Theo Quyết định số 2345/QĐ-NHNN ngày 18/12/2023 của Thống đốc Ngân hàng Nhà nước Việt Nam (NHNN) về triển khai giải pháp an toàn, bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng, nhằm tăng cường bảo vệ khách hàng, kể từ ngày 01/7/2024, các giao dịch chuyển tiền điện tử của cá nhân có giá trị trên 10 triệu đồng hoặc tổng giá trị giao dịch chuyển tiền điện tử trong ngày vượt 20 triệu đồng phải áp dụng các biện pháp xác thực sinh trắc học. Quy định trên là cần thiết, phù hợp với thực tiễn nhằm bảo đảm an toàn cho hoạt động giao dịch thanh toán trực tuyến, phòng, chống tội phạm lợi dụng tài khoản ngân hàng, ví điện tử không chính chủ để nhận, chuyển tiền lừa đảo. Đây cũng là giải pháp góp phần hạn chế tối đa khả năng làm giả và có tính bảo mật cao nhất cho khách hàng, từ đó khuyến khích, thúc đẩy thanh toán không dùng tiền mặt, tạo đà cho chuyển đổi số ngân hàng.
Đảm bảo an toàn cho các giao dịch thanh toán trực tuyến
Theo Vụ Thanh toán - NHNN, tính đến cuối năm 2023, hoạt động thanh toán không dùng tiền mặt phát triển mạnh mẽ với hơn 182 triệu tài khoản thanh toán của khách hàng cá nhân, tương ứng hơn 87% người trưởng thành có tài khoản tại ngân hàng, nhiều ngân hàng đã có trên 95% số lượng giao dịch được xử lý trên kênh số. Tăng trưởng về số lượng giao dịch thanh toán qua di động (mobile) và QR Code bình quân qua các năm từ 2017 - 2023 đạt trên 100%/năm.
Bên cạnh sự phát triển của các dịch vụ ngân hàng điện tử, ngành Ngân hàng cũng phải đối mặt với những rủi ro, thách thức không nhỏ về an ninh, an toàn thông tin trước nguy cơ bị tấn công mạng, đặc biệt là tình trạng sử dụng công nghệ cao để lừa đảo, chiếm đoạt tiền và tài khoản ngân hàng của người dân có xu hướng gia tăng với nhiều thủ đoạn tinh vi, phức tạp.
Liên quan đến hành vi lừa đảo qua mạng trong hoạt động ngân hàng, theo thống kê của Hiệp hội An ninh mạng quốc gia, có 3 hình thức chính thường nhắm tới tài khoản ngân hàng của người dùng là: Thao túng tâm lý để người dùng tự nguyện chuyển tiền đến các tài khoản khác do tội phạm chỉ định; chiếm dụng máy của người sử dụng và tiếp tục các thao tác chiếm đoạt tiền; lấy thông tin trên thiết bị của người dùng chuyển sang thiết bị khác để thực hiện hành vi chiếm đoạt.
Tình hình an ninh mạng tại Việt Nam hiện nay diễn ra phức tạp, lĩnh vực tài chính, ngân hàng luôn là đích nhắm hàng đầu của tội phạm sử dụng công nghệ cao. Theo báo cáo của Bộ Công an, trong thời gian qua, tội phạm sử dụng không gian mạng để lừa đảo chiếm đoạt tài sản gia tăng, các đối tượng sử dụng tài khoản ngân hàng, ví điện tử không chính chủ để nhận, chuyển tiền lừa đảo, sau đó thông qua tiền ảo (USDT, Bitcoin...) để làm công cụ rửa tiền, gây thiệt hại lớn về tài sản cho người dân. Từ tình hình nêu trên, Bộ Công an đã đề nghị NHNN nghiên cứu, sửa đổi quy định pháp luật, áp dụng xác thực sinh trắc học đối với khách hàng cá nhân khi thực hiện giao dịch trực tuyến. Theo đó, khi các ngân hàng cung cấp dịch vụ cho khách hàng phải nhận biết được người đang sử dụng tài khoản thanh toán là chính chủ.
