Theo Thông tư số 50/2024/TT-NHNN ngày 31/10/2024 của Thống đốc Ngân hàng Nhà nước Việt Nam (NHNN) quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng (Thông tư số 50/2024/TT-NHNN), kể từ ngày 01/01/2025, các ứng dụng ngân hàng sẽ không được trang bị chức năng lưu mật khẩu đăng nhập tài khoản của người dùng; ngân hàng không gửi tin nhắn SMS, thư điện tử cho khách hàng có nội dung chứa đường dẫn liên kết (hyperlink) truy cập các trang tin điện tử, trừ trường hợp theo yêu cầu của khách hàng… Đồng thời, NHNN cũng quy định những tiêu chuẩn mới, phù hợp với thực tiễn hoạt động của dịch vụ ngân hàng số và yêu cầu quản lý Nhà nước.
Nhiều quy định mới trong cung cấp dịch vụ trực tuyến ngành Ngân hàng
Ứng dụng ngân hàng không được ghi nhớ mật khẩu đăng nhập
Cụ thể, tại Điều 8 của Thông tư số 50/2024/TT-NHNN quy định về phần mềm ứng dụng Mobile Banking. Theo đó, phần mềm ứng dụng Mobile Banking do các tổ chức tín dụng (TCTD), chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, công ty thông tin tín dụng (sau đây gọi chung là đơn vị) cung cấp phải bảo đảm tuân thủ các quy định tại Điều 7 Thông tư này và các yêu cầu sau:
“1. Phải được đăng ký và quản lý tại kho ứng dụng chính thức của hãng cung cấp hệ điều hành cho thiết bị di động và hướng dẫn cài đặt rõ ràng trên trang tin điện tử đơn vị để khách hàng tải và cài đặt phần mềm ứng dụng Mobile Banking. Trong trường hợp vì lý do khách quan mà phần mềm ứng dụng Mobile Banking không được đăng ký và quản lý tại kho ứng dụng chính thức của hãng cung cấp hệ điều hành cho thiết bị di động, đơn vị phải có phương thức hướng dẫn, thông báo, hỗ trợ cài đặt phần mềm ứng dụng Mobile Banking bảo đảm an toàn, bảo mật cho khách hàng và báo cáo về NHNN (Cục Công nghệ thông tin) trước khi cung cấp dịch vụ.
2. Phải được áp dụng các biện pháp bảo vệ để hạn chế dịch ngược mã nguồn.
3. Có biện pháp bảo vệ, chống can thiệp vào luồng trao đổi dữ liệu trên ứng dụng Mobile Banking và giữa ứng dụng Mobile Banking với máy chủ cung cấp dịch vụ Online Banking.
4. Triển khai các giải pháp nhằm phòng, chống, phát hiện các hành vi can thiệp trái phép vào ứng dụng Mobile Banking đã cài đặt trong thiết bị di động của khách hàng.
5. Không cho phép chức năng ghi nhớ mã khóa bí mật truy cập.
6. Đối với khách hàng cá nhân, phải có chức năng kiểm tra khách hàng khi khách hàng truy cập lần đầu hoặc khi khách hàng truy cập trên thiết bị khác với thiết bị đã truy cập phần mềm ứng dụng Mobile Banking lần gần nhất. Việc kiểm tra khách hàng tối thiểu bao gồm: a) Khớp đúng SMS OTP hoặc Voice OTP thông qua số điện thoại đã được khách hàng đăng ký hoặc Soft OTP/Token OTP; b) Khớp đúng thông tin sinh trắc học theo quy định tại khoản 5 Điều 11 Thông tư này trong trường hợp văn bản pháp luật chuyên ngành liên quan đến dịch vụ cung cấp trên phần mềm ứng dụng Mobile Banking có quy định thu thập, lưu trữ thông tin sinh trắc học của khách hàng.”
Thông tư số 50/2024/TT-NHNN sẽ chính thức có hiệu lực vào ngày 01/01/2025. Như vậy, kể từ thời điểm này, các ứng dụng ngân hàng sẽ không còn được trang bị tính năng ghi nhớ mã khóa bí mật truy cập (mật khẩu đăng nhập tài khoản của người dùng). Hiện các ứng dụng ngân hàng đều cho phép khách hàng đăng nhập thông qua tính năng sinh trắc học trên smartphone (cảm biến vân tay hay gương mặt FaceID). Điều này giúp người dùng có thể đăng nhập nhanh vào ứng dụng ngân hàng mà không cần phải nhập mật khẩu đăng nhập.
Trong một vài trường hợp, các ngân hàng yêu cầu người dùng phải thay đổi mật khẩu đăng nhập tài khoản và ứng dụng sau một khoảng thời gian nhất định (6 tháng hoặc một năm) để tăng cường bảo mật. Lúc này, người dùng mới cần phải dùng đến mật khẩu đăng nhập tài khoản ngân hàng.
Để đặt mật khẩu mạnh, người dùng nên tuyệt đối tránh các thông tin cá nhân (như địa chỉ, ngày sinh) và các từ khóa thông dụng (như abcd, 1234...), nên đặt tối thiểu 12 ký tự trong đó bao gồm chữ, số, chữ viết hoa và các ký tự đặc biệt... Đề phòng người dùng có thể quên mật khẩu nên ghi ra giấy và cất giữ vào nơi an toàn, bí mật và không cho người khác biết.
Việc ứng dụng ngân hàng không có chức năng lưu mật khẩu đăng nhập tài khoản sẽ giúp tăng cường bảo mật, giảm nguy cơ tin tặc có thể xâm nhập vào smartphone và lấy cắp mật khẩu đăng nhập tài khoản ngân hàng lưu trên thiết bị, từ đó xâm nhập trái phép vào tài khoản.
Ngoài ra, cũng theo quy định tại Điều 8 nêu trên, đối với khách hàng cá nhân, ứng dụng ngân hàng số cần có chức năng kiểm tra khách hàng truy cập lần đầu hoặc truy cập trên thiết bị khác. Việc kiểm tra bao gồm khớp đúng SMS OTP hoặc Voice OTP thông qua số điện thoại đã đăng ký hoặc khớp đúng thông tin sinh trắc học. Bên cạnh đó, ngân hàng phải đăng ký và quản lý ứng dụng ngân hàng số trên kho ứng dụng chính thức, hướng dẫn khách hàng cài đặt ứng dụng từ nguồn tin cậy. Đồng thời, ứng dụng ngân hàng số phải áp dụng các biện pháp bảo mật để ngăn chặn việc chỉnh sửa hoặc can thiệp trái phép vào luồng dữ liệu và có cơ chế phòng, chống các hành vi tấn công hoặc can thiệp ứng dụng cài đặt trên thiết bị của khách hàng.
