Hoàn thiện khung pháp lý về quản trị rủi ro an ninh mạng trong ngân hàng số tại Trung tâm tài chính quốc tế ở Việt Nam
1. Đặt vấn đề
Sự dịch chuyển của dòng vốn toàn cầu và nhu cầu của khu vực tư nhân quốc tế về một thị trường tài chính có độ sâu, thanh khoản cao ngoài các trung tâm truyền thống như Singapore hay Hồng Kông đang tạo ra cơ hội vàng cho Việt Nam1. Tuy nhiên, để hiện thực hóa tầm nhìn này, sự ổn định và phát triển bền vững của hệ thống ngân hàng đóng vai trò then chốt.
Lĩnh vực ngân hàng đang trải qua quá trình chuyển đổi số mạnh mẽ. Các công nghệ mới như ngân hàng di động, Open Banking, thanh toán điện tử và trí tuệ nhân tạo (AI) được áp dụng rộng rãi để nâng cao hiệu quả dịch vụ và mở rộng tiếp cận khách hàng. Nhiều báo cáo quốc tế chỉ ra rằng, số hóa đã chuyển đổi hoạt động ngân hàng từ mô hình truyền thống sang các thực thể không chi nhánh, tiết kiệm chi phí và thuận tiện hơn, đồng thời cũng đẩy mạnh tính cạnh tranh và đổi mới trong hệ sinh thái tài chính. Tuy nhiên, sự gia tăng hoạt động trực tuyến cũng khiến các tổ chức tài chính phải đối mặt với những rủi ro an ninh mạng nghiêm trọng2. Các cuộc tấn công mạng ngày càng tinh vi và phổ biến, đe dọa sự tin tưởng của người dùng và ổn định tài chính. Báo cáo của Quỹ Tiền tệ quốc tế (IMF) mới đây ghi nhận các sự cố an ninh mạng trong lĩnh vực tài chính chiếm khoảng 10% tổng số sự cố mạng toàn cầu trong thập kỷ qua, và “gian lận kỹ thuật số đã tăng gấp ba lần” trong bối cảnh này3. Mặt khác, công nghệ mới như AI đóng vai trò vừa tạo cơ hội, vừa là kênh truyền phát các mối đe dọa mới, như cảnh báo về việc AI tạo Deepfake hỗ trợ gian lận ngân hàng được Bộ Tài chính Mỹ đưa ra trong năm 20244. Tóm lại, chuyển đổi số mang lại nhiều tiện ích nhưng đồng thời tạo ra những lỗ hổng bảo mật mới, đặt ra thách thức lớn cho quản lý ngân hàng và đòi hỏi khung pháp lý phù hợp.
Tại Việt Nam, việc xây dựng IFC đã được tiến hành ở giai đoạn đầu khi Quốc hội đã ban hành Nghị quyết số 222/2025/QH15 về IFC tại Việt Nam và thông qua Luật Tòa án chuyên biệt tại IFC (Luật số 150/2025/QH15). Sau đó, Chính phủ đã khẩn trương ban hành 8 Nghị định quan trọng, tập trung kiến tạo cơ chế, chính sách đặc thù, vượt trội, thông thoáng, bảo đảm tính minh bạch và hấp dẫn nhà đầu tư. Nội dung Nghị quyết số 222/2025/QH15 đề cập đến việc thành lập IFC tại Thành phố Hồ Chí Minh và Đà Nẵng, hướng đến mục tiêu trở thành “trung tâm tài chính quốc tế hàng đầu, nâng tầm vị thế Việt Nam trong mạng lưới tài chính toàn cầu”5. Nghị quyết cũng nhấn mạnh IFC phải “vận hành theo các chuẩn mực quốc tế tiên tiến, kết nối với các thị trường và trung tâm tài chính lớn”6, thúc đẩy dịch vụ tài chính ứng dụng công nghệ (Fintech). Đồng thời, việc phát triển IFC được yêu cầu phải “bảo đảm giữ vững an toàn tài chính, an ninh kinh tế, ổn định chính trị, trật tự, an toàn xã hội”7. Trong bối cảnh đó, một hệ thống ngân hàng số tại IFC Việt Nam cần hạ tầng công nghệ hiện đại, đồng thời phải chịu đựng được các sự cố mạng toàn cầu, tương đương với chuẩn mực quốc tế như Ủy ban Basel về giám sát ngân hàng (Committee on Banking Supervision - BCBS)8 và Liên minh châu Âu (EU)9 đã đặt ra. Tính kết nối cao trong hệ sinh thái tài chính số khiến một cuộc tấn công tại bất kỳ tổ chức nào cũng có thể lan rộng thành rủi ro hệ thống. BCBS nhận định, dù việc thuê ngoài và hợp tác với bên thứ ba có thể tăng cường khả năng chống chịu, nhưng trọng trách vẫn nằm ở ngân hàng trong việc hiểu và quản lý hoạt động của bên thứ ba cũng như sự tập trung trong chuỗi giá trị10. Bên cạnh đó, các vấn đề về chuyển giao dữ liệu tài chính xuyên biên giới, rủi ro từ công nghệ mới như điện toán đám mây và AI, hoạt động phòng, chống rửa tiền và chống tài trợ khủng bố là những thách thức khi triển khai hoạt động ngân hàng số tại IFC.
![]() |
| Ảnh minh họa (Nguồn: antoanthongtin.vn) |
Giữa bối cảnh khung pháp lý Việt Nam hiện đang trong quá trình hoàn thiện, việc giám sát an ninh mạng trong ngân hàng cũng chưa hoàn toàn đảm bảo khi cơ chế thông tin và phối hợp xử lý rủi ro an ninh mạng còn tồn tại một số bất cập, có thể thấy, Việt Nam vẫn còn nhiều thách thức để bắt kịp những yêu cầu mới của ngân hàng số trong môi trường IFC. Do đó, bài viết này nhằm phân tích và hoàn thiện khung pháp lý về quản trị rủi ro an ninh mạng cho dịch vụ ngân hàng số tại IFC Việt Nam. Bài viết tổng hợp cơ sở lý thuyết về rủi ro an ninh mạng trong tài chính số và đánh giá thực trạng khung pháp luật của Việt Nam. Trên cơ sở đó, mục tiêu là đề xuất các giải pháp pháp lý cụ thể, theo hướng quản lý dựa trên rủi ro nhằm cân bằng giữa khuyến khích đổi mới sáng tạo và bảo vệ ổn định hệ thống tài chính.
2. Rủi ro an ninh mạng trong ngân hàng số tại IFC
Hoạt động ngân hàng số phụ thuộc sâu vào hạ tầng công nghệ thông tin, dữ liệu lớn và dịch vụ đám mây xuyên biên giới, do đó xuất hiện nhiều loại rủi ro an ninh mạng mới. Những rủi ro này không chỉ giới hạn ở rủi ro công nghệ thông tin truyền thống mà còn mang tính hệ thống toàn cầu. Theo BCBS (2021), rủi ro an ninh mạng là một trong những sự kiện có thể gây gián đoạn quy mô lớn trong thị trường tài chính11. DORA (Digital Operational Resilience Act) - quy định của EU về khả năng chống chịu hoạt động số cũng nhấn mạnh rằng khi rủi ro công nghệ thông tin và truyền thông không được quản lý chặt chẽ, dịch vụ tài chính có thể bị gián đoạn xuyên biên giới, ảnh hưởng đến nền kinh tế toàn cầu12. Các cuộc tấn công mạng nhắm vào ngân hàng, định chế tài chính xuyên biên giới đang gia tăng cả về số lượng và quy mô.
Thứ nhất, rò rỉ và xâm phạm dữ liệu tài chính: Rủi ro rò rỉ hoặc xâm phạm dữ liệu tài chính là mối nguy hàng đầu trong ngân hàng số. Dữ liệu tài chính cá nhân của khách hàng như thông tin định danh, lịch sử giao dịch, dữ liệu sinh trắc học khi bị đánh cắp có thể dẫn đến hậu quả nghiêm trọng về niềm tin và pháp lý. Nguyên nhân chủ yếu bao gồm: Tấn công mã độc (malware/ransomware), lỗ hổng bảo mật hệ thống, cũng như truy cập trái phép qua các ứng dụng ngân hàng trực tuyến. Cơ chế thường gặp là hacker khai thác điểm yếu trong mã hóa hoặc hệ thống sao lưu rồi đánh cắp dữ liệu trước khi ngân hàng kịp phát hiện. Một ví dụ điển hình tại Singapore năm 2025 cho thấy, công ty in ấn bên thứ ba Toppan Next Tech bị tấn công mã độc, dẫn đến việc dữ liệu sao kê của khoảng 8.200 khách hàng DBS Bank và Bank of China13 (Singapore) bị tin tặc trích xuất.
Thứ hai, rủi ro dịch vụ bên thứ ba và điện toán đám mây: Phần lớn ngân hàng số hiện nay dựa vào điện toán đám mây và các dịch vụ bên thứ ba cho các chức năng lõi. Tuy nhiên, sự phụ thuộc này có thể tạo ra rủi ro tập trung công nghệ, vì nếu nhà cung cấp dịch vụ gặp sự cố, thì hệ thống có thể bị gián đoạn hàng loạt. Tài liệu của Cơ quan Quản lý Tài chính (Financial Conduct Authority - FCA) tại Vương quốc Anh cho biết, trong số các sự cố an ninh mạng được báo cáo năm 2025, có hơn 40% liên quan đến bên thứ ba, trong đó có những sự cố gián đoạn quy mô lớn tại Cloudflare và AWS. Ví dụ, tháng 10 và 11 năm 2025, sự cố kỹ thuật tại AWS và sau đó là Cloudflare đã khiến nhiều ứng dụng tài chính lớn (Lloyd’s, Halifax, Robinhood, Coinbase…) bị ngừng hoạt động tạm thời14. Sự cố này cho thấy chuỗi cung ứng dịch vụ đám mây toàn cầu có thể ảnh hưởng đến cả hệ sinh thái ngân hàng số.
Thứ ba, rủi ro từ AI và thuật toán: Ngân hàng số ngày càng ứng dụng AI và thuật toán tự động hóa (ví dụ chấm điểm tín dụng bằng học máy, cố vấn robot, Chatbot) để nâng cao hiệu quả. Tuy nhiên, các hệ thống này mang theo rủi ro mới như độ thiên lệch (bias) và thiếu minh bạch (black-box). Cơ chế xảy ra có thể là dữ liệu huấn luyện không đa dạng dẫn đến kết quả phân biệt đối xử, hay thuật toán bị điều khiển ngầm để thực hiện giao dịch gian lận. Đặc biệt, mô hình AI hiện đại (như các mô hình ngôn ngữ lớn) có thể tự động phát hiện lỗ hổng zero-day và khai thác chúng chỉ trong vài giờ - một điều không tưởng với con người. Vai trò giám sát và trách nhiệm giải trình đối với AI trong tài chính đang là vấn đề nóng. Singapore mới đây cảnh báo rằng, nguy cơ tấn công mạng được hỗ trợ bởi AI (AI-enabled cyberattack) đang gia tăng và kêu gọi các ngân hàng đánh giá lại khả năng bảo vệ AI nội bộ15.
Thứ tư, rủi ro gián đoạn hệ thống: Các sự cố an ninh mạng tại ngân hàng số có thể dẫn đến gián đoạn rộng và tạo rủi ro hệ thống. Điểm đặc biệt của rủi ro mạng là khả năng lây lan rất nhanh và quy mô lớn. Báo cáo ESRB (2020) nêu rõ, trong sự kiện mã độc NotPetya năm 2017, hệ thống của các ngân hàng lớn ở Ukraine bị nhiễm mã độc chỉ trong chưa đầy một phút. Hơn nữa, các dịch vụ tài chính toàn cầu được kết nối chặt chẽ cho phép một cuộc tấn công ở khu vực lan rộng vượt ra ngoài biên giới. Ví dụ, vụ gián đoạn mạng lưới thẻ Mastercard năm 2018 đã ảnh hưởng đến việc chuyển tiền qua thẻ tại nhiều nước châu Âu16. Những sự cố kiểu này cho thấy nếu không có khả năng phục hồi nhanh, một ngân hàng bị tấn công có thể kéo theo gián đoạn thanh toán, thanh khoản cho toàn hệ thống tài chính.
Thứ năm, rủi ro rửa tiền và tài trợ khủng bố (AML/CFT) trong ngân hàng số: Ngân hàng số gia tăng tính ẩn danh và giao dịch nhanh chóng, tạo điều kiện cho các hoạt động AML/CFT ngày càng phức tạp. Các hình thức rủi ro bao gồm: Giao dịch ẩn danh qua tài khoản ảo, lợi dụng công nghệ số để tách nhỏ giao dịch, hay sử dụng tiền ảo để chuyển tiền xuyên biên giới. Cơ chế thường gặp là kẻ gian tạo tài khoản ảo giả mạo danh tính hoặc thuê dịch vụ ngân hàng số bên thứ ba để che giấu nguồn gốc tiền.
Những rủi ro nêu trên cho thấy an ninh mạng trong ngân hàng số không còn là vấn đề kỹ thuật đơn thuần mà đã trở thành vấn đề pháp lý và quản trị mang tính hệ thống, từ đó đặt ra yêu cầu cấp thiết phải tiếp tục hoàn thiện khung pháp lý về quản trị rủi ro an ninh mạng nhằm bảo đảm khả năng chống chịu, tính liên tục và an toàn của hệ thống tài chính, đặc biệt trong bối cảnh xây dựng và mở rộng IFC đang diễn ra trên toàn thế giới.
3. Đánh giá khung pháp lý hiện hành về quản trị rủi ro an ninh mạng trong ngân hàng số tại Việt Nam
Trong những năm gần đây, Việt Nam đã từng bước xây dựng hệ thống văn bản pháp luật liên quan đến an ninh mạng, bảo vệ dữ liệu và quản trị rủi ro công nghệ trong lĩnh vực ngân hàng.
Trước hết, Luật An ninh mạng năm 201817 được xem là văn bản pháp lý nền tảng điều chỉnh các vấn đề liên quan đến bảo vệ an ninh quốc gia trên không gian mạng, bảo đảm an toàn hệ thống thông tin quan trọng và quản lý dữ liệu trên môi trường số. Luật này đặt ra các yêu cầu về bảo vệ hệ thống thông tin quan trọng quốc gia, lưu trữ dữ liệu và nghĩa vụ phối hợp của doanh nghiệp cung cấp dịch vụ trên không gian mạng. Bên cạnh đó, Luật Giao dịch điện tử năm 202318 đã mở rộng phạm vi điều chỉnh đối với giao dịch điện tử trong lĩnh vực tài chính - ngân hàng, tạo cơ sở pháp lý cho việc triển khai ngân hàng số, xác thực điện tử, định danh điện tử (eKYC) và hợp đồng điện tử trong môi trường trực tuyến. Việc công nhận giá trị pháp lý của dữ liệu điện tử và chữ ký điện tử góp phần thúc đẩy quá trình số hóa ngân hàng, đồng thời tạo điều kiện cho sự phát triển của các mô hình tài chính số xuyên biên giới trong IFC. Một bước tiến đáng chú ý khác là việc ban hành Luật Bảo vệ dữ liệu cá nhân năm 2025. Đạo luật này bước đầu hình thành nền tảng pháp lý cho việc xử lý dữ liệu cá nhân trong môi trường số, bao gồm các quy định liên quan đến dữ liệu nhạy cảm, sự đồng ý của chủ thể dữ liệu, trách nhiệm của bên xử lý dữ liệu và chuyển dữ liệu xuyên biên giới. Ngoài ra, Luật AI năm 2025 đánh dấu bước tiến quan trọng trong quá trình hoàn thiện khung pháp lý quản trị công nghệ số tại Việt Nam. Đạo luật này bước đầu tiếp cận mô hình quản trị AI dựa trên mức độ rủi ro, tương đồng với Đạo luật AI của EU (EU Artificial Intelligence Act)19.
Đối với lĩnh vực ngân hàng, Luật Các tổ chức tín dụng năm 2024 (sửa đổi, bổ sung năm 2025) đã từng bước tiếp cận yêu cầu tăng cường quản trị rủi ro và bảo đảm an toàn hệ thống công nghệ trong hoạt động ngân hàng hiện đại. Luật này đặt ra yêu cầu đối với tổ chức tín dụng trong việc xây dựng hệ thống kiểm soát nội bộ, quản trị rủi ro và bảo đảm an toàn hoạt động ngân hàng. Mặc dù chưa thiết lập khung điều chỉnh chuyên biệt, nhưng đây được xem là cơ sở pháp lý quan trọng để tích hợp quản trị rủi ro công nghệ vào mô hình quản trị ngân hàng theo thông lệ quốc tế. Ngoài ra, khung pháp lý về phòng, chống rửa tiền cũng được hoàn thiện thông qua Luật Phòng, chống rửa tiền năm 2022 và các văn bản hướng dẫn thi hành. Các quy định hiện hành yêu cầu tổ chức tín dụng áp dụng cơ chế nhận biết khách hàng (KYC), giám sát giao dịch đáng ngờ và báo cáo giao dịch có giá trị lớn nhằm hạn chế rủi ro tài chính số và tội phạm mạng. Điều này cho thấy pháp luật Việt Nam đã bước đầu tiếp cận với các khuyến nghị của Lực lượng Đặc nhiệm Tài chính về chống rửa tiền (Financial Action Task Force - FATF) về quản trị rủi ro tài chính số và AML/CFT trong môi trường số hóa.
Song song với các đạo luật mang tính khung, NHNN cũng đã ban hành quy định chuyên ngành liên quan đến an toàn công nghệ thông tin và quản trị rủi ro trong hoạt động ngân hàng. Đáng chú ý là Thông tư số 09/2020/TT-NHNN ngày 21/10/2020 của Thống đốc NHNN quy định về an toàn hệ thống thông tin trong hoạt động ngân hàng (được sửa đổi, bổ sung bởi Thông tư số 50/2024/TT-NHNN ngày 31/10/2024 của Thống đốc NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng). Thông tư này thiết lập các chuẩn mực về quản lý rủi ro công nghệ thông tin, phân loại hệ thống thông tin theo cấp độ và đưa ra các yêu cầu về bảo mật đối với thiết bị di động, mạng nội bộ và các môi trường phát triển, thử nghiệm.
Các quy định trên cho thấy Việt Nam đã từng bước chuyển từ tư duy an toàn công nghệ thông tin sang tiếp cận quản trị rủi ro công nghệ trong hoạt động ngân hàng số. Tuy nhiên, khi đối chiếu với các rủi ro an ninh mạng mang tính hệ thống của IFC hiện đại, khung pháp lý hiện hành của Việt Nam vẫn còn tồn tại một số hạn chế như sau:
Thứ nhất, chưa xây dựng được một cơ chế quản trị vận hành liên tục toàn diện tương tự DORA của EU. Các quy định hiện hành chủ yếu tập trung vào bảo đảm an toàn hệ thống thông tin ở cấp độ kỹ thuật, trong khi chưa điều chỉnh đầy đủ khả năng duy trì hoạt động liên tục của hệ thống tài chính khi xảy ra tấn công mạng diện rộng hoặc gián đoạn hạ tầng số.
Thứ hai, thiếu hụt các tiêu chuẩn chi tiết về quản trị rủi ro bên thứ ba. Hiện nay, Thông tư số 09/2020/TT-NHNN chủ yếu tập trung vào các yêu cầu đối với tổ chức tín dụng. Trong khi đó, tại các IFC, ngân hàng số phụ thuộc rất lớn vào các nhà cung cấp dịch vụ công nghệ. Việt Nam vẫn thiếu các quy định chuyên biệt về việc bắt buộc các nhà cung cấp dịch vụ công nghệ phải chứng minh năng lực an ninh mạng thông qua các cuộc kiểm toán độc lập hoặc tuân thủ các tiêu chuẩn quốc tế cụ thể như cách Cơ quan Tiền tệ Singapore (MAS) đang thực hiện20.
Thứ ba, chưa có quy định chuyên biệt về quản trị AI trong lĩnh vực ngân hàng21. Các rủi ro như thiên kiến thuật toán, thiếu minh bạch, quyết định tín dụng tự động hay Deepfake vẫn chưa được điều chỉnh rõ ràng. Trong thực tế, các hệ thống AI được sử dụng trong ngân hàng số thường vận hành dựa trên cơ chế học và xử lý khối lượng dữ liệu rất lớn, khiến ngay cả tổ chức triển khai cũng khó kiểm soát hoàn toàn quá trình hình thành quyết định của thuật toán. Điều này có thể dẫn đến nguy cơ phân biệt đối xử trong cấp tín dụng, loại trừ tài chính đối với một số nhóm khách hàng hoặc đưa ra các quyết định tài chính thiếu minh bạch mà khách hàng không có khả năng khiếu nại hoặc yêu cầu giải thích. Đồng thời, sự phát triển của công nghệ Deepfake và AI tạo sinh (Generative AI) cũng làm gia tăng nguy cơ giả mạo sinh trắc học, giọng nói hoặc hình ảnh nhằm chiếm đoạt tài khoản ngân hàng và thực hiện hành vi gian lận tài chính số.
Thứ tư, cơ chế phối hợp giám sát giữa các cơ quan quản lý nhà nước vẫn còn phân tán. Quản trị rủi ro an ninh mạng trong lĩnh vực ngân hàng hiện nay liên quan đến nhiều cơ quan khác nhau như NHNN, Bộ Công an, Bộ Khoa học và Công nghệ, Bộ Văn hóa, Thể thao và Du lịch. Tuy nhiên, Việt Nam hiện chưa hình thành cơ chế giám sát tích hợp và chia sẻ dữ liệu liên ngành hiệu quả đối với các sự cố mạng có khả năng ảnh hưởng đến hệ thống. Điều này có thể làm suy giảm khả năng ứng phó với các cuộc tấn công mạng quy mô lớn trong môi trường IFC có mức độ kết nối tài chính rất cao.
4. Một số kiến nghị, giải pháp
Xuất phát từ các nội dung phân tích trên, vấn đề hoàn thiện khung pháp lý về quản trị rủi ro an ninh mạng trong ngân hàng số tại IFC ở Việt Nam có thể tập trung vào một số nội dung sau:
Thứ nhất, cần xây dựng các quy định chuyên biệt về quản trị khả năng chống chịu hoạt động đối với lĩnh vực ngân hàng số theo hướng tiệm cận các chuẩn mực quốc tế như DORA. Khung pháp lý này cần chuyển từ cách tiếp cận an toàn công nghệ thông tin truyền thống sang mô hình quản trị khả năng chống chịu số, trong đó không chỉ tập trung vào phòng ngừa tấn công mạng mà còn phải bảo đảm khả năng duy trì hoạt động liên tục và phục hồi nhanh của hệ thống tài chính khi xảy ra sự cố công nghệ hoặc tấn công mạng diện rộng.
Thứ hai, cần tiếp tục nghiên cứu và bổ sung các quy định về quản trị rủi ro bên thứ ba và quản trị dịch vụ công nghệ thuê ngoài trong lĩnh vực ngân hàng số. Trong bối cảnh các ngân hàng số tại IFC phụ thuộc ngày càng lớn vào các nhà cung cấp dịch vụ công nghệ, đặc biệt là các nhà cung cấp đám mây và AI xuyên biên giới, pháp luật Việt Nam cần thiết lập cơ chế giám sát chặt chẽ hơn đối với các chủ thể này. Theo đó, cần bổ sung quy định yêu cầu các nhà cung cấp dịch vụ công nghệ phải tuân thủ tiêu chuẩn quốc tế về an ninh mạng, thực hiện kiểm toán an ninh mạng độc lập định kỳ và công bố sự cố mạng có khả năng ảnh hưởng đến tổ chức tín dụng. Đồng thời, NHNN cần ban hành hướng dẫn chuyên biệt về quản trị đám mây trong hoạt động ngân hàng số, bao gồm tiêu chí lựa chọn nhà cung cấp đám mây, cơ chế giám sát thuê ngoài (outsourcing), nghĩa vụ lưu trữ và bảo vệ dữ liệu tài chính cũng như kiểm soát chuyển dữ liệu xuyên biên giới. Điều này đặc biệt cần thiết trong bối cảnh các IFC hiện đại đang chuyển mạnh sang mô hình tài chính dựa trên nền tảng đám mây và hạ tầng số toàn cầu.
Thứ ba, tiếp tục hoàn thiện khuôn khổ pháp luật về AI trong lĩnh vực ngân hàng. Theo đó, NHNN cần sớm ban hành Thông tư hướng dẫn quản lý rủi ro AI trong hoạt động ngân hàng, trong đó xác định rõ danh mục các hệ thống AI rủi ro cao đặc thù (như chấm điểm tín dụng tự động, eKYC, phát hiện gian lận, phê duyệt tín dụng). Các tiêu chí phân loại cần được lượng hóa cụ thể (dựa trên mức độ ảnh hưởng đến quyền lợi khách hàng, quy mô dữ liệu xử lý, mức độ tự động hóa quyết định…) nhằm bảo đảm tính minh bạch, hạn chế cách hiểu và áp dụng không thống nhất giữa các tổ chức tín dụng.
Thứ tư, cần thiết lập cơ chế phối hợp giám sát liên ngành và chia sẻ dữ liệu hiệu quả giữa các cơ quan quản lý nhà nước trong quản trị rủi ro an ninh mạng tài chính. Trong bối cảnh các cuộc tấn công mạng hiện nay có tính chất xuyên biên giới và có khả năng gây ảnh hưởng hệ thống, việc quản lý phân tán giữa nhiều cơ quan có thể làm suy giảm khả năng phát hiện sớm và ứng phó nhanh đối với các sự cố mạng quy mô lớn. Vì vậy, Việt Nam cần nghiên cứu xây dựng mô hình cơ chế điều phối tập trung hoặc trung tâm điều phối an ninh mạng tài chính quốc gia với sự tham gia của NHNN, Bộ Công an, Bộ Khoa học và Công nghệ, Bộ Văn hóa, Thể thao và Du lịch cùng các tổ chức tài chính trọng yếu. Cơ chế này cần bảo đảm khả năng chia sẻ dữ liệu sự cố mạng theo thời gian thực, cảnh báo sớm rủi ro hệ thống, phối hợp điều tra và ứng cứu khẩn cấp cũng như xây dựng cơ sở dữ liệu quốc gia về rủi ro an ninh mạng tài chính. Bên cạnh đó, Việt Nam cũng cần tăng cường hợp tác quốc tế với các IFC lớn và các tổ chức quốc tế như BCBS, FATF và IMF nhằm nâng cao năng lực giám sát, trao đổi thông tin và ứng phó với các cuộc tấn công mạng xuyên quốc gia trong lĩnh vực tài chính - ngân hàng.y
1 Ngô Hải (2025), “Kinh nghiệm quốc tế và vai trò hệ thống ngân hàng trong Trung tâm tài chính”, Tạp chí Thị trường Tài chính tiền tệ, https://thitruongtaichinhtiente.vn/kinh-nghiem-quoc-te-va-vai-tro-he-thong-ngan-hang-trong-trung-tam-tai-chinh-67052.html
2 Lucas Njoroge (2025), Cyber Security and Digital Banking: Opportunities and Challenges for the Banking Sector in the COMESA Region, COMESA Monetary Institute, March 2025, p.1, https://www.comesa.int/wp-content/uploads/2025/03/Special-Report-Implication-of-Cyber-Security-on-Digital-Banking.pdf
3 Tanai Khiaonarong and Shanyuan Zheng (2026), "The Rise of Cyber Events and Digital Fraud in the Financial Sector", IMF Working Papers 2026, 062 (2026), https://doi.org/10.5089/9798229043557.001
4 FinCEN (2024), FinCEN Alert FIN-2024-Alert004 (13/11/2024): Fraud Schemes Involving Deepfake Media Targeting Financial Institutions, U.S. Department of the Treasury, Financial Crimes Enforcement Network, https://www.fincen.gov/system/files/shared/FinCEN-Alert-DeepFakes-Alert508FINAL.pdf