Theo Quyết định số 06/QĐ-TTg ngày 06/01/2022 của Thủ tướng Chính phủ phê duyệt Đề án phát triển ứng dụng dữ liệu về dân cư, định danh và xác thực điện tử phục vụ chuyển đổi số quốc gia giai đoạn 2022 - 2025, tầm nhìn đến năm 2030 (Đề án 06), một trong các nhiệm vụ ngành Ngân hàng cần triển khai trong giai đoạn 2022 - 2023 bao gồm: “Tích hợp, phát triển các ứng dụng trên nền tảng hệ thống định danh và xác thực điện tử với các ứng dụng cốt lõi như: Ví điện tử, thanh toán không dùng tiền mặt, chứng khoán, điện, nước... lên ứng dụng VNeID, QR Code của thẻ căn cước công dân gắn chíp điện tử”; “Triển khai rộng rãi việc ứng dụng các tính năng của chíp điện tử trên thẻ căn cước công dân đối với các lĩnh vực tài chính, hoạt động ngân hàng (mở tài khoản, nhận biết khách hàng, thanh toán, cho vay, ví điện tử...) và một số lĩnh vực phát triển kinh tế, xã hội khác”.
Trên thế giới, một số nước đã áp dụng biện pháp này (ví dụ như Ngân hàng Trung ương Thái Lan đã quy định, từ tháng 6/2023 các giao dịch chuyển tiền trên 50.000 baht (1.400 USD) phải xác thực sinh trắc học). Mục tiêu cuối cùng của việc triển khai quy định này là bảo vệ người dùng trước những rủi ro, mất an toàn trên không gian mạng.
Việc ban hành Quyết định số 2345/QĐ-NHNN là cần thiết, phù hợp với thực tiễn nhằm bảo đảm an toàn cho hoạt động giao dịch thanh toán trực tuyến, phòng, chống tội phạm lợi dụng tài khoản ngân hàng, ví điện tử không chính chủ để nhận, chuyển tiền lừa đảo.
Theo đó, kể từ ngày 01/7/2024, các giao dịch chuyển tiền điện tử của cá nhân có giá trị trên 10 triệu đồng hoặc tổng giá trị giao dịch chuyển tiền điện tử trong ngày vượt 20 triệu đồng phải áp dụng các biện pháp xác thực sinh trắc học. Quyết định số 2345/QĐ-NHNN cũng đưa ra các yêu cầu về xác thực sinh trắc học khi khách hàng lần đầu thực hiện giao dịch trên ứng dụng Mobile Banking hoặc trên thiết bị mới. Đồng thời, tổ chức tín dụng, tổ chức trung gian thanh toán phải lưu trữ thông tin về thiết bị giao dịch trực tuyến của khách hàng tối thiểu trong vòng 3 tháng.
Hạn chế tối đa khả năng làm giả và đảm bảo bảo mật cao nhất cho khách hàng
Mục đích của việc phải xác thực khuôn mặt là đảm bảo chính chủ đang thực hiện giao dịch. Xác thực sinh trắc học là khuôn mặt thật, chứ không phải hình ảnh cài trên điện thoại. Tức là người thực hiện chuyển tiền phải soi khuôn mặt mình vào ứng dụng, nhìn lên nhìn xuống để đảm bảo đây là hình ảnh sống.
Khuôn mặt của người thực hiện chuyển tiền được đối chiếu với dữ liệu sinh trắc học từ căn cước công dân gắn chíp do Bộ Công an quản lý. Dấu hiệu sinh trắc học có thể được xác định bằng dữ liệu sinh trắc học lưu trong chíp của căn cước công dân, tài khoản VNeID hoặc dữ liệu sinh trắc học lưu trong cơ sở dữ liệu của ngân hàng. Công nghệ này được xem là có thể hạn chế tối đa khả năng làm giả và có tính bảo mật cao nhất cho khách hàng.
Việc xác thực khuôn mặt khách hàng phải khớp với khuôn mặt được lưu trong chíp của thẻ căn cước công dân. Trường hợp kẻ gian dùng tài khoản của người khác để chuyển tiền chiếm đoạt, cơ quan công an sẽ nhanh chóng xác định được danh tính qua đối chiếu với thông tin trên căn cước công dân gắn chíp.
Khi xây dựng Quyết định số 2345/QĐ-NHNN, NHNN đã căn cứ Kế hoạch số 01/KHPH-BCA-NHNN ngày 24/4/2023 giữa NHNN và Bộ Công an về việc phối hợp triển khai thực hiện các nhiệm vụ tại Đề án 06. Đến tháng 5/2024, đã có 49 tổ chức tín dụng (TCTD) đã và đang triển khai ứng dụng xác thực khách hàng bằng thẻ căn cước công dân gắn chíp qua ứng dụng điện thoại, trong đó 20 TCTD đã triển khai cung cấp dịch vụ; 60 TCTD đã và đang triển khai ứng dụng xác thực khách hàng bằng thẻ căn cước công dân gắn chíp qua thiết bị tại quầy, trong đó 29 TCTD đã triển khai cung cấp dịch vụ.
Sau hơn 1 năm, hầu hết các TCTD đã áp dụng công nghệ tiên tiến, làm sạch dữ liệu thông qua trung tâm dữ liệu quốc gia, qua đó xác minh và làm sạch lại toàn bộ dữ liệu từ các tổ chức tín dụng, trung gian thanh toán..., đọc các dữ liệu căn cước công dân qua cơ quan công an, nhằm xác thực được dữ liệu của khách hàng cung cấp là thông tin thực.
Về yêu cầu kỹ thuật, hệ thống thông tin phải đáp ứng các yêu cầu tối thiểu về bảo đảm an toàn thông tin cho hệ thống thông tin cấp độ 3 theo quy định của Chính phủ. Đây cũng là yêu cầu bắt buộc đối với các hệ thống thông tin cung cấp dịch vụ cho khách hàng của các TCTD theo quy định của NHNN.
Thời gian qua, các ngân hàng đã có những hướng dẫn cụ thể cho các khách hàng trong việc đăng ký xác thực sinh trắc học và khuyến cáo khách hàng cài đặt sinh trắc học trước thời điểm 01/7/2024 để không bị gián đoạn giao dịch đối với các trường hợp chuyển tiền từ 10 triệu đồng trở lên hoặc tổng giá trị giao dịch trong ngày trên 20 triệu đồng.
Trong quá trình triển khai Quyết định số 2345/QĐ-NHNN, NHNN luôn theo dõi sát tình hình, phối hợp với Trung tâm dữ liệu quốc gia về dân cư thuộc Cục Cảnh sát quản lý hành chính về trật tự xã hội (C06) - Bộ Công an để hướng dẫn, hỗ trợ các đơn vị trong ngành Ngân hàng tháo gỡ, xử lý các khó khăn, vướng mắc. NHNN cũng có văn bản hướng dẫn triển khai đối với khách hàng chưa có căn cước công dân gắn chíp và điện thoại kết nối NFC.
Theo thống kê của NHNN, đến chiều ngày 05/7/2024, các ngân hàng đã đối chiếu làm sạch khoảng 19 triệu tài khoản thông qua căn cước công dân gắn chíp do Bộ Công an cấp, trong đó có 10% số người được ngân hàng hỗ trợ làm việc trực tiếp tại quầy (đó là những khách hàng chưa có căn cước công dân gắn chíp hoặc không có điện thoại kết nối công nghệ không dây tầm ngắn - NFC).
Đến hết ngày 05/7/2024, giao dịch đạt mức đỉnh của hệ thống thanh toán điện tử liên ngân hàng là 26,3 triệu giao dịch, đây cũng là mức lớn nhất trong 10 ngày trước đó, trong đó 8,35% là giao dịch trên 10 triệu đồng.
Như vậy cho thấy hoạt động giao dịch trên 10 triệu đồng vẫn diễn ra bình thường sau khi áp dụng xác thực sinh trắc học. Chỉ có hơn 8,2% giao dịch phải xác thực sinh trắc học, còn gần 92% giao dịch thực hiện như trước đây (sử dụng mã OTP để xác thực), nên không xảy ra tắc nghẽn giao dịch trên toàn hệ thống.