Xác thực sinh trắc học giúp đảm bảo an toàn, bảo mật và giảm rủi ro gian lận trong giao dịch thanh toán trực tuyến (Nguồn ảnh: Internet)
Phần mềm ứng dụng Online Banking phải có chức năng chống đăng nhập tự động
Cụ thể: Tại khoản 6 Điều 7 Thông tư số 50/2024/TT-NHNN quy định các chức năng bắt buộc của phần mềm ứng dụng Online Banking đơn vị phải tuân thủ như:
“a) Toàn bộ dữ liệu khi truyền trên môi trường mạng hoặc dữ liệu trao đổi giữa phần mềm ứng dụng Online Banking với các trang thiết bị liên quan được áp dụng cơ chế mã hóa điểm đầu đến điểm cuối;
b) Bảo đảm tính toàn vẹn của dữ liệu giao dịch, mọi sửa đổi trái phép phải được phát hiện, cảnh báo, ngăn chặn hoặc có biện pháp xử lý phù hợp để bảo đảm sự chính xác của dữ liệu giao dịch trong quá trình thực hiện giao dịch, lưu trữ dữ liệu;
c) Kiểm soát phiên giao dịch: hệ thống có cơ chế tự động ngắt phiên giao dịch khi người sử dụng không thao tác trong một khoảng thời gian do đơn vị quy định hoặc áp dụng các biện pháp bảo vệ khác;
d) Có chức năng che giấu đối với việc hiển thị các mã khóa bí mật, mã PIN dùng để đăng nhập vào hệ thống;
đ) Có chức năng chống đăng nhập tự động;
e) Trong trường hợp tài khoản giao dịch điện tử quy định tại khoản 1 Điều 9 Thông tư này sử dụng mã PIN hoặc mã khóa bí mật làm hình thức xác nhận, phần mềm ứng dụng Online Banking phải có các chức năng kiểm soát mã PIN và mã khóa bí mật;
(i) Yêu cầu khách hàng thay đổi mã PIN hoặc mã khóa bí mật trong trường hợp khách hàng được cấp phát mã PIN hoặc mã khóa bí mật mặc định lần đầu;
(ii) Thông báo cho khách hàng khi mã PIN hoặc mã khóa bí mật sắp hết hiệu lực sử dụng;
(iii) Hủy hiệu lực của mã PIN hoặc mã khóa bí mật khi hết hạn sử dụng; yêu cầu khách hàng thay đổi mã PIN hoặc mã khóa bí mật đã hết hạn sử dụng khi khách hàng sử dụng mã PIN hoặc mã khóa bí mật để đăng nhập;
(iv) Hủy hiệu lực của mã PIN hoặc mã khóa bí mật trong trường hợp bị nhập sai mã PIN hoặc mã khóa bí mật liên tiếp quá số lần do đơn vị quy định (nhưng không quá 10 lần) và thông báo cho khách hàng;
(v) Đơn vị chỉ cấp phát lại mã PIN hoặc mã khóa bí mật khi khách hàng yêu cầu và phải kiểm tra, nhận biết khách hàng trước khi thực hiện cấp phát lại, bảo đảm chống gian lận, giả mạo.
g) Đối với khách hàng là tổ chức, phần mềm ứng dụng được thiết kế để bảo đảm việc thực hiện giao dịch thanh toán trực tuyến bao gồm tối thiểu hai bước: tạo lập và phê duyệt giao dịch. Trong trường hợp khách hàng là hộ kinh doanh hoặc doanh nghiệp siêu nhỏ áp dụng chế độ kế toán đơn giản, việc thực hiện giao dịch không bắt buộc tách biệt hai bước tạo lập và phê duyệt giao dịch;
h) Có chức năng thông báo việc đăng nhập lần đầu phần mềm ứng dụng Online Banking hoặc việc đăng nhập phần mềm ứng dụng Online Banking trên thiết bị khác với thiết bị thực hiện đăng nhập phần mềm ứng dụng Online Banking lần gần nhất qua SMS hoặc các kênh khác do khách hàng đăng ký (điện thoại, thư điện tử...), ngoại trừ trường hợp khách hàng tổ chức: đăng nhập trên các thiết bị đã đăng ký sử dụng dịch vụ; hoặc đăng nhập sử dụng tối thiểu một trong các hình thức xác nhận quy định tại khoản 3, khoản 4, khoản 5, khoản 7, khoản 8, khoản 9 Điều 11 Thông tư này.”
Ngân hàng không gửi tin nhắn, thư điện tử có chứa đường dẫn liên kết
Một trong những quy định mới được đề cập tại khoản 3, Điều 17 Thông tư số 50/2024/TT-NHNN là “đơn vị không gửi tin nhắn SMS, thư điện tử cho khách hàng có nội dung chứa đường dẫn liên kết (hyperlink) truy cập các trang tin điện tử, trừ trường hợp theo yêu cầu của khách hàng.”
