng; trong đó, trên 1,5 triệu lượt khách hàng đã chủ động tạm dừng hoặc hủy bỏ giao dịch sau khi nhận cảnh báo, với tổng giá trị giao dịch liên quan lên tới hơn 5,1 nghìn tỉ đồng. Những con số này cho thấy hiệu quả bước đầu rõ rệt của việc ứng dụng công nghệ trong giám sát và cảnh báo rủi ro gian lận.
Bên cạnh đó, NHNN cũng chỉ đạo các TCTD triển khai đồng bộ các giải pháp kỹ thuật nhằm phát hiện và ngăn chặn hành vi can thiệp trái phép vào ứng dụng Mobile Banking trên thiết bị di động của khách hàng. Cụ thể, hệ thống được thiết kế để tự động phát hiện và xử lý khi xuất hiện các dấu hiệu rủi ro như: (i) Thiết bị hoặc ứng dụng đang hoạt động trong môi trường gỡ lỗi, giả lập, máy ảo hoặc cho phép kết nối trực tiếp với máy tính; (ii) Ứng dụng bị chèn mã độc, can thiệp trái phép trong quá trình vận hành, như theo dõi luồng xử lý, ghi lại dữ liệu truyền qua các hàm hoặc giao diện lập trình ứng dụng (API), hoặc bị chỉnh sửa, đóng gói lại; (iii) Thiết bị đã bị “bẻ khóa” hoặc vô hiệu hóa các cơ chế bảo mật.
Khi phát hiện các dấu hiệu nêu trên, ứng dụng Mobile Banking sẽ tự động thoát hoặc ngừng hoạt động nhằm bảo đảm an toàn cho tài khoản và dữ liệu của khách hàng, qua đó hạn chế tối đa nguy cơ bị khai thác, chiếm đoạt tài sản.
Bảo vệ đồng bộ các mắt xích trong hệ sinh thái số
Thời gian tới, để ứng phó hiệu quả với diễn biến ngày càng phức tạp của gian lận trực tuyến, bảo đảm quyền và lợi ích hợp pháp của khách hàng sử dụng dịch vụ ngân hàng số, cần triển khai đồng bộ các nhóm giải pháp sau:
Về phía NHNN
Tiếp tục nghiên cứu, rà soát và hoàn thiện khuôn khổ pháp lý nhằm bảo đảm an ninh, an toàn trong hoạt động thanh toán và cung ứng dịch vụ ngân hàng trên không gian mạng. Đồng thời, đẩy mạnh mở rộng kết nối với Cơ sở dữ liệu quốc gia về dân cư, tích hợp VNeID và ứng dụng CCCD gắn chíp trong quy trình xác thực khách hàng; triển khai đối chiếu, kiểm tra thông tin số điện thoại đăng ký giao dịch; chủ động nghiên cứu, cập nhật và ứng dụng các công nghệ mới trong bảo mật và định danh.
Bên cạnh đó, NHNN cần tiếp tục tăng cường phối hợp liên ngành: (i) Phối hợp với Bộ Công an chỉ đạo các TCTD đẩy mạnh triển khai Kế hoạch 01 gắn với Đề án 06 nhằm làm sạch dữ liệu, xác thực khách hàng và tối ưu hóa các hoạt động nghiệp vụ ngân hàng; (ii) Phối hợp với Bộ Khoa học và Công nghệ, Bộ Công an trong việc làm sạch, đồng bộ dữ liệu thuê bao viễn thông với Cơ sở dữ liệu quốc gia về dân cư, qua đó thực hiện đối khớp thông tin chủ thuê bao với chủ tài khoản thanh toán, góp phần nâng cao hiệu quả đấu tranh phòng, chống tội phạm công nghệ cao.
Thực tiễn từ vụ việc tại Hà Nội cho thấy, khi khách hàng bị chiếm quyền sử dụng dịch vụ viễn thông, điểm yếu không xuất phát từ hệ thống ngân hàng mà từ các mắt xích khác trong hệ sinh thái số. Điều này đặt ra yêu cầu cấp thiết về việc bảo vệ đồng bộ toàn bộ chuỗi hạ tầng số; nếu không, ngay cả các lớp xác thực sinh trắc học hiện đại cũng khó phát huy hiệu quả tối đa.
Về phía các TCTD
Tiếp tục đầu tư, nâng cấp hạ tầng công nghệ và các giải pháp bảo mật tiên tiến, đặc biệt là các công cụ phát hiện và ngăn chặn tấn công sử dụng AI và Deepfake trong quá trình xác thực sinh trắc học. Các TCTD cần trang bị năng lực nhận diện hành vi giả mạo khuôn mặt (Deepfake, ảnh tĩnh, video phát lại), đồng thời thường xuyên cập nhật, cải tiến các thuật toán sinh trắc học nhằm phát hiện và vô hiệu hóa các công cụ giả lập camera hoặc can thiệp trái phép vào thiết bị.
Song song với đó, cần đẩy mạnh công tác truyền thông, đa dạng hóa hình thức cảnh báo để nâng cao nhận thức, kỹ năng phòng ngừa rủi ro cho khách hàng trong quá trình sử dụng dịch vụ thanh toán điện tử.
