Tóm tắt: Bài viết phân tích công nghệ deepfake sử dụng trí tuệ nhân tạo (AI), mặt trái của công nghệ này đang là mối đe dọa đáng lo ngại đối với an ninh tài chính toàn cầu. Với mức độ ngày càng tinh vi, tội phạm công nghệ cao sử dụng deepfake để giả mạo hình ảnh, giọng nói, video, thực hiện các hành vi lừa đảo chiếm đoạt tài sản. Thông qua các vụ việc điển hình sử dụng deepfake để lừa đảo, chiếm đoạt tài sản trên thế giới và Việt Nam, bài viết chỉ ra những lỗ hổng về kỹ thuật, quản trị và pháp lý trong lĩnh vực tài chính - ngân hàng; từ đó đề xuất giải pháp ứng phó hiệu quả, góp phần bảo vệ hệ thống ngân hàng và thúc đẩy phát triển bền vững trong môi trường số hóa.
Từ khóa: Deepfake, tài chính - ngân hàng, tội phạm công nghệ cao, chuyển đổi số, số hóa.
FINANCE - BANKING IN THE DEEPFAKE ERA: RISKS AND RESPONSES
Abstract: The article analyzes deepfake technology using artificial intelligence (AI), highlighting its dark side as an alarming threat to global financial security. With increasing sophistication, high-tech criminals use deepfake technology to impersonate images, voices, and videos in order to carry out fraudulent acts and misappropriate assets. By examining typical cases using deepfake technology to misappropriate assets both globally and in Vietnam, the article highlights critical technical, managerial, and legal loopholes in the financial and banking sectors, thereby proposing effective response solutions to protect the banking system and promote sustainable development in a digitalized environment.
Keywords: Deepfake, finance - banking, high-tech crime, digital transformation, digitization.
 |
| Nguy cơ deepfake ngày càng hiện hữu trong bối cảnh số hóa ngân hàng phát triển nhanh |
Xuất hiện từ năm 2017, deepfake là thuật ngữ ghép từ "deep learning" (học sâu) và "fake" (giả mạo), cho phép tạo ra hình ảnh, video, âm thanh giả mạo chân thực đến mức khó phân biệt. Công nghệ này sử dụng AI và học máy để "ghép" khuôn mặt, giọng nói của một người vào nội dung do máy tính tạo ra, trông y như thật. Với sự phát triển mạnh mẽ của công nghệ AI, việc tạo nội dung giả đã trở nên dễ dàng với chi phí thấp, gây lo ngại sâu sắc trong lĩnh vực tài chính - ngân hàng, nơi tính xác thực và niềm tin chính là yếu tố then chốt cho sự phát triển.
Đặc biệt, sự xuất hiện của AI tạo sinh (Generative AI) đã mang đến cho tội phạm công nghệ những công cụ mới để thực hiện lừa đảo với quy mô lớn. Nhiều tổ chức tài chính đã trở thành nạn nhân. Điển hình, đầu năm 2024, một công ty đa quốc gia tại Hồng Kông bị lừa chuyển 25 triệu USD sau cuộc họp trực tuyến với "giám đốc tài chính" giả mạo bằng video deepfake. Trước đó, giọng nói nhân tạo mạo danh CEO đã chiếm đoạt 35 triệu USD từ một ngân hàng ở Các tiểu Vương quốc Ả rập Thống nhất (UAE). Các chuyên gia dự báo thiệt hại do gian lận AI sẽ ngày càng gia tăng; riêng tại Mỹ, tổn thất có thể lên tới 40 tỉ USD vào năm 2027, tăng từ 12,3 tỉ USD năm 2023 (tốc độ tăng trưởng 32% mỗi năm).
Tại Việt Nam, nguy cơ deepfake ngày càng hiện hữu trong bối cảnh số hóa ngân hàng phát triển nhanh. Nhiều người dùng đã trở thành nạn nhân của các vụ lừa đảo tài chính sử dụng deepfake và AI. Điều này cho thấy tính cấp bách của vấn đề và sự cần thiết phải nhận diện rõ tác động, rủi ro, cũng như xây dựng chiến lược ứng phó hiệu quả.
1. Tổng quan về công nghệ deepfake
Công nghệ deepfake được tạo ra bằng AI theo hướng “tổng hợp sâu”, từ video, hình ảnh đến giọng nói và văn bản. Thuật toán AI (đặc biệt là các mô hình Generative Adversarial Network - GAN) được huấn luyện trên tập dữ liệu lớn về khuôn mặt, giọng nói của một người, sau đó tạo ra nội dung giả mạo sao cho giống thật nhất có thể. Khác với các kỹ xảo cắt ghép truyền thống, deepfake ứng dụng học sâu nên có thể tái hiện chuẩn xác các tiểu tiết về biểu cảm khuôn mặt, âm sắc, ngữ điệu giọng nói, khiến người xem/nghe thông thường rất khó phát hiện.