Phối hợp các giải pháp đảm bảo an ninh, an toàn trong hoạt động ngân hàng
Với vai trò là cơ quan quản lý, NHNN luôn có chỉ đạo sát sao đối với hệ thống các TCTD để phòng, tránh và hướng dẫn, cảnh báo cho khách hàng về các hành vi lừa đảo. Ngành Ngân hàng luôn coi an ninh, an toàn, bảo mật là điều kiện trọng yếu để phòng ngừa rủi ro mất tài sản cho khách hàng. Mặc dù vậy, đây cũng là một khó khăn khi ngành Ngân hàng có đặc thù nghiệp vụ khác biệt với khối lượng và quy mô giao dịch lớn. Theo số liệu thống kê, tại Việt Nam, tính đến cuối quý II/2024, trên 95% số lượng giao dịch thanh toán được thực hiện qua mạng, chỉ 5% giao dịch tại quầy; với tổng giá trị giao dịch trung bình là 200 triệu tỉ đồng, tương đương khoảng 830.000 tỉ đồng/ngày.
Việc phòng, chống, ngăn chặn tội phạm lừa đảo qua mạng cần sự phối hợp chặt chẽ giữa các bộ, ngành, cơ quan và doanh nghiệp liên quan. Đặc biệt, người dân cần nâng cao nhận thức để cảnh giác, hiểu biết về phương thức, thủ đoạn của kẻ lừa đảo, trang bị những kỹ năng phòng, chống các hoạt động lừa đảo; kịp thời thông báo cho cơ quan công an nếu nghi ngờ có hành vi lừa đảo qua mạng.
Để nâng cao kiến thức, kỹ năng cho khách hàng trong sử dụng dịch vụ ngân hàng trên nền tảng số, đồng thời góp phần bảo vệ quyền và lợi ích hợp pháp của khách hàng sử dụng dịch vụ ngân hàng, công tác truyền thông, giáo dục tài chính có vai trò quan trọng, do tội phạm tấn công trực tiếp vào đối tượng sử dụng dịch vụ.
Thời gian qua, NHNN đã chỉ đạo các đơn vị trong Ngành triển khai đồng bộ nhiều giải pháp để nâng cao nhận thức về an toàn thông tin cho toàn thể cán bộ ngành Ngân hàng và khách hàng; tăng cường công tác tuyên truyền, cảnh báo đến khách hàng về các hành vi lừa đảo. Trước đó, NHNN đã có nhiều văn bản như Công văn số 4893/NHNN-TT ngày 06/7/2021 về đảm bảo an ninh, an toàn trong hoạt động thanh toán gửi tới các TCTD, đưa ra cảnh báo các hình thức, thủ đoạn lừa đảo. Cuối năm 2023, Hiệp hội Ngân hàng đã họp các thành viên, thống kê 8 hình thức gian lận, lừa đảo và có báo cáo gửi NHNN.
Tại Chỉ thị số 02/CT-NHNN ngày 15/01/2024 về đẩy mạnh chuyển đổi số và bảo đảm an ninh, an toàn thông tin trong hoạt động ngân hàng, Thống đốc NHNN đã chỉ đạo các đơn vị trong Ngành tiếp tục đẩy mạnh, đổi mới công tác thông tin, tuyên truyền, phổ biến kiến thức, giáo dục tài chính, hướng dẫn người dân, doanh nghiệp hiểu rõ và sử dụng các sản phẩm, dịch vụ ngân hàng trên nền tảng số một cách an toàn, đồng thời nâng cao nhận thức, cảnh giác của người dân, doanh nghiệp trước những rủi ro an ninh, an toàn thông tin, các thủ đoạn, hành vi tội phạm, lừa đảo phổ biến, mới xuất hiện liên quan đến hoạt động ngân hàng.