5 Khoản 1 Điều 4 Nghị quyết số 222/2025/QH15.
6 Khoản 3 Điều 4 Nghị quyết số 222/2025/QH15.
7 Khoản 5 Điều 4 Nghị quyết số 222/2025/QH15.
8 Basel Committee on Banking Supervision (2021), Principles for operational resilience, Bank for International Settlements, Publication 516, https://www.bis.org/bcbs/publ/d516.pdf
9 European Parliament and Council (2016), Regulation (EU) 2016/679 of the European Parliament and of the Council (General Data Protection Regulation), Official Journal of the European Union.
10 BCBS (2018), Cyber-resilience: Range of practices, Bank for International Settlements, Publication 454, https://www.bis.org/bcbs/publ/d454.pdf
11 BCBS (2021), Principles for operational resilience, Bank for International Settlements, Publication 516, p.1, https://www.bis.org/bcbs/publ/d516.pdf
12 European Parliament and Council (2022), Regulation (EU) 2022/2554 of the European Parliament and of the Council (Digital Operational Resilience Act - DORA), Official Journal of the European Union.
13 CAN (2025), “DBS, Bank of China Singapore customers' data extracted after printing vendor hit by ransomware attack”, https://www.channelnewsasia.com/singapore/dbs-bank-china-ransomware-customer-data-printing-vendor-toppan-next-tech-5049616
14 Yamini Kalia (2025), “UK watchdog tightens cyber incident reporting rules as attacks surge”, Reuters, https://www.reuters.com/sustainability/boards-policy-regulation/uk-watchdog-tightens-cyber-incident-reporting-rules-attacks-surge-2026-03-18/
15 Tessa Oh (2026), “MAS, bank CEOs convene over AI cyberthreats; boards told to own risks, not leave to IT teams”, The Business Times, https://www.businesstimes.com.sg/singapore/mas-bank-ceos-convene-over-ai-cyberthreats-boards-told-own-risks-not-leave-it-teams
16 European Systemic Risk Board (2020), Systemic Cyber Risk, February 2020, p.10, https://www.esrb.europa.eu/pub/pdf/reports/esrb.report200219_systemiccyberrisk~101a09685e.en.pdf
17 Ngày 10/12/2025, Quốc hội đã ban hành Luật An ninh mạng. Văn bản này chính thức có hiệu lực vào ngày 01/7/2026, thay thế Luật An ninh mạng năm 2018.
18 Văn bản này được sửa đổi, bổ sung bởi các văn bản Luật Dữ liệu năm 2024, Luật An ninh mạng năm 2025 (có hiệu lực từ ngày 01/7/2026), Luật Chuyển đổi số năm 2025 (có hiệu lực từ ngày 01/7/2026).
19 European Commission (2024), Artificial Intelligence Act, Official Journal of the European Union
20 MAS (2021), Technology Risk Management Guidelines, January 2021, 3.4, p.10. https://www.mas.gov.sg/-/media/MAS/Regulations-and-Financial-Stability/Regulatory-and-Supervisory-Framework/Risk-Management/TRM-Guidelines-18-January-2021.pdf
21 Dự thảo Thông tư quy định về an toàn, quản lý rủi ro và điều kiện triển khai ứng dụng trí tuệ nhân tạo trong ngành Ngân hàng đã được xây dựng gồm 6 chương, 27 điều, quy định rõ yêu cầu kiểm soát rủi ro, bảo đảm quyền và lợi ích hợp pháp của khách hàng trong quá trình các tổ chức tín dụng ứng dụng AI vào hoạt động ngân hàng.
Tài liệu tham khảo:
1. BCBS (2018), Cyber-resilience: Range of practices, Bank for International Settlements, Publication 454, https://www.bis.org/bcbs/publ/d454.pdf.
2. BCBS (2021), Principles for operational resilience, Bank for International Settlements, Publication 516, https://www.bis.org/bcbs/publ/d516.pdf
3. CAN (2025), “DBS, Bank of China Singapore customers' data extracted after printing vendor hit by ransomware attack”, https://www.channelnewsasia.com/singapore/dbs-bank-china-ransomware-customer-data-printing-vendor-toppan-next-tech-5049616
4. European Commission (2024), Artificial Intelligence Act, Official Journal of the European Union.
5. European Parliament and Council (2016), Regulation (EU) 2016/679 of the European Parliament and of the Council (General Data Protection Regulation), Official Journal of the European Union.
6. European Parliament and Council (2022), Regulation (EU) 2022/2554 of the European Parliament and of the Council (Digital Operational Resilience Act - DORA), Official Journal of the European Union.
7. European Systemic Risk Board (2020), Systemic Cyber Risk, February 2020, p.10, https://www.esrb.europa.eu/pub/pdf/reports/esrb.report200219_systemiccyberrisk~101a09685e.en.pdf
8. FinCEN (2024), FinCEN Alert FIN-2024-Alert004 (11/13/2024): Fraud Schemes Involving Deepfake Media Targeting Financial Institutions, U.S. Department of the Treasury, Financial Crimes Enforcement Network, https://www.fincen.gov/system/files/shared/FinCEN-Alert-DeepFakes-Alert508FINAL.pdf
9. Lucas Njoroge (2025), Cyber Security and Digital Banking: Opportunities and Challenges for the Banking Sector in the COMESA Region, COMESA Monetary Institute, March 2025, p.1, https://www.comesa.int/wp-content/uploads/2025/03/Special-Report-Implication-of-Cyber-Security-on-Digital-Banking.pdf
10. MAS (2021), Technology Risk Management Guidelines, January 2021, 3.4, p.10, https://www.mas.gov.sg/-/media/MAS/Regulations-and-Financial-Stability/Regulatory-and-Supervisory-Framework/Risk-Management/TRM-Guidelines-18-January-2021.pdf.
11. Ngô Hải (2025), “Kinh nghiệm quốc tế và vai trò hệ thống ngân hàng trong Trung tâm tài chính”, Tạp chí Thị trường Tài chính Tiền tệ, https://thitruongtaichinhtiente.vn/kinh-nghiem-quoc-te-va-vai-tro-he-thong-ngan-hang-trong-trung-tam-tai-chinh-67052.html
12. Tanai Khiaonarong, and Shanyuan Zheng (2026), “The Rise of Cyber Events and Digital Fraud in the Financial Sector”, IMF Working Papers 2026, 062 (2026), https://doi.org/10.5089/9798229043557.001
13. Tessa Oh (2026), “MAS, bank CEOs convene over AI cyberthreats; boards told to own risks, not leave to IT teams”, The Business Times, https://www.businesstimes.com.sg/singapore/mas-bank-ceos-convene-over-ai-cyberthreats-boards-told-own-risks-not-leave-it-teams
Tin bài khác
Phát triển thị trường nhà ở cho thuê: Ngân hàng luôn đồng hành vì giấc mơ an cư của người dân
Tác động của bất định chính sách thương mại Hoa Kỳ đến hoạt động cho vay tại các ngân hàng thương mại Việt Nam
Giải pháp nâng cao năng lực chống chịu của nền kinh tế Việt Nam thông qua củng cố an toàn tài chính vĩ mô
Ứng phó của chính sách tiền tệ trước các cú sốc khí hậu: Kinh nghiệm một số quốc gia châu Á và hàm ý cho Việt Nam
Khuôn khổ pháp lý để phát triển ngân hàng số tại Trung tâm tài chính ở Việt Nam: Thực trạng và thách thức
Thực tiễn áp dụng quy định hoàn cảnh thay đổi cơ bản đối với hợp đồng tín dụng - Nhìn từ Điều 420 Bộ luật Dân sự năm 2015
Đầu tư gián tiếp nước ngoài và ổn định tỉ giá: Nghiên cứu so sánh trường hợp Việt Nam, Thái Lan và Indonesia
Hoàn thiện khung pháp lý về quản trị rủi ro an ninh mạng trong ngân hàng số tại Trung tâm tài chính quốc tế ở Việt Nam
Định hình không gian phát triển mới gắn với vốn đầu tư nước ngoài theo tinh thần Nghị quyết số 10-NQ/TW
Phát triển thị trường nhà ở cho thuê: Ngân hàng luôn đồng hành vì giấc mơ an cư của người dân
Tác động của bất định chính sách thương mại Hoa Kỳ đến hoạt động cho vay tại các ngân hàng thương mại Việt Nam
Giải pháp nâng cao năng lực chống chịu của nền kinh tế Việt Nam thông qua củng cố an toàn tài chính vĩ mô
Cơ chế thử nghiệm có kiểm soát cho tài sản kỹ thuật số: Kinh nghiệm quốc tế và hàm ý chính sách
Chuyển đổi hệ thống tài chính Trung Quốc: Từ tăng trưởng dựa vào ngân hàng sang phát triển dựa trên thị trường vốn và một số hàm ý chính sách
Ngân hàng số tại khu vực châu Á - Thái Bình Dương: Cuộc đua tăng trưởng và bài học kinh nghiệm đối với Việt Nam
Quản trị ngân hàng và vai trò của hoạt động giám sát trong bảo đảm ổn định tài chính