Độ chân thực của deepfake ngày càng tăng, trong khi thời gian và chi phí tạo ra chúng lại giảm xuống mức tối thiểu, chỉ cần một máy tính cá nhân và vài phần mềm mã nguồn mở là tội phạm có thể bắt đầu. Theo báo cáo của Sensity, có hơn 10.200 công cụ tạo ảnh deepfake, gần 2.300 công cụ ghép mặt vào video và hơn 1.000 công cụ tạo hoặc nhân bản giọng nói. Đáng chú ý, 47 công cụ được thiết kế chuyên biệt để qua mặt quy trình KYC (xác minh danh tính khách hàng) tại các tổ chức tài chính. Thị trường chợ đen cũng tràn ngập dịch vụ deepfake; tội phạm có thể mua "bộ công cụ lừa đảo" với giá chỉ từ 20 USD. Điều này đồng nghĩa rằng ngay cả những nhóm tội phạm nhỏ lẻ cũng có thể tiếp cận và sử dụng deepfake làm vũ khí tấn công.
Về mặt kỹ thuật, deepfake là bài toán khó vì nội dung giả mạo ngày càng tinh vi. AI không ngừng "tự học" để cải thiện chất lượng giả mạo và ẩn giấu dấu vết chỉnh sửa. Nghiên cứu cho thấy, chỉ cần trong khoảng 15 giây với mẫu giọng nói của nạn nhân, thuật toán có thể tạo ra một đoạn nói chuyện với giọng y hệt người đó. Tương tự, chỉ vài bức ảnh chân dung trên mạng xã hội là AI có thể tái tạo khuôn mặt nạn nhân trong một video bất kỳ. Chính vì "thật đến khó tin" như vậy, deepfake dễ lợi dụng xu hướng tin vào mắt tai của con người; nạn nhân khi nhìn tận mắt, nghe tận tai hình ảnh hoặc tiếng nói quen thuộc thường mất cảnh giác và sập bẫy lừa đảo.
Ban đầu, deepfake được biết đến qua các video giả mạo người nổi tiếng (video giả cựu Tổng thống Mỹ Barack Obama năm 2018, video giả Giám đốc Facebook Mark Zuckerberg năm 2019...). Tuy nhiên, từ mục đích giải trí hoặc tuyên truyền, công nghệ này nhanh chóng bị "vũ khí hóa" bởi tội phạm mạng để trục lợi tài chính. Deepfake trở thành con dao hai lưỡi của thời đại AI, nếu không có biện pháp kiểm soát, nó có thể gây ra những hệ lụy khôn lường đối với an ninh tài chính và ổn định xã hội.
2. Tác động và rủi ro đối với lĩnh vực tài chính - ngân hàng toàn cầu
Deepfake đang mở ra nhiều phương thức tấn công mới nhằm vào ngành tài chính - ngân hàng trên thế giới. Dưới đây là những rủi ro và mối đe dọa chính đã được ghi nhận:
Thứ nhất, giả mạo lãnh đạo, lừa đảo chiếm đoạt tài sản: Đây là hình thức đã và đang xảy ra tại nhiều quốc gia. Tội phạm sử dụng deepfake để mạo danh các nhân vật cấp cao (CEO, giám đốc tài chính…) và đưa ra yêu cầu chuyển tiền hoặc tiết lộ thông tin nhạy cảm. Gần đây, thủ đoạn này còn tinh vi hơn khi kết hợp giả mạo hình ảnh qua video call: Tháng 01/2024, tại Hồng Kông, nhân viên một công ty đã tham gia cuộc họp trực tuyến với người mà cô tin là Giám đốc tài chính (CFO) cùng một số đồng nghiệp, và nhân viên đó đã làm theo “chỉ đạo” chuyển 25 triệu USD cho đối tác, sau đó mới phát hiện toàn bộ cuộc gọi là giả, khuôn mặt và giọng nói CFO đều do AI dựng nên. Vụ việc trên cho thấy tội phạm có thể qua mặt cả các quy trình kiểm tra nội bộ nếu nhân viên ngân hàng/doanh nghiệp thiếu cảnh giác. Deepfake kiểu “giả sếp lớn” không chỉ khiến doanh nghiệp mất tiền mà còn đe dọa uy tín và lòng tin vào hệ thống giao dịch điện tử.
Thứ hai, giả mạo danh tính, mở tài khoản và vay vốn gian lận: Deepfake cho phép tạo ra danh tính giả tinh vi, qua mắt được quy trình xác thực của ngân hàng. Lợi dụng các kẽ hở của ngân hàng, tổ chức tín dụng khi triển khai dịch vụ định danh khách hàng trực tuyến (eKYC), tội phạm sử dụng AI để chế ảnh giả và video giả khuôn mặt người thật nhằm qua mặt bước KYC, mở tài khoản dưới danh tính không có thật. Theo cảnh báo của Mạng lưới Thực thi tội phạm tài chính Mỹ (FinCEN), tội phạm đang dùng deepfake để vượt qua khâu xác minh danh tính tại nhiều ngân hàng. Sau khi có được tài khoản “sạch” mang tên người giả, chúng tiến hành các phi vụ lừa đảo tài chính. Nguy hiểm hơn, các tài khoản ảo này còn được dùng làm tài khoản để rửa tiền, gây khó khăn cho cơ quan điều tra do danh tính chủ tài khoản không có thật. Nghiên cứu cho thấy, các vụ gian lận liên quan đến deepfake tại lĩnh vực ngân hàng - công nghệ tài chính đã tăng tới 700% chỉ trong năm 2023.
Thứ ba, lừa đảo đầu tư và thao túng thị trường: Deepfake không chỉ được dùng để tấn công trực tiếp vào hệ thống ngân hàng, mà còn để lừa đảo người dùng cuối và thậm chí ảnh hưởng đến thị trường tài chính. Một số nhóm tội phạm đã tạo ra các video giả mạo nhân vật nổi tiếng nhằm quảng bá cho dự án lừa đảo, dụ người xem đầu tư. Ví dụ như, tại Singapore đã từng xuất hiện video deepfake Thủ tướng Singapore Lý Hiển Long “giới thiệu” một nền tảng tiền số; tại Sri Lanka, ngân hàng trung ương cảnh báo có video AI giả mạo Thống đốc nước này kêu gọi đầu tư vào một dự án lợi nhuận “siêu cao”. Bên cạnh đó, giới chuyên gia cũng lo ngại deepfake có thể được sử dụng để thao túng thị trường chứng khoán.
Thứ tư, rủi ro tống tiền và xâm phạm uy tín: Deepfake có thể tạo ra khủng hoảng niềm tin cho xã hội và khách hàng ngân hàng. Tội phạm có thể dùng deepfake để tạo video nhạy cảm nhằm tống tiền doanh nhân hoặc quan chức. Tại nhiều quốc gia, xuất hiện hiện tượng gọi điện giả giọng người thân thông báo bắt cóc để buộc gia đình chuyển tiền chuộc, hoặc giả giọng bác sĩ yêu cầu thanh toán viện phí khẩn cấp. Từ góc độ tổ chức tài chính, khách hàng có thể mất dần lòng tin vào giao dịch số, e ngại khi nhận cuộc gọi/tin nhắn từ nhân viên ngân hàng, thậm chí hoài nghi cả thông báo chính thống.
Trước sự gia tăng của các vụ việc liên quan đến deepfake, nhiều cơ quan quản lý và tổ chức tài chính quốc tế đã lên tiếng cảnh báo.
Tại Mỹ, Mạng lưới Thực thi tội phạm tài chính Mỹ (FinCEN) đã ban hành FIN-2024-Alert004 để giúp các tổ chức tài chính xác định các chương trình gian lận liên quan đến deepfake. FinCEN cũng lưu ý các ngân hàng tăng cường phát hiện dấu hiệu deepfake. Cục Dự trữ Liên bang Mỹ (Fed) nhấn mạnh, các ngân hàng cần chủ động nâng cao năng lực an ninh mạng. Về phía các tổ chức quốc tế, Quỹ Tiền tệ Quốc tế (IMF) trong Báo cáo Ổn định Tài chính Toàn cầu tháng 4/2024 đã đề cập rủi ro deepfake, coi đây là một yếu tố gia tăng nguy cơ của tội phạm mạng đối với hệ thống tài chính. Ngân hàng Thanh toán Quốc tế (BIS) cũng liên tục cập nhật về chủ đề AI và an ninh ngân hàng; đồng thời lưu ý rằng, sự phát triển của deepfake đe dọa an ninh thông tin và yêu cầu các ngân hàng trung ương phải theo sát hiện tượng này nhằm bảo đảm an toàn hệ thống thanh toán.
Bên cạnh đó, các tổ chức tài chính và công ty an ninh mạng lớn trên thế giới cũng lên tiếng trước xu hướng đáng lo ngại này. Ngân hàng Thế giới (World Bank) và Diễn đàn Kinh tế Thế giới (WEF) đã thảo luận về rủi ro deepfake trong khuôn khổ các vấn đề an ninh số của ngành tài chính. Vào năm 2024, Deloitte đã công bố dự báo rằng tổn thất do gian lận AI sẽ tăng mạnh, đồng thời lưu ý nhiều ngân hàng chưa có khung quản trị rủi ro phù hợp cho các công nghệ AI mới.
3. Thực trạng tại Việt Nam: Nguy cơ và lỗ hổng
Tại Việt Nam, mặc dù chưa ghi nhận những vụ việc gây chấn động như quốc tế, nhưng nguy cơ từ deepfake đối với lĩnh vực tài chính - ngân hàng là hoàn toàn hiện hữu. Theo một báo cáo về an ninh mạng khu vực châu Á - Thái Bình Dương, Việt Nam nằm trong nhóm quốc gia có tốc độ gia tăng các vụ lừa đảo deepfake nhanh nhất khu vực. Điều này đồng nghĩa với việc tội phạm đã và đang tích cực khai thác công nghệ AI tại Việt Nam, đòi hỏi các ngân hàng và người dùng không được chủ quan.
Thực tế thời gian qua ở Việt Nam đã xuất hiện nhiều chiêu thức lừa đảo ứng dụng deepfake nhắm vào người dân và doanh nghiệp. Một trong những thủ đoạn phổ biến là giả mạo người thân, bạn bè trên mạng xã hội để vay tiền.
Mới đây, anh Nguyễn T. H. (Hà Nội) nhận được tin nhắn từ tài khoản Facebook của một người bạn hỏi mượn tiền. Nghi ngờ có dấu hiệu lừa đảo, anh H. yêu cầu gọi video để xác thực. Đối tượng lập tức thực hiện cuộc gọi video, khuôn mặt và giọng nói trên màn hình đúng là của người bạn nên anh H. tin tưởng chuyển tiền. Chỉ sau đó anh mới phát hiện mình đã bị lừa, kẻ gian đã hack Facebook bạn anh và dùng AI tạo video giả mạo vài giây khuôn mặt, giọng nói của chủ tài khoản để qua mặt anh H.
Vụ việc cho thấy ngay cả các biện pháp xác thực tưởng chừng chắc chắn như video call trực tiếp cũng có thể bị vô hiệu hóa bởi deepfake. Tâm lý “mắt thấy tay sờ” của nhiều người dùng Việt Nam đang bị tội phạm lợi dụng triệt để.
Một lỗ hổng khác, đó là nguy cơ giả mạo danh tính mở tài khoản ngân hàng tại Việt Nam. Hiện nay, nhiều ngân hàng Việt đã triển khai eKYC cho phép mở tài khoản online bằng cách chụp ảnh giấy tờ tùy thân và khuôn mặt. Nếu các ngân hàng chưa kịp trang bị công nghệ chống giả mạo, tội phạm có thể dùng ảnh chân dung AI hoặc video deepfake để đăng ký tài khoản dưới tên người khác. Thậm chí, chúng có thể mua dữ liệu rò rỉ (ảnh căn cước công dân thật ngoài chợ đen) rồi “độ” lại bằng AI cho khớp với video selfie giả, tạo hồ sơ hoàn chỉnh hòng qua mắt hệ thống.
Giới chuyên gia an ninh tại Việt Nam đánh giá, deepfake là một trong những mối đe dọa nghiêm trọng nhất hiện nay. Theo ông Ngô Tấn Vũ Khanh - Giám đốc Phát triển Kaspersky tại Việt Nam, tội phạm có thể khai thác AI để tạo hình ảnh, video, giọng nói giả rất thuyết phục, do đó đã vượt qua các hệ thống xác thực hoặc phá vỡ các giao thức an ninh hiện tại.
Những năm gần đây, các ngân hàng tại Việt Nam đã ứng dụng nhiều công nghệ sinh trắc học (nhận diện khuôn mặt, giọng nói…) trong giao dịch điện tử. Tuy nhiên, chính các công nghệ này lại trở thành mục tiêu “đánh lừa” của deepfake. Nếu ngân hàng chủ quan, chưa cập nhật biện pháp nhận biết nội dung giả, tội phạm có thể lợi dụng kẽ hở để tạo tài khoản ảo, vay vốn tín chấp bằng hồ sơ giả rồi biến mất, hoặc thực hiện các giao dịch gian lận khác.
Hạ tầng ngân hàng số càng phát triển thì “bề mặt tấn công” cho tội phạm công nghệ cao càng rộng. Nếu không chủ động đánh giá và bịt các lỗ hổng (về kỹ thuật lẫn nhận thức người dùng), hệ thống tài chính trong nước có thể trở thành “mảnh đất màu mỡ” cho các thủ đoạn lừa đảo dựa trên deepfake. Một vấn đề nữa là nhận thức và thói quen người dùng. Nhiều khách hàng Việt chưa được trang bị kiến thức cảnh giác với deepfake, dễ tin tưởng khi thấy hình ảnh quen thuộc. Tâm lý ngại kiểm tra đa lớp (ví dụ gọi lại số chính thống của ngân hàng để xác minh) cũng khiến nhiều người sập bẫy. Thêm vào đó, tình trạng chia sẻ tràn lan hình ảnh cá nhân trên mạng xã hội tại Việt Nam tạo nguồn dữ liệu dồi dào để kẻ xấu khai thác, huấn luyện AI.
Trước những nguy cơ rủi ro từ sự tấn công của tội phạm khai thác công nghệ deepfake và AI, các cơ quan chức năng cũng đã có những động thái cảnh báo sớm, ngăn chặn các hành vi mở tài khoản thanh toán mạo danh, nặc danh với mục đích lừa đảo. Cụ thể: Điều 6 Nghị định số 101/2012/NĐ-CP ngày 22/11/2012 của Chính phủ về thanh toán không dùng tiền mặt đã quy định các hành vi bị cấm gồm: Cung cấp thông tin không trung thực trong quá trình cung ứng và sử dụng dịch vụ thanh toán, dịch vụ trung gian thanh toán; mở hoặc duy trì tài khoản thanh toán nặc danh, mạo danh. Tiếp đó, tại Nghị định số 52/2024/NĐ-CP ngày 15/5/2024 của Chính phủ quy định về thanh toán không dùng tiền mặt, có hiệu lực từ ngày 01/7/2024 (thay thế Nghị định số 101/2012/NĐ-CP), trong đó bổ sung quy định về hành vi bị cấm tại khoản 3, 5 Điều 8 gồm: Cung cấp không trung thực thông tin có liên quan đến việc cung ứng hoặc sử dụng dịch vụ thanh toán, dịch vụ trung gian thanh toán; mở hoặc duy trì tài khoản thanh toán, ví điện tử nặc danh, mạo danh; mua, bán, thuê, cho thuê, mượn, cho mượn tài khoản thanh toán, ví điện tử; thuê, cho thuê, mua, bán, mở hộ thẻ ngân hàng (trừ trường hợp thẻ trả trước vô danh); lấy cắp, thông đồng để lấy cắp, mua, bán thông tin tài khoản thanh toán, thông tin thẻ ngân hàng, thông tin ví điện tử. Bộ Công an, Bộ Thông tin và Truyền thông (nay là Bộ Khoa học và Công nghệ) cũng liên tục phát đi khuyến cáo người dân về thủ đoạn lừa đảo giả mạo hình ảnh, giọng nói bằng AI; cảnh báo tội phạm sử dụng công nghệ cao (trong đó có deepfake) đang có xu hướng xuyên biên giới, ẩn danh, gây thách thức lớn cho công tác bảo đảm an ninh trật tự.
Về phía Ngân hàng Nhà nước Việt Nam (NHNN), thời gian qua NHNN đã thường xuyên ban hành các văn bản chỉ đạo toàn ngành Ngân hàng tăng cường phòng, chống, ngăn ngừa hành vi gian lận liên quan mở và sử dụng tài khoản thanh toán, yêu cầu các ngân hàng tăng cường biện pháp quản lý rủi ro, đặc biệt công tác hậu kiểm để kịp thời phát hiện các sai lệch thông tin định danh và dấu hiệu bất thường trong quá trình khách hàng mở và sử dụng tài khoản thanh toán bằng eKYC, qua đó nhằm phòng ngừa, phát hiện các hành vi, thủ đoạn gian lận trong hoạt động ngân hàng nói chung và hoạt động thanh toán nói riêng.
Tại buổi họp báo Ngày không tiền mặt 2025 với chủ đề "Thanh toán không tiền mặt thúc đẩy kinh tế số" do NHNN, Báo Tuổi trẻ phối hợp Sở Công thương Thành phố Hồ Chí Minh, Công ty cổ phần thanh toán quốc gia Việt Nam (Napas) đồng tổ chức ngày 02/6/2025 vừa qua, ông Phạm Anh Tuấn, Vụ trưởng Vụ Thanh toán, NHNN cho biết, NHNN đã xây dựng kho dữ liệu tài khoản nghi ngờ lừa đảo. Đây là các tài khoản khách hàng được tất cả các ngân hàng đánh giá và gửi về NHNN theo quy định. Khi khách hàng chuyển tiền vào những tài khoản nghi ngờ này, ứng dụng ngân hàng sẽ cảnh báo để khách hàng cân nhắc việc chuyển khoản. Dữ liệu tài khoản ngân hàng nghi ngờ lừa đảo, gian lận hiện nay lên tới 350.000 tài khoản. Theo đó, từ ngày 01/4/2025, BIDV đã thí điểm dịch vụ này. Kết quả qua 1 tháng thí điểm đã phát hiện 40.000 giao dịch chuyển số tiền 160 tỉ đồng được ngăn chặn nhờ dịch vụ này. Sau BIDV, 4 ngân hàng gồm Vietcombank, MB, VietinBank, Agribank sẽ thực hiện trong tháng 6 và 7/2025. Sau thời gian thực hiện, NHNN sẽ đánh giá và rút kinh nghiệm, tiếp đó sẽ mở rộng cho các ngân hàng khác tham gia trên tinh thần tự nguyện.
Về cảnh báo tội phạm sử dụng công nghệ AI thực hiện chuyển khoản, Vụ trưởng Vụ Thanh toán Phạm Anh Tuấn cho biết, NHNN đã yêu cầu các tổ chức thực hiện đầy đủ các chứng chỉ quốc tế về KYC. "Tội phạm công nghệ ngày càng gia tăng đòi hỏi các tổ chức cung ứng dịch vụ phải đầu tư công nghệ chống lừa đảo. Chúng ta dùng AI để chống gian lận lừa đảo thì kẻ gian cũng sẽ dùng AI để đi lừa đảo", ông Phạm Anh Tuấn nhấn mạnh.
NHNN cũng đang khẩn trương hoàn thiện Thông tư sửa đổi Thông tư số 17/2024/TT-NHNN quy định việc mở và sử dụng tài khoản thanh toán tại tổ chức cung ứng dịch vụ thanh toán. Theo đó, người đại diện hợp pháp của tổ chức cần trực tiếp đến tổ chức tín dụng để mở tài khoản; sẽ không chấp nhận bất kỳ hình thức nào như mở tài khoản qua thư, ủy quyền cho người mang hồ sơ đến.
4. Một số gợi ý giải pháp công nghệ và quản trị rủi ro
Trước mối đe dọa từ deepfake, các ngân hàng và tổ chức tài chính cần triển khai giải pháp đa tầng, kết hợp giữa công nghệ hiện đại và quy trình quản trị rủi ro chặt chẽ. Dưới đây là một số đề xuất định hướng giải pháp:
Thứ nhất, ứng dụng công nghệ AI để phát hiện deepfake: Cuộc chiến chống deepfake thực chất là “lấy độc trị độc”, cần sử dụng chính AI để nhận diện nội dung giả mạo. Ngân hàng nên tích hợp các công cụ xác thực nâng cao trong quy trình KYC và giao dịch. Ví dụ: Sử dụng giải pháp nhận diện khuôn mặt có bổ sung Xác minh thực thể sống (liveness detection) để phân biệt người thật với video deepfake; ứng dụng phân tích giọng nói AI để phát hiện dấu hiệu nhân tạo (độ trễ bất thường, tạp âm lặp, phổ âm thanh thiếu tự nhiên) trong các cuộc gọi xác minh. Bên cạnh đó, có thể triển khai công cụ quét siêu dữ liệu và phân tích hình ảnh bằng máy học, những giải pháp này sẽ dò tìm các biến dạng tinh vi trong file âm thanh, hình ảnh mà mắt thường không nhận ra, từ đó cảnh báo nội dung nghi ngờ giả mạo.