Công tác truyền thông, giáo dục tài chính được đẩy mạnh với nhiều sáng tạo, đổi mới về nội dung và hình thức, trong đó, NHNN đã phối hợp với Đài Truyền hình Việt Nam (VTV) tổ chức các chương trình truyền thông trong đó lồng ghép nội dung nâng cao nhận thức về an toàn thông tin cho người dân khi sử dụng các dịch vụ ngân hàng điện tử như “Tiền khéo tiền khôn”, “Tay hòm chìa khóa”; “Đồng tiền thông thái”... Các TCTD cũng đã thường xuyên thực hiện công tác truyền thông về an toàn thông tin khi sử dụng các dịch vụ ngân hàng điện tử.
Thời gian tới, ngành Ngân hàng cần tiếp tục đẩy mạnh công tác truyền thông, giáo dục tài chính với nhiều hình thức thể hiện đảm bảo dễ hiểu, dễ nhớ, dễ thực hiện và có tính lan tỏa; trong đó cần hướng đến người dân vùng nông thôn, vùng sâu, vùng xa, người nghèo, giới trẻ, học sinh, sinh viên... để nâng cao kiến thức và kỹ năng cho người dân khi sử dụng dịch vụ ngân hàng trên nền tảng số, giúp giảm thiểu rủi ro cho khách hàng, từ đó hình thành cộng đồng tài chính tốt.
Đối với giải pháp về kỹ thuật, NHNN đã ban hành các văn bản quy định về an toàn bảo mật khi cung cấp các dịch vụ ngân hàng trực tuyến trên Internet, trong đó yêu cầu các TCTD triển khai các giải pháp kỹ thuật như: Giải pháp xác thực khách hàng giao dịch Internet Banking theo mức độ rủi ro của giao dịch (loại giao dịch, số tiền giao dịch); giải pháp xác thực 3D Secure với giao dịch thanh toán thẻ trực tuyến; giải pháp giám sát, cảnh báo về giao dịch đáng ngờ dựa vào các tiêu chí tối thiểu gồm: Thời gian giao dịch, địa điểm giao dịch (vị trí địa lý, địa chỉ IP mạng), tần suất giao dịch, số tiền giao dịch, số lần xác thực sai quy định để có biện pháp ngăn chặn, cảnh báo đến khách hàng.
Bên cạnh đó, NHNN cần tăng cường công tác quản lý, thanh tra, kiểm tra hoạt động cung ứng dịch vụ thanh toán để phát hiện, xử lý kịp thời những vi phạm. Đồng thời, cần tăng tốc triển khai Đề án 06, từ đó làm sạch dữ liệu khách hàng, khai thác hiệu quả dữ liệu căn cước công dân gắn chíp trong xác minh thông tin nhận biết khách hàng... đối với hoạt động mở, sử dụng tài khoản thanh toán/thẻ ngân hàng.
Về phía các TCTD, thường xuyên cập nhật, nắm bắt các thủ đoạn tấn công, lừa đảo, đồng thời tăng cường các biện pháp giám sát, theo dõi hoạt động của hệ thống quan trọng và các Core Banking, ATM, cổng, trang tin điện tử, hệ thống Internet Banking để kịp thời phát hiện và chủ động xử lý; thực hiện dò quét, đánh giá về an ninh các ứng dụng cung cấp trên mạng Internet của đơn vị để phát hiện, khắc phục lỗ hổng bảo mật.
Thời gian tới, các ngân hàng cần tăng cường hơn nữa biện pháp phòng vệ cũng như đảm bảo an toàn an ninh trong hệ thống. Theo đó, trước mắt, các ngân hàng cần tăng cường triển khai biện pháp, giải pháp đảm bảo an ninh, an toàn, bảo mật dữ liệu thông tin, ngăn ngừa hành vi sử dụng, lợi dụng tài khoản thanh toán, thẻ ngân hàng... cho mục đích bất hợp pháp. Bên cạnh đó, cần rà soát quy trình mở tài khoản thanh toán, phát hành thẻ ngân hàng, ví điện tử, ngăn ngừa nguy cơ lộ, lọt thông tin, dữ liệu khách hàng. Sau nữa, cần tăng cường truyền thông tới khách hàng về các biện pháp bảo mật dữ liệu cá nhân, tránh rủi ro lộ lọt thông tin cá nhân khi thực hiện giao dịch trực tuyến. Một việc không kém phần quan trọng là các ngân hàng phải đầu tư nhiều hơn nữa cho hạ tầng tài chính, đảm bảo giao dịch không bị gián đoạn và có khả năng phục hồi nhanh nhất ngay cả khi có sự cố xảy ra.
Các ngân hàng cùng những đơn vị liên quan cần chung tay chia sẻ thông tin an toàn, bảo mật, từ đó hình thành mạng lưới tin cậy để cùng hợp lực đối phó với những thách thức mới phát sinh trong quá trình chuyển đổi số.
Về phía người dân đang sử dụng dịch vụ ngân hàng trên môi trường mạng, để tránh bị rủi ro mất tiền trong tài khoản cần lưu ý: Tuân thủ quy định, hướng dẫn của các ngân hàng cung cấp dịch vụ giao dịch trực tuyến, đăng ký nhận tin thông báo thay đổi số dư giao dịch; đối với mật khẩu truy cập dịch vụ giao dịch trực tuyến cần đặt mật khẩu khó đoán, đảm bảo quy tắc an toàn, thay đổi mật khẩu thường xuyên và không sử dụng các tính năng lưu mật khẩu để đăng nhập tự động; không cung cấp tên, mật khẩu đăng nhập ngân hàng trực tuyến, mã xác thực (mã OTP) qua điện thoại, email, mạng xã hội, web... cho bất cứ ai, kể cả nhân viên ngân hàng; trong trường hợp bị lộ hoặc nghi ngờ bị lộ tên đăng nhập/mật khẩu, khách hàng cần nhanh chóng thông báo tới ngân hàng để được hỗ trợ kịp thời; trường hợp bị mất thẻ cần khóa thẻ trên ứng dụng ngân hàng điện tử hoặc thông báo tới ngân hàng càng sớm càng tốt, tránh nguy cơ mất tiền trong tài khoản; hạn chế dùng máy tính công cộng, mạng không dây công cộng khi truy cập vào hệ thống ngân hàng điện tử; nên gõ trực tiếp địa chỉ các trang web ngân hàng điện tử thay vì chọn đường link có sẵn; chỉ đăng nhập tại website chính thức của ngân hàng và chỉ cài đặt ứng dụng từ các cửa hàng chính thức như Google Play và App Store. Khi cài đặt ứng dụng vào thiết bị cần kiểm tra thông tin nhà phát triển ứng dụng, xem xét kỹ quyền hạn của các ứng dụng. Thường xuyên cập nhật hệ điều hành của thiết bị để nhận được bản vá bảo mật mới nhất của hãng sản xuất; tiến hành mua sắm, thanh toán trực tuyến tại các trang mạng uy tín, được cấp phép hoạt động, có thông tin liên lạc rõ ràng; chủ động giữ kín thông tin cá nhân, thông tin tài khoản; thường xuyên theo dõi, cập nhật cảnh báo về an toàn, bảo mật trong thanh toán trực tuyến từ ngân hàng cung cấp dịch vụ và từ các phương tiện truyền thông đại chúng.
Tài liệu tham khảo:
1. Quyết định số 2345/QĐ-NHNN ngày 18/12/2023 của Thống đốc NHNN về triển khai giải pháp an toàn, bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng, nhằm tăng cường bảo vệ khách hàng.
2. Quyết định số 06/QĐ-TTg ngày 06/01/2022 của Thủ tướng Chính phủ phê duyệt Đề án phát triển ứng dụng dữ liệu về dân cư, định danh và xác thực điện tử phục vụ chuyển đổi số quốc gia giai đoạn 2022 - 2025, tầm nhìn đến năm 2030 (Đề án 06).
3. Kế hoạch số 01/KHPH-BCA-NHNN ngày 24/4/2023 giữa NHNN và Bộ Công an về việc phối hợp triển khai thực hiện các nhiệm vụ tại Đề án 06.
4. https://sbv.gov.vn
Phương Chi (NHNN)