Quy định mới này nhằm phòng chống tội phạm lừa đảo khách hàng qua tin nhắn SMS, thư điện tử. Thực tế, nhiều trường hợp khách hàng gặp tin nhắn lừa đảo xuất hiện chung luồng với tin nhắn thương hiệu ngân hàng (gửi tin nhắn tới điện thoại khách hàng), yêu cầu khách hàng truy cập đường link từ đó đánh cắp thông tin tài khoản, dẫn đến rủi ro mất tiền.
Những tin nhắn SMS mang thương hiệu ngân hàng này thường được phát sóng qua các trạm BTS giả đến điện thoại người dùng. Do kẻ gian đặt tên trùng thương hiệu, điện thoại sẽ xếp chung vào luồng tin nhắn của ngân hàng, dụ khách truy cập vào các đường link lừa đảo.
Việc yêu cầu đơn vị không gửi tin nhắn, email chứa đường link có thể giúp khách hàng nhận biết được những tin nhắn SMS lừa đảo.
Ngoài ra, cũng tại Điều 17 của Thông tư còn yêu cầu đơn vị phải công bố thông tin về dịch vụ Online Banking, bảo đảm khách hàng có khả năng tiếp cận được thông tin trước hoặc ngay tại thời điểm đăng ký sử dụng dịch vụ, phải thông tin cho khách hàng về các điều khoản trong thỏa thuận cung cấp, sử dụng dịch vụ online.
Hướng dẫn khách hàng sử dụng dịch vụ và bảo mật thông tin khách hàng
Đặc biệt tại Điều 18 của Thông tư số 50/2024/TT-NHNN quy định: “Đơn vị phải xây dựng quy trình, tài liệu hướng dẫn cài đặt, sử dụng các phần mềm, ứng dụng, thiết bị thực hiện các giao dịch điện tử và cung cấp, hướng dẫn khách hàng sử dụng các quy trình, tài liệu này.”
Bên cạnh đó, đơn vị phải hướng dẫn khách hàng thực hiện các biện pháp bảo đảm an toàn, bảo mật khi sử dụng dịch vụ Online Banking, tối thiểu gồm các nội dung sau:
“a) Bảo vệ bí mật mã khóa bí mật, mã PIN, OTP và không chia sẻ các thiết bị lưu trữ các thông tin này;
b) Nguyên tắc thiết lập mã khóa bí mật, mã PIN và thay đổi mã khóa bí mật, mã PIN của tài khoản giao dịch điện tử;
c) Không nên sử dụng máy tính công cộng để truy cập, thực hiện giao dịch; không nên sử dụng mạng WIFI công cộng khi sử dụng dịch vụ Online Banking;
d) Không lưu lại tên đăng nhập và mã khóa bí mật, mã PIN trên các trình duyệt;
đ) Thoát khỏi phần mềm ứng dụng Online Banking khi không sử dụng;
e) Nhận dạng và hành động xử lý một số tình huống lừa đảo, giả mạo trang tin điện tử, phần mềm ứng dụng Online Banking;
g) Cài đặt đầy đủ các bản vá lỗ hổng bảo mật của hệ điều hành, phần mềm ứng dụng Mobile Banking; xem xét cài đặt phần mềm phòng chống mã độc và cập nhật mẫu nhận diện mã độc mới nhất trên thiết bị cá nhân sử dụng để giao dịch;
h) Lựa chọn các hình thức xác nhận giao dịch có mức độ an toàn, bảo mật theo quy định và phù hợp với nhu cầu của khách hàng về hạn mức giao dịch;
i) Cảnh báo các rủi ro liên quan đến việc sử dụng dịch vụ Online Banking;
k) Không sử dụng các thiết bị di động đã bị phá khóa để tải và sử dụng phần mềm ứng dụng Online Banking, phần mềm tạo OTP;
l) Không cài đặt các phần mềm lạ, phần mềm không có bản quyền, phần mềm không rõ nguồn gốc;
m) Thông báo kịp thời cho đơn vị khi phát hiện các giao dịch bất thường;
n) Thông báo ngay cho đơn vị các trường hợp: mất, thất lạc, hư hỏng thiết bị tạo OTP, số điện thoại nhận tin nhắn SMS, thiết bị lưu trữ khóa bảo mật tạo chữ ký điện tử; bị lừa đảo hoặc nghi ngờ bị lừa đảo; bị tin tặc hoặc nghi ngờ bị tin tặc tấn công.”
Ngoài ra, đơn vị phải cung cấp cho khách hàng thông tin về đầu mối tiếp nhận thông tin, số điện thoại đường dây nóng và chỉ dẫn cho khách hàng quy trình, cách thức phối hợp xử lý các lỗi và sự cố trong quá trình sử dụng dịch vụ Online Banking và phải giải thích cho khách hàng về những trường hợp cụ thể đơn vị sẽ liên lạc với khách hàng, cách thức, phương tiện liên lạc trong quá trình khách hàng sử dụng dịch vụ Online Banking.
Về bảo mật thông tin khách hàng
Điều 19 Thông tư số 50/2024/TT-NHNN quy định:
“Đơn vị phải áp dụng các biện pháp bảo đảm an toàn, bảo mật dữ liệu khách hàng, tối thiểu bao gồm:
1. Dữ liệu của khách hàng phải được bảo đảm an toàn, bảo mật theo quy định của pháp luật.
2. Thông tin sử dụng để xác nhận giao dịch của khách hàng bao gồm mã khóa bí mật, mã PIN, thông tin sinh trắc học khi lưu trữ phải áp dụng các biện pháp mã hóa hoặc che dấu để bảo đảm tính bí mật.
3. Thiết lập quyền truy cập đúng chức năng, nhiệm vụ cho nhân sự thực hiện nhiệm vụ truy cập dữ liệu khách hàng; có biện pháp giám sát mỗi lần truy cập.
4. Có biện pháp quản lý truy cập, tiếp cận các thiết bị, phương tiện lưu trữ dữ liệu của khách hàng để phòng chống nguy cơ lộ, lọt dữ liệu.
5. Thông báo cho khách hàng khi xảy ra sự cố làm lộ, lọt dữ liệu của khách hàng và báo cáo kịp thời về NHNN (Cục Công nghệ thông tin)”.
Như vậy, Thông tư số 50/2024/TT-NHNN quy định những tiêu chuẩn mới, phù hợp với thực tiễn hoạt động của dịch vụ ngân hàng số và yêu cầu quản lý Nhà nước. NHNN cho biết đây là bước đi quan trọng nhằm nâng cao chất lượng dịch vụ và bảo vệ quyền lợi của khách hàng trong bối cảnh các mối đe dọa an ninh mạng ngày càng gia tăng.
Đồng bộ các giải pháp đảm bảo an ninh, an toàn trong cung cấp và sử dụng dịch vụ ngân hàng trên nền tảng số
Thời gian qua, đảm bảo an ninh, an toàn thông tin và tài khoản khách hàng, ngành Ngân hàng đã và đang tổ chức triển khai nhiều giải pháp mang tính tổng thể, đồng bộ, đồng thời phối hợp cơ quan công an trong điều tra, xử lý, ngăn chặn các hành vi vi phạm pháp luật trong lĩnh vực tiền tệ ngân hàng.
Trong công tác ban hành chính sách và chỉ đạo thực hiện, Thống đốc NHNN đã ban hành hệ thống văn bản quy định về an ninh, an toàn thông tin đối với các hệ thống thông tin cung cấp dịch vụ ngân hàng điện tử.
Ngay từ đầu năm 2024, ngoài Chỉ thị số 01/CT-NHNN ngày 15/01/2024 của Thống đốc NHNN về tổ chức thực hiện các nhiệm vụ trọng tâm của ngành Ngân hàng trong năm 2024, Thống đốc NHNN còn ban hành Chỉ thị số 02/CT-NHNN ngày 15/01/2024 về việc đẩy mạnh chuyển đổi số và bảo đảm an ninh, an toàn thông tin trong hoạt động ngân hàng để quán triệt, chỉ đạo toàn Ngành thực hiện đầy đủ, nghiêm túc công tác bảo đảm an ninh, an toàn thông tin. Ngày 01/02/2024, Thống đốc NHNN đã có Quyết định số 182/QĐ-NHNN ban hành Kế hoạch năm 2024 của ngành Ngân hàng triển khai Quyết định số 06/QĐ-TTg ngày 06/01/2022 của Thủ tướng Chính phủ phê duyệt Đề án phát triển ứng dụng dữ liệu về dân cư, định danh và xác thực điện tử phục vụ việc chuyển đổi số quốc gia giai đoạn 2022 - 2025, tầm nhìn đến năm 2030 (Đề án 06). Đồng thời, ngành Ngân hàng tiếp tục thực hiện Kế hoạch số 01/KHPH-BCA-NHNNVN ngày 24/4/2023 phối hợp giữa NHNN với Bộ Công an triển khai các nhiệm vụ tại Đề án 06.
Bên cạnh đó, Thống đốc NHNN đã ban hành các văn bản quy phạm pháp luật và văn bản chỉ đạo các TCTD trong việc bảo đảm an toàn thông tin cho việc cung cấp dịch vụ ngân hàng trên Internet, bao gồm các biện pháp phòng, chống hình thức tấn công vào thiết bị cài đặt ứng dụng Mobile Banking của khách hàng để đánh cắp thông tin tài khoản ngân hàng và những biện pháp giám sát, phát hiện các giao dịch có dấu hiệu gian lận. Chẳng hạn như: Thông tư số 47/2014/TT-NHNN ngày 31/12/2014 của Thống đốc NHNN quy định các yêu cầu kỹ thuật về an toàn bảo mật đối với trang thiết bị phục vụ thanh toán thẻ ngân hàng; Thông tư số 35/2016/TT-NHNN ngày 29/12/2016 của Thống đốc NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet; Thông tư số 35/2018/TT-NHNN ngày 24/12/2018 của Thống đốc NHNN sửa đổi, bổ sung một số điều của Thông tư số 35/2016/TT-NHNN; Thông tư số 09/2020/TT-NHNN ngày 21/10/2020 của Thống đốc NHNN quy định về an toàn hệ thống thông tin trong hoạt động ngân hàng; Thông tư số 20/2020/TT-NHNN ngày 31/12/2020 của Thống đốc NHNN sửa đổi, bổ sung một số điều của Thông tư số 47/2014/TT-NHNN…
Nhằm tăng cường an ninh, bảo mật các giao dịch ngân hàng trực tuyến và thực hiện hiệu quả công tác đấu tranh phòng, chống các loại tội phạm, Thống đốc NHNN đã ban hành Quyết định số 2345/QĐ-NHNN ngày 18/12/2023 về triển khai các giải pháp an toàn, bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng, trong đó có quy định về xác thực sinh trắc học khi thực hiện giao dịch chuyển tiền trên 10 triệu đồng (hoặc tổng giá trị giao dịch lớn hơn 20 triệu đồng/ngày), hoặc khi thay đổi, cài đặt ứng dụng Mobile Banking trên thiết bị di động mới.
Ngoài ra, NHNN đã ban hành một số quy định mới bắt buộc khách hàng chỉ được rút tiền, thực hiện giao dịch thanh toán bằng phương tiện điện tử khi đã hoàn thành việc đối chiếu khớp đúng giấy tờ tùy thân và thông tin sinh trắc học với: “a) Dữ liệu sinh trắc học được lưu trong bộ phận lưu trữ thông tin được mã hóa của thẻ căn cước công dân hoặc thẻ căn cước đã được xác thực chính xác là do cơ quan Công an cấp hoặc thông qua xác thực tài khoản định danh điện tử của người đó do Hệ thống định danh và xác thực điện tử tạo lập; b) Dữ liệu sinh trắc học đã được thu thập và kiểm tra (đảm bảo sự khớp đúng giữa dữ liệu sinh trắc học của người đó với dữ liệu sinh trắc học trong bộ phận lưu trữ thông tin được mã hóa của thẻ căn cước công dân hoặc thẻ căn cước đã được xác thực chính xác là do cơ quan Công an cấp hoặc với dữ liệu sinh trắc học của người đó thông qua xác thực tài khoản định danh điện tử do Hệ thống định danh và xác thực điện tử tạo lập); c) Dữ liệu sinh trắc học được thu thập thông qua gặp mặt trực tiếp người đó đối với trường hợp là người nước ngoài không sử dụng danh tính điện tử, người gốc Việt Nam chưa xác định được quốc tịch; d) Dữ liệu sinh trắc học của người đó được lưu trong Cơ sở dữ liệu quốc gia về dân cư trong trường hợp sử dụng thẻ căn cước công dân không có bộ phận lưu trữ thông tin được mã hóa.”
Quy định này có hiệu lực từ ngày 01/01/2025, còn đối với TCTD được kiểm soát đặc biệt áp dụng từ 01/7/2025 (theo khoản 6 Điều 16 Thông tư số 18/2024/TT-NHNN ngày 28/6/2024 của Thống đốc NHNN quy định về hoạt động thẻ ngân hàng).
Việc triển khai xác thực sinh trắc học trong các giao dịch ngân hàng góp phần bảo đảm giao dịch thanh toán trực tuyến được thực hiện bởi chính chủ tài khoản, qua đó sẽ nâng cao an ninh, an toàn, bảo mật cho giao dịch thanh toán trực tuyến, giảm thiểu rủi ro gian lận, lừa đảo trong giao dịch thanh toán trực tuyến.
Từ năm 2023 đến nay, NHNN và các TCTD đã nghiên cứu, xây dựng và thử nghiệm thành công về mặt kỹ thuật hệ thống giám sát các tài khoản thanh toán, ví điện tử nghi ngờ gian lận, giả mạo (SIMO). Hệ thống SIMO cho phép các tổ chức thành viên tham gia thực hiện báo cáo thông tin về những tài khoản đáng ngờ và chia sẻ thông tin tới các thành viên khác. Trên cơ sở nguồn dữ liệu tập trung của hệ thống SIMO và nguồn dữ liệu về danh sách tài khoản đã tham gia vào quá trình luân chuyển dòng tiền lừa đảo đã được Bộ Công an thu thập, các TCTD có thể đưa ra quyết định thực hiện ngăn chặn giao dịch ngay lập tức hoặc yêu cầu xác thực, định danh tài khoản trước khi thực hiện giao dịch trực tuyến.
Bên cạnh đó, NHNN thường xuyên chỉ đạo các TCTD làm tốt công tác truyền thông, tuyên truyền, cảnh báo về các thủ đoạn của tội phạm mạng, nâng cao nhận thức của người dân về sử dụng ngân hàng điện tử, từ đó khuyến khích, hỗ trợ người dân trong việc tiếp cận, sử dụng hiệu quả các dịch vụ ngân hàng trực tuyến, thúc đẩy thanh toán không dùng tiền mặt. Ngoài ra, qua theo dõi tình hình an toàn thông tin, NHNN đã thường xuyên, kịp thời cảnh báo về các rủi ro, lỗ hổng bảo mật và chỉ đạo các TCTD triển khai các giải pháp phòng chống.
Thời gian tới, NHNN tiếp tục phối hợp với Bộ Công an chỉ đạo các TCTD đẩy mạnh triển khai Đề án 06, làm sạch dữ liệu khách hàng; hoàn thành đúng tiến độ đã đặt ra tại Kế hoạch phối hợp giữa Bộ Công an và NHNN; tiếp tục phối hợp với các cơ quan chức năng liên quan trong công tác phòng chống tội phạm, phát hiện và ngăn chặn các hành vi gian lận, lừa đảo, bất hợp pháp; thực hiện công tác kiểm tra về hoạt động thanh toán và thường xuyên có cảnh báo, chỉ đạo, chấn chỉnh kịp thời các TCTD nghiêm túc chấp hành các quy định pháp luật, đảm bảo an toàn hoạt động thanh toán, an toàn tài sản cho khách hàng. Đồng thời, ngành Ngân hàng sớm triển khai vận hành hệ thống giám sát các tài khoản thanh toán, ví điện tử nghi ngờ gian lận, giả mạo (SIMO).
NHNN tiếp tục phối hợp với Bộ Thông tin và Truyền thông (Cục An toàn thông tin) thiết lập kênh phản ứng nhanh để ngăn chặn kịp thời website giả mạo các tổ chức trong ngành Ngân hàng. Khi phát hiện có website giả mạo, các ngân hàng sẽ cung cấp thông tin cho Cục An toàn thông tin thông qua kênh phản ứng nhanh để chỉ đạo các nhà cung cấp dịch vụ Internet thiết lập chính sách an ninh mạng ngăn chặn truy cập.
Các tổ chức cung ứng dịch vụ thanh toán, tổ chức cung ứng dịch vụ trung gian thanh toán cần: Tăng cường đầu tư hạ tầng kỹ thuật số, chất lượng nhân lực về công nghệ trong lĩnh vực tài chính, ngân hàng, đặc biệt chú trọng đến địa bàn nông thôn (nơi mà người dân dễ bị kẻ gian lợi dụng để lừa đảo) nhằm bảo đảm an ninh, bảo mật dữ liệu và ứng cứu xử lý kịp thời các tình huống phát sinh. Cảnh giác trước các giao dịch bất thường, có dấu hiệu lừa đảo, kịp thời thông tin, can thiệp với khách hàng và cơ quan chức năng ngăn chặn kịp thời không để xảy ra hậu quả đáng tiếc. Xây dựng đội ngũ giám sát và phân tích, cảnh báo rủi ro về gian lận; đào tạo đội ngũ chăm sóc khách hàng xử lý các trường hợp gian lận; xây dựng các kịch bản, quy trình, hướng dẫn ứng phó chi tiết với các sự cố về gian lận trực tuyến. Xây dựng quy trình giám sát, cảnh báo các giao dịch gian lận; xây dựng quy trình kiểm soát chặt ngay từ khâu mở tài khoản tại quầy. Đặc biệt, cần đẩy mạnh truyền thông, qua đó giúp nông dân nâng cao hiểu biết trong quá trình sử dụng sản phẩm tài chính số, giảm thiểu rủi ro cho khách hàng.
Ngoài ra, khách hàng cũng cần tuân thủ các quy định, hướng dẫn của ngân hàng, đồng thời thường xuyên cập nhật các hướng dẫn, khuyến cáo của ngân hàng trong việc bảo đảm an ninh, an toàn thông tin và tài khoản.
Tài liệu tham khảo:
1. Quyết định số 06/QĐ-TTg ngày 06/01/2022 của Thủ tướng Chính phủ phê duyệt Đề án phát triển ứng dụng dữ liệu về dân cư, định danh và xác thực điện tử phục vụ việc chuyển đổi số quốc gia giai đoạn 2022 - 2025, tầm nhìn đến năm 2030.
2. Quyết định số 2345/QĐ-NHNN ngày 18/12/2023 của Thống đốc NHNN về triển khai các giải pháp an toàn, bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng.
3. Thông tư số 50/2024/TT-NHNN ngày 31/10/2024 của Thống đốc NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng.
4. Thông tư số 18/2024/TT-NHNN ngày 28/6/2024 của Thống đốc NHNN quy định về hoạt động thẻ ngân hàng.
Minh Hà (NHNN)
https://tapchinganhang.gov.vn