Hiện nay, nhiều hãng công nghệ đã cung cấp API/dịch vụ phát hiện deepfake, các ngân hàng nên hợp tác tích hợp vào hệ thống của mình thay vì phát triển từ đầu. Ngoài ra, việc ứng dụng các công nghệ sinh trắc học khác như sinh trắc học hành vi (behavioral biometrics) cũng hữu ích. Hệ thống có thể kiểm tra hành vi người dùng như: cách gõ phím, di chuyển chuột, thao tác trên ứng dụng… để xác định xem có khớp với thói quen bình thường của khách hàng hay không, qua đó phát hiện những phiên giao dịch đáng ngờ do kẻ gian mạo danh.
Tương tự, phân tích dữ liệu giao dịch bằng AI nâng cao giúp ngân hàng nhận biết các mẫu hình bất thường, ví dụ: tài khoản mới mở nhưng giao dịch khối lượng lớn, chuyển tiền qua nhiều tài khoản trung gian, đây có thể là dấu hiệu tài khoản giả phục vụ rửa tiền, cần chặn giao dịch để kiểm tra thêm.
Thứ hai, củng cố quy trình xác thực và kiểm soát nội bộ: Công nghệ chỉ hiệu quả khi đi kèm quy trình quản trị rủi ro phù hợp. Các ngân hàng nên rà soát và cập nhật lại quy trình xác thực giao dịch quan trọng theo hướng nhiều lớp và chặt chẽ hơn. Chẳng hạn, đối với các lệnh chuyển tiền giá trị lớn hoặc yêu cầu nhạy cảm như: thay đổi hạn mức, cấp lại mật khẩu… qua kênh trực tuyến, cần thực hiện xác minh đa kênh, sau khi nhận yêu cầu qua email/video, nhân viên phải gọi điện thoại trực tiếp đến số đã xác thực của khách hàng để đối chiếu, hoặc yêu cầu một mật khẩu phụ (“safe word - mã an toàn” bí mật) mà chỉ khách hàng thật mới biết.
Đối với các yêu cầu chỉ đạo từ lãnh đạo qua điện thoại/email, tổ chức cần có quy trình chuẩn buộc xác minh chéo (như trường hợp Ferrari đã làm: hỏi câu kiểm tra kiến thức cá nhân) trước khi thực hiện. Ngoài ra, ngân hàng nên thiết lập các ngưỡng cảnh báo. Ví dụ, nếu hệ thống phát hiện giao dịch bất thường hoặc có nghi ngờ deepfake, cần tạm khóa và chuyển lên cấp quản lý phê duyệt thủ công, tránh phê duyệt tự động 100%.
Một biện pháp hữu hiệu khác là tăng cường xác thực đa yếu tố (MFA) cho khách hàng khi giao dịch: không chỉ dựa vào OTP SMS hay cuộc gọi thông báo thông thường (vì giọng nói có thể giả), mà có thể bổ sung xác thực qua ứng dụng di động chính chủ hoặc thiết bị bảo mật cứng. Bên cạnh đó, cần quan tâm chú trọng công tác đào tạo, tập huấn cho cán bộ, nhân viên nhận biết dấu hiệu của deepfake và cập nhật các “mánh khóe” mới nhất của tội phạm.
Thứ ba, bảo vệ khách hàng và nâng cao nhận thức: Khách hàng là mắt xích quan trọng trong chuỗi phòng thủ. Do đó, các ngân hàng cần đẩy mạnh truyền thông và hướng dẫn khách hàng về nguy cơ deepfake. Các khuyến cáo an ninh nên được gửi định kỳ. Ví dụ, cảnh báo khách hàng không nên tin tuyệt đối vào hình ảnh/giọng nói trong các cuộc gọi video, luôn xác minh lại qua kênh khác nếu có yêu cầu tài chính bất thường. Khuyến khích khách hàng thiết lập mật khẩu giao dịch riêng hoặc “mã an toàn” giữa họ với ngân hàng/người thân, dùng để xác thực khi có yêu cầu khẩn cấp, tránh trường hợp kẻ gian giả làm người thân gọi điện vay tiền. Đồng thời, ngân hàng nên cung cấp công cụ hỗ trợ khách hàng xác minh thông tin, chẳng hạn tính năng “Xác thực nhân viên” trên ứng dụng, cho phép khách hàng kiểm tra số điện thoại, email liên hệ có đúng của ngân hàng hay không trước khi làm theo hướng dẫn.
Việc tăng cường giáo dục số cho khách hàng về deepfake cần được thực hiện liên tục qua nhiều kênh: website, email, mạng xã hội, hội thảo khách hàng... Khi xảy ra sự cố lừa đảo, ngân hàng nên chủ động thông báo rộng rãi để khách hàng khác biết và cảnh giác, thay vì che giấu vì sợ ảnh hưởng uy tín.
Thứ tư, hợp tác và chia sẻ thông tin trong ngành: Các ngân hàng cần tăng cường hợp tác, chia sẻ thông tin với nhau và với cơ quan chức năng. Ở cấp độ quốc tế, các ngân hàng Việt Nam có thể tham gia những mạng lưới như FS-ISAC - nơi cập nhật các cảnh báo sớm về thủ đoạn deepfake và tội phạm mạng toàn cầu. Ở trong nước, Hiệp hội Ngân hàng Việt Nam có thể đóng vai trò đầu mối xây dựng cơ chế chia sẻ giữa các ngân hàng. Việc chia sẻ dữ liệu các tài khoản nghi ngờ giả mạo, các mẫu nội dung deepfake từng phát hiện cũng rất hữu ích cho công tác phòng, chống trên diện rộng. Hơn nữa, sự phối hợp chặt chẽ với cơ quan công an, cơ quan an toàn thông tin là then chốt để xử lý nhanh các vụ việc. Ngân hàng cần báo ngay cho lực lượng chức năng khi có sự cố an ninh mạng (theo Thông tư 18/2018/TT-NHNN, các tổ chức tín dụng phải báo cáo sự cố an ninh mạng nghiêm trọng trong vòng 24 giờ). Cơ quan công an với nghiệp vụ điều tra sẽ hỗ trợ truy bắt tội phạm, giảm thiểu thiệt hại và răn đe các đối tượng khác.
5. Một số kiến nghị chính sách
Để chủ động ứng phó hiệu quả với nguy cơ deepfake trong dài hạn, Việt Nam cần sớm xây dựng chiến lược tổng thể đến năm 2030 với sự tham gia của cả ba cấp độ là cơ quan quản lý, tổ chức tài chính và khuôn khổ pháp lý quốc gia.
Hoàn thiện khung pháp lý, tăng chế tài răn đe: Cần bổ sung và hoàn thiện các quy định pháp luật liên quan đến hành vi làm giả dữ liệu bằng AI và sử dụng deepfake vào mục đích lừa đảo. Quốc hội và Chính phủ nên xem xét xây dựng điều khoản hoặc nghị định mới xử lý nghiêm hành vi sản xuất, phát tán nội dung deepfake gây hậu quả xấu. Song song với đó, cần luật hóa trách nhiệm của các nền tảng mạng xã hội trong việc ngăn chặn phát tán deepfake như: Yêu cầu gỡ bỏ nhanh nội dung vi phạm khi có yêu cầu từ cơ quan chức năng, phát triển cơ chế gắn nhãn nội dung AI…
Về phía ngành Ngân hàng, NHNN cần xem xét đưa yếu tố deepfake vào các văn bản hướng dẫn an toàn hoạt động ngân hàng; đồng thời, cần có quy định bắt buộc báo cáo sự cố deepfake tương tự báo cáo sự cố an ninh mạng, nhằm tạo kênh thu thập thông tin phục vụ cảnh báo sớm và thống kê mức độ rủi ro trên toàn hệ thống. Việc cập nhật khung pháp lý theo kịp tốc độ phát triển của AI sẽ tạo cơ sở răn đe và ngăn ngừa ngay từ gốc, khiến tội phạm e sợ hơn khi sử dụng công nghệ này với mục đích giả mạo, lừa đảo, gian lận, chiếm đoạt tài sản.
Xây dựng năng lực kỹ thuật quốc gia về phát hiện deepfake: Bên cạnh chế tài luật pháp, Việt Nam cần đầu tư vào năng lực công nghệ để ứng phó lâu dài. Đến năm 2030, mục tiêu nên hướng tới là hình thành một hệ sinh thái các giải pháp “Make in Vietnam” phục vụ nhận dạng và phòng, chống nội dung giả mạo. Cụ thể, Nhà nước có thể giao cho các viện nghiên cứu, trường đại học và doanh nghiệp công nghệ trong nước triển khai các đề tài phát triển thuật toán phát hiện deepfake. Đây cũng có thể là một nội dung trọng điểm trong Chiến lược quốc gia về Cách mạng công nghiệp lần thứ tư đến năm 2030 (ban hành theo Quyết định số 2289/QĐ-TTg ngày 31/12/2020 của Thủ tướng Chính phủ) và Chiến lược quốc gia về nghiên cứu, phát triển, ứng dụng AI đến 2030 (ban hành theo Quyết định số 127/QĐ-TTg ngày 26/01/2021 của Chính phủ).
Việc làm chủ công nghệ sẽ giúp Việt Nam giảm phụ thuộc vào các nước khác và có thể tùy biến phù hợp ngôn ngữ, dữ liệu bản địa. Ngoài ra, cần xây dựng các trung tâm kiểm định nội dung số, đây sẽ là đơn vị độc lập hỗ trợ phân tích, giám định tính xác thực của các nội dung nghi vấn (video, ghi âm) khi có yêu cầu từ tòa án, cơ quan điều tra hoặc doanh nghiệp.
Về nguồn nhân lực, Chính phủ cần đẩy mạnh việc đưa nội dung đào tạo kiến thức về AI và sử dụng an toàn AI vào chương trình đào tạo chuyên ngành công nghệ thông tin, an ninh mạng. Song hành với đó là các khóa tập huấn ngắn hạn cho cán bộ ngân hàng, công an, kiểm sát về phương pháp nhận biết và điều tra các vụ việc có yếu tố deepfake.
Tăng cường hợp tác quốc tế và chia sẻ thông tin: Vì tội phạm deepfake mang tính toàn cầu, Việt Nam cần chủ động tham gia các sáng kiến và mạng lưới quốc tế để học hỏi kinh nghiệm cũng như phối hợp hành động. NHNN và các ngân hàng thương mại lớn có thể gia nhập các diễn đàn về an ninh mạng tài chính trong khu vực ASEAN và thế giới.
Đặc biệt, ngành Ngân hàng cần đưa nội dung phòng, chống deepfake vào chiến lược chuyển đổi số và quản trị rủi ro trong thời gian tới. Các ngân hàng nên xây dựng kịch bản ứng phó chi tiết cho các tình huống giả định liên quan đến deepfake. Trên cơ sở kịch bản, cần tiến hành diễn tập an ninh định kỳ để kiểm tra khả năng ứng phó của hệ thống và nhân viên. Ngân hàng cũng cần đầu tư dài hạn cho hạ tầng xác thực số tiên tiến, áp dụng giải pháp định danh phi tập trung (Decentralized Identifier- DID), chữ ký số, blockchain… để đảm bảo tính toàn vẹn của giao dịch. Cần xây dựng mục tiêu đến năm 2030, các ngân hàng đều trang bị hệ thống phát hiện deepfake thời gian thực tích hợp trong quy trình chặt chẽ. Cùng với đó, ngành Ngân hàng có thể thiết lập quỹ dự phòng rủi ro công nghệ để hỗ trợ khách hàng khi xảy ra sự cố bất khả kháng do công nghệ mới (tương tự cơ chế bảo hiểm tiền gửi). Điều này giúp củng cố niềm tin khách hàng, rằng ngay cả trong trường hợp xấu nhất họ cũng được bảo vệ một phần.
Đẩy mạnh tuyên truyền, giáo dục cộng đồng: Việt Nam cần một chương trình tuyên truyền sâu rộng nâng cao nhận thức cộng đồng về deepfake và an ninh tài chính trong kỷ nguyên số. Cần có các chiến dịch truyền thông trên báo chí, mạng xã hội về cách nhận biết và phòng tránh lừa đảo deepfake. Nội dung tuyên truyền, giáo dục cần dễ hiểu, sinh động, có ví dụ thực tế để người dân mọi lứa tuổi đều nắm được, ví dụ như làm các video minh họa một cuộc gọi video giả mạo để người dân nhận biết dấu hiệu. Lồng ghép các chủ đề “an ninh mạng và deepfake” vào các chương trình “Bình dân học vụ số” nhằm bồi dưỡng, phổ cập tri thức cho học sinh, sinh viên và người lao động, những đối tượng ít có điều kiện tiếp cận công nghệ.
Các ngân hàng, tổ chức tài chính cần tích cực phối hợp, cung cấp tài liệu cảnh báo cho khách hàng của mình, nhằm tạo ra một văn hóa đề cao cảnh giác số trong toàn xã hội. Mỗi cá nhân cần hiểu rằng “đừng vội tin vào những gì mắt thấy tai nghe trên mạng nếu liên quan đến tiền bạc”; luôn kiểm chứng qua nhiều kênh trước khi hành động. Khi đại đa số người dân được trang bị kiến thức và ý thức cảnh giác thì tội phạm deepfake sẽ khó hoành hành.
6. Kết luận
Sự trỗi dậy của công nghệ deepfake đặt ra thách thức chưa từng có đối với lĩnh vực tài chính - ngân hàng. Từ những vụ lừa đảo chiếm đoạt hàng chục triệu USD trên thế giới cho đến các chiêu thức giả mạo tinh vi xuất hiện tại Việt Nam, deepfake đã và đang trở thành vũ khí nguy hiểm của tội phạm tài chính. Ngành Ngân hàng buộc phải chủ động cập nhật và thay đổi. Các cơ quan quản lý cần hoàn thiện hành lang pháp lý và phối hợp quốc tế nhằm kiềm tỏa, trấn áp loại hình tội phạm mới này. Với quyết tâm từ các cấp lãnh đạo, nỗ lực của ngành Ngân hàng và ý thức cảnh giác của mỗi người dân, chúng ta hoàn toàn có thể giảm thiểu mối đe dọa từ deepfake, bảo vệ an ninh tài chính quốc gia trong kỷ nguyên số hóa.
Tài liệu tham khảo:
1. Michael S. Barr (2023). “Deepfakes and the AI arms race in bank cybersecurity.” Bài phát biểu tại BIS, bis.org
2. Kathleen Magramo (2024). “British Engineering Giant Arup revealed as $25 million deepfake scam victim.”, www2.deloitte.com
3. Deloitte (2023). “Deepfake banking and AI fraud risk on the rise – Predictions 2024.” Deloitte Insights, www2.deloitte.com
4. Robert Lemos (2021). “Deepfake Audio Nabs $35M in Corporate Heist.” DarkReading, darkreading.com
5. FinCEN (2024). “Alert FIN-2024-Alert004: Fraud Schemes Involving Deepfake Media.” Financial Crimes Enforcement Network, U.S. Treasury; fincen.gov, moneylaunderingnews.com
6. Kaspersky (2024). “How deepfakes threaten KYC – Kaspersky Blog.” Nghiên cứu của Sensity về deepfake trong tài chính, kaspersky.com
7. Ngô Tấn Vũ Khanh phát biểu trên Vietnam News/AsiaNews về nguy cơ deepfake tại Việt Nam, asianews.network
8. Global Initiative (2023). “Rogue Replicants: Criminal exploitation of deepfakes in South East Asia.” Báo cáo của Sáng kiến Toàn cầu, globalinitiative.net
9. IMF (2024). “Global Financial Stability Report – April 2024, Chapter 3: Cyber Risk.” Quỹ Tiền tệ Quốc tế, imf.org
10. Deepfake Statistics and Trends About Cyber Threats 2025, keepnetlabs.com
11. Central Banking, centralbanking.com
12. Báo Công an TP.HCM, congan.com.vn
13. Vietnam News, vietnamnews.vn
14. VTV News - 03/02/2024, vtv.vn
Đại Hùng