Về phía người dân
Chủ động bảo vệ thông tin cá nhân và dữ liệu tài khoản; tuyệt đối không chia sẻ mã OTP, thông tin đăng nhập; không tải, cài đặt các ứng dụng không rõ nguồn gốc ngoài các kho ứng dụng chính thống như Google Play hoặc App Store. Các phần mềm độc hại hoặc công cụ giả lập có thể âm thầm chiếm quyền điều khiển thiết bị, đánh cắp dữ liệu sinh trắc học và chiếm đoạt tài sản.
Trong trường hợp phát hiện bị chiếm đoạt tiền trong tài khoản, đặc biệt khi có dấu hiệu mất quyền sử dụng dịch vụ viễn thông, người dân cần nhanh chóng trình báo cơ quan Công an nơi gần nhất để kịp thời ngăn chặn thiệt hại và phục vụ công tác điều tra; đồng thời liên hệ ngay với TCTD để được hỗ trợ xử lý.
Ngoài ra, cần lưu ý rằng các hành vi mua, bán, thuê, cho thuê, mượn hoặc cho mượn tài khoản thanh toán đều bị xử lý nghiêm theo quy định pháp luật. Cụ thể, tại khoản 5 Điều 30 Nghị định số 340/2025/NĐ-CP ngày 25/12/2025 của Chính phủ quy định về xử phạt vi phạm hành chính trong lĩnh vực tiền tệ, ngân hàng, đối với hành vi “Mua, bán, thuê, cho thuê, mượn, cho mượn tài khoản thanh toán hoặc mua, bán thông tin tài khoản thanh toán với số lượng từ 01 tài khoản thanh toán đến dưới 10 tài khoản thanh toán mà chưa đến mức bị truy cứu trách nhiệm hình sự” bị phạt tiền từ 100 triệu đồng đến 150 triệu đồng; khoản 6 Điều 30 Nghị định số 340/2025/NĐ-CP quy định đối với hành vi “Mua, bán, thuê, cho thuê, mượn, cho mượn tài khoản thanh toán hoặc mua, bán thông tin tài khoản thanh toán với số lượng từ 10 tài khoản thanh toán trở lên mà chưa đến mức bị truy cứu trách nhiệm hình sự” mức phạt tiền từ 150 triệu đồng đến 200 triệu đồng.
Tài liệu tham khảo:
1. Quyết định số 2345/QĐ-NHNN ngày 18/12/2023 của NHNN về việc triển khai các giải pháp an toàn, bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng.
2. Thông tư số 50/2024/TT-NHNN ngày 31/10/2024 của Thống đốc NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng.
3. Các website https://conganthanhhoa.gov.vn/; https://congan.hanoi.gov.vn
Tin bài khác
Quản trị dữ liệu chủ động trong ngành Ngân hàng: Định hướng và khung triển khai tại Việt Nam
Kiểm soát rủi ro về tính riêng tư đối với ví điện tử tại Việt Nam: Thách thức và khuyến nghị
Phát triển sản phẩm, dịch vụ ngân hàng số phục vụ nhà đầu tư quốc tế ở Trung tâm tài chính quốc tế tại Việt Nam
Ứng dụng trí tuệ nhân tạo trong lĩnh vực tài chính, ngân hàng: Thực tiễn tại Liên bang Nga và những hàm ý chính sách
Căng thẳng tài chính của sinh viên trong bối cảnh chuyển đổi số: Thách thức và hàm ý quản trị
Phát triển ngân hàng số và cơ chế cảnh báo rủi ro cho Trung tâm tài chính quốc tế tại Việt Nam
Thiết lập cơ chế phối hợp liên ngành trong điều tra, xử lý tội phạm lừa đảo trực tuyến trong lĩnh vực ngân hàng
Ứng phó của chính sách tiền tệ trước các cú sốc khí hậu: Kinh nghiệm một số quốc gia châu Á và hàm ý cho Việt Nam
Khuôn khổ pháp lý để phát triển ngân hàng số tại Trung tâm tài chính ở Việt Nam: Thực trạng và thách thức
Thực tiễn áp dụng quy định hoàn cảnh thay đổi cơ bản đối với hợp đồng tín dụng - Nhìn từ Điều 420 Bộ luật Dân sự năm 2015
Đầu tư gián tiếp nước ngoài và ổn định tỉ giá: Nghiên cứu so sánh trường hợp Việt Nam, Thái Lan và Indonesia
Phát triển thị trường trái phiếu xanh: Kinh nghiệm quốc tế và khuyến nghị cho Việt Nam
Quản trị ngân hàng và vai trò của hoạt động giám sát trong bảo đảm ổn định tài chính
Ứng dụng trí tuệ nhân tạo trong lĩnh vực tài chính, ngân hàng: Thực tiễn tại Liên bang Nga và những hàm ý chính sách
Kinh nghiệm ổn định tài chính của Thái Lan và một số hàm ý chính sách
Chuyển dịch cơ cấu trong công nghiệp hóa: Tham chiếu thực tiễn quốc tế với trường hợp Việt Nam