Theo dự báo của Juniper Research (2022), việc sử dụng công nghệ xác thực sinh trắc học trong thanh toán trực tuyến sẽ tăng tới 47% trong 5 năm tới và công nghệ này được xem là hạn chế tối đa khả năng làm giả và có tính bảo mật cao nhất hiện nay. Việc các nước trên thế giới, trong đó có Việt Nam, đã và đang ban hành, triển khai các quy định về xác thực sinh trắc học nhằm tăng cường an ninh, bảo mật trong thanh toán trực tuyến cho thấy nỗ lực bảo vệ an toàn tài sản của người dân, góp phần đảm bảo an ninh, an toàn hoạt động tài chính và tích cực phòng, chống tội phạm sử dụng công nghệ cao.
1
Nhằm bảo vệ tốt nhất quyền lợi của người sử dụng dịch vụ tài chính, nhiều quốc gia trên thế giới đang tích cực hoàn thiện quy định pháp lý tăng cường đảm bảo an ninh, an toàn hoạt động ngân hàng thông qua triển khai nhiều giải pháp xác thực khách hàng – đặc biệt là các biện pháp xác thực sinh trắc học.
Châu Âu triển khai Chỉ thị về dịch vụ thanh toán sửa đổi
Chỉ thị về dịch vụ thanh toán sửa đổi (PSD2) có hiệu lực trên toàn Châu Âu (EU) từ 2018. Mục tiêu của PSD2 không chỉ nhằm thúc đẩy sự phát triển của thanh toán trực tuyến mà còn tăng cường đảm bảo an ninh, an toàn trong thanh toán và bảo vệ quyền lợi người tiêu dùng. Theo đó, chỉ thị đã đưa ra các yêu cầu bảo mật mạnh mẽ cho thanh toán điện tử và bảo vệ dữ liệu của người tiêu dùng, giúp thúc đẩy niềm tin của người dân đối với hoạt động thanh toán trực tuyến.
Một trong những quy định của PSD2 để bảo vệ khách hàng trong hoạt động thanh toán trực tuyến là yêu cầu các tổ chức cung ứng dịch vụ thanh toán (PSP) phải tuân thủ quy tắc xác thực khách hàng mạnh (strong customer authentication - SCA). Theo đó, tất cả các khoản thanh toán điện tử trên €50 đều phải được xác thực khách hàng chặt chẽ. SCA được định nghĩa là “xác thực dựa trên việc sử dụng hai hoặc nhiều yếu tố: thứ khách hàng biết (mật khẩu, PIN,..); thứ khách hàng sở hữu (Mobile phone, security token,...); thứ thuộc về khách hàng (sinh trắc học - khuôn mặt, vân tay, giọng nói,...).
Kết quả triển khai PSD2 đến giữa năm 2021 cho thấy, 99% đơn vị chấp nhận thanh toán ở EU đã hỗ trợ SCA, 94% thẻ thanh toán đã hỗ trợ SCA và 82% người dùng dịch vụ thanh toán đã đăng ký sử dụng các giải pháp SCA. Việc triển khai SCA đã giúp giảm tình trạng gian lận liên quan đến giao dịch điện tử. Đến cuối tháng 4/2021, giá trị trung bình của các khoản gian lận giao dịch trên khắp EU giảm khoảng 50% so với thời điểm cuối tháng 6/20201.
Trung Quốc tăng cường quản lý tài khoản và dịch vụ ngân hàng cá nhân
Tại Châu Á, Trung Quốc là nước triển khai việc xác thực người dùng mạnh từ rất sớm. Tháng 12/2015, Ngân hàng Nhân dân Trung Quốc (PBOC) ban hành “Thông báo về việc tăng cường dịch vụ ngân hàng cá nhân và quản lý tài khoản”2 và “Hướng dẫn cho dịch vụ mạng thanh toán cho các tổ chức cung ứng dịch vụ thanh toán phi ngân hàng”3.
Các văn bản này yêu cầu các ngân hàng phải tuân thủ một số nguyên tắc khi cung ứng dịch vụ thanh toán trực tuyến:
(i) Sử dụng tên thật: Đây là yêu cầu nền tảng cho mọi hoạt động xác thực giao dịch thanh toán. Tất cả các giao dịch phải được liên kết với danh tính thực đã được xác minh;
(ii) Phương pháp tiếp cận dựa trên rủi ro: theo nguyên tắc các loại và phương thức giao dịch khác nhau có mức độ rủi ro khác nhau và yêu cầu các ngân hàng phải thực hiện các biện pháp xác thực chặt chẽ hơn đối với các giao dịch có rủi ro cao hơn;
(iii) Đổi mới và tiện lợi: Mặc dù bảo mật là ưu tiên hàng đầu nhưng khuyến khích các ngân hàng phát triển các công nghệ và giải pháp mới để cải thiện trải nghiệm người dùng và mang lại sự thuận tiện hơn cho các giao dịch.
Hướng dẫn của PBOC cũng quy định các biện pháp cụ thể mà các ngân hàng cần áp dụng khi mở tài khoản thanh toán (TKTT) cho khách hàng, bao gồm:
(i) Phân loại TKTT: TKTT nếu mở tại chi nhánh ngân hàng có xác minh tại chỗ thì cho phép thực hiện tất cả các loại giao dịch bao gồm cả rút tiền mặt (TKTT loại I), TKTT mở trực tuyến hoặc qua máy tự phục vụ phải liên kết với tài khoản loại I có cùng tên để xác minh và chỉ có thể thực hiện các giao dịch dưới 10.000 CNY/ngày (~35 triệu đồng) (TKTT loại II), TKTT mở trực tuyến phải liên kết với tài khoản loại I có cùng tên và giới hạn ở các khoản thanh toán có giá trị nhỏ, với giới hạn số dư là 1.000 CNY (~3,5 triệu đồng) (TKTT loại III);
(ii) Giới hạn giao dịch: Giới hạn hàng ngày: Đặt ra các hạn mức cho tài khoản Loại II (10.000 CNY) và tài khoản Loại III (1.000 CNY) giúp giảm thiểu rủi ro liên quan đến tài khoản mở trực tuyến; Giới hạn hàng năm: Có thể được áp dụng cho một số giao dịch nhất định, đặc biệt đối với một số hoạt động có rủi ro cao như đầu tư,…
(iii) Có trách nhiệm phải thực hiện KYC chặt chẽ để xác minh danh tính của chủ tài khoản và duy trì chính sách “biết khách hàng của bạn”; đồng thời có trách nhiệm bảo vệ tiền của khách hàng và thực hiện các biện pháp quản lý rủi ro mạnh mẽ;
(iiv) Được áp dụng giải pháp xác thực sinh trắc học (như nhận dạng khuôn mặt…) nhưng không bắt buộc làm phương thức xác thực chính;
Tháng 10/2018, PBOC tiếp tục ban hành "Thông số kỹ thuật cho ứng dụng an toàn nhận dạng giọng nói trong tài chính di động" (JR/T 0164-2018). Trong đó hướng dẫn các TCTC tăng cường ứng dụng tiêu chuẩn hóa nhận dạng giọng nói.
Năm 2019, PBOC đã có hướng dẫn "Thông số kỹ thuật để ứng dụng an toàn nhận dạng khuôn mặt trong thanh toán ngoại tuyến", "Giao ước trong thanh toán ngoại tuyến sử dụng nhận dạng khuôn mặt" để chuẩn hóa ứng dụng nhận dạng khuôn mặt an toàn trong thanh toán ngoại tuyến.
Bộ Công nghiệp và Công nghệ thông tin Trung Quốc cũng đã ban hành hơn 10 tiêu chuẩn quốc gia, bao gồm "Thông số kỹ thuật chung về nhận dạng sinh trắc học công nghệ thông tin của thiết bị nhận dạng vân tay" và "Khung công nghệ bảo mật thông tin cho xác thực nhận dạng thiết bị đầu cuối thông minh di động dựa trên nhận dạng sinh trắc học", thúc đẩy việc tiêu chuẩn hóa trong lĩnh vực nhận dạng sinh trắc học.
Đến nay, các ngân hàng tại Trung Quốc đều đã nghiêm túc áp dụng các quy định trên về xác thực khách hàng trong giao dịch trực tuyến. Ví dụ, các ứng dụng ví điện tử Alipay và WeChat Pay đều sử dụng phương thức xác thực hai yếu tố và xác thực sinh trắc học như nhận dạng vân tay, khuôn mặt để xác thực giao dịch.
Áp dụng xác thực sinh trắc học tại một số nước ASEAN
Thời gian qua, Thái Lan hứng chịu nhiều đợt tấn công bằng mã độc để đánh cắp thông tin của khách hàng. Bangkok Post ngày 28/2/2024 đưa tin, các cơ quan chính phủ, quân sự, sản xuất, tài chính và ngân hàng đã là mục tiêu của 5.789 cuộc tấn công trong sáu tháng cuối năm 20234.
Tháng 3/2023, Ngân hàng Trung ương Thái Lan (BOT) yêu cầu các ngân hàng phải áp dụng xác thực sinh trắc học cho các giao dịch có giá trị cao. Từ tháng 6/2023, các giao dịch chuyển tiền trên 50.000 baht/lần (~34,6 triệu đồng) hoặc 200.000 baht/ngày (~138,5 triệu đồng) phải sử dụng quét khuôn mặt để xác thực. BOT cũng ban hành “Hướng dẫn về áp dụng công nghệ sinh trắc học trong dịch vụ tài chính” 5 có hiệu lực từ tháng 9/2023.
Hiện nay, nhiều ngân hàng tại Thái Lan đã áp dụng và hoàn thành theo quy định của BOT, ví dụ: Siam Commercial đã triển khai hệ thống xác thực khuôn mặt cho một số dịch vụ của mình; Kasikornbank đã ra mắt hệ thống xác thực khuôn mặt cho ứng dụng di động của mình, cho phép khách hàng truy cập vào tài khoản và thực hiện giao dịch một cách an toàn và thuận tiện; Standard Chartered Bank tại Thái Lan cũng đã triển khai xác thực bao gồm cả khuôn mặt và vân tay để khách hàng bảo vệ tài khoản của mình;…
Năm 2019, Singapore chính thức thông qua Luật Dịch vụ thanh toán (Payment Services Act - PSA), có hiệu lực vào tháng 01/2020. PSA quy định về các dịch vụ thanh toán điện tử và yêu cầu các nhà cung cấp dịch vụ phải thực hiện các biện pháp xác thực giao dịch phù hợp, gồm:
Xác thực khách hàng (KYC) - Xác minh danh tính của khách hàng trước khi họ được phép sử dụng dịch vụ;
Xác thực giao dịch (Transaction authentication): Sử dụng các biện pháp xác thực như xác thực 2 yếu tố để đảm bảo người dùng là người thực hiện giao dịch (mã OTP, mã PIN, Token vật lý).
NHTW Singapore (MAS) cũng quy định chi tiết cho các TCTC về việc thực hiện các biện pháp xác thực giao dịch; trong đó, bao gồm các yêu cầu về xác thực hai yếu tố, quản lý rủi ro bảo mật và xử lý các trường hợp vi phạm bảo mật.
MAS cũng công bố các tài liệu chính sách và hướng dẫn nhằm thúc đẩy vsử dụng công nghệ sinh trắc học trong ngành dịch vụ tài chính như "Hướng dẫn về xác thực khách hàng và xác thực giao dịch", trong đó khuyến khích các TCTC sử dụng các giải pháp sinh trắc học để nâng cao tính bảo mật và hiệu quả của quy trình xác thực.
Đến nay, một số ngân hàng Singapore đã triển khai ứng dụng xác thực sinh trắc học. DBS Bank đã triển khai công nghệ nhận diện khuôn mặt cho phép khách hàng sử dụng ứng dụng di động để đăng nhập vào tài khoản ngân hàng và thực hiện các giao dịch; đồng thời cũng đã triển khai xác thực bằng sinh trắc học tại một số máy ATM. OCBC Bank đưa ra các tính năng xác thực sinh trắc học cho ứng dụng di động của mình, bao gồm cả nhận diện khuôn mặt và quét vân tay để xác thực đăng nhập và giao dịch. UOB hợp tác với các công ty công nghệ để thử nghiệm các giải pháp xác thực sinh trắc học cho khách hàng doanh nghiệp và giới thiệu các tính năng xác thực sinh trắc học cho khách hàng trên ứng dụng di động của mình;…
Malaysia áp dụng nhiều hình thức xác thực giao dịch thanh toán. Trong đó, xác thực hai yếu tố (SMS/Email OTP) là một trong những phương thức phổ biến nhất tại nước này.
Các ngân hàng và nhà cung cấp dịch vụ thanh toán cũng tích hợp tính năng xác thực vào ứng dụng di động của họ (sử dụng ứng dụng di động để tạo mã OTP hoặc mã QR để xác thực);
Ngoài ra, mã PIN và Token vật lý - được cung cấp bởi ngân hàng hoặc nhà cung cấp dịch vụ để xác thực giao dịch- cũng khá phổ biến tại Malaysia.
Tháng 5/2023, NHTW Malaysia đã yêu cầu các ngân hàng chấm dứt việc sử dụng SMS OTP và thay bằng các biện pháp xác thực mạnh mẽ hơn, như: sử dụng ứng dụng xác thực trên điện thoại di động, giới hạn 01 khách hàng chỉ được phép sử dụng 01 điện thoại hoặc 01 thiết bị an toàn để xác thực…6.
Thực hiện quy định này, nhiều ngân hàng Malaysia đã triển khai xác thực sinh trắc học. Ví dụ, Maybank tích hợp tính năng nhận diện khuôn mặt vào ứng dụng di động Maybank2u cho phép khách hàng đăng nhập và thực hiện các giao dịch như chuyển tiền, thanh toán hóa đơn và mua sắm trực tuyến. Một số máy ATM của Maybank cũng hỗ trợ xác thực bằng vân tay, cho phép khách hàng rút tiền mà không cần thẻ ATM. CIMB Bank tích hợp tính năng nhận diện khuôn mặt vào ứng dụng di động CIMB Clicks để xác thực đăng nhập và giao dịch; triển khai xác thực sinh trắc học trên một số máy ATM của mình. Public Bank triển khai xác thực bằng vân tay trên ứng dụng di động PB Engage, cho phép khách hàng đăng nhập và xác thực giao dịch một cách nhanh chóng.
Tại Việt Nam, thời gian qua, ngành Ngân hàng đã triển khai nhiều giải pháp đồng bộ để tăng cường an ninh, an toàn, bảo mật trong hoạt động thanh toán trực tuyến. Thực hiện nhiệm vụ Thủ tướng Chính phủ giao tại Đề án phát triển ứng dụng dữ liệu về dân cư, định danh và xác thực điện tử phục vụ chuyển đổi số quốc gia giai đoạn 2022 - 2025, tầm nhìn đến năm 2030 (Đề án 06), ngày 24/4/2023, NHNN và Bộ Công an đã ký kết Kế hoạch triển khai nhiều giải pháp, trong đó có việc kết nối, khai thác Cơ sở dữ liệu quốc gia về dân cư để làm sạch dữ liệu khách hàng và phục vụ các hoạt động nghiệp vụ của ngành ngân hàng; rà soát đối tượng nghi ngờ, giả mạo các loại giấy tờ với dữ liệu sinh trắc học của căn cước công dân (CCCD) phục vụ công tác phòng, chống tội phạm.
Bên cạnh đó, học tập kinh nghiệm quốc tế vào thực tiễn Việt Nam trong việc nhận biết, xác thực khách hàng trong các giao dịch trực tuyến nhằm đấu tranh, ngăn chặn tình trạng mua, bán tài khoản, bảo vệ khách hàng tốt hơn trước tình trạng lừa đảo qua mạng, NHNN đã ban hành Quyết định số 2345/QĐ-NHNN ngày 18/12/2023 về triển khai các giải pháp an toàn bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng (có hiệu lực kể từ ngày 1/7/2024).
Quyết định 2345 đã đưa ra quy định áp dụng các biện pháp xác thực mạnh đối với các giao dịch có rủi ro cao… phân loại giao dịch thành 4 loại A, B, C và D. Khách hàng cá nhân khi thực hiện các giao dịch chuyển tiền loại C, D (các giao dịch có giá trị trên 10 triệu đồng hoặc giao dịch có giá trị ≤ 10 triệu đồng nhưng có tổng giá trị giao dịch 1 ngày > 20 triệu đồng) phải xác thực bằng sinh trắc học.
Bên cạnh đó, nhằm giảm thiểu rủi ro trong quá trình thanh toán trực tuyến, Quyết định 2345 cũng yêu cầu khách hàng cá nhân, trước khi thực hiện giao dịch lần đầu bằng ứng dụng Mobile Banking hoặc thực hiện giao dịch trên thiết bị khác thiết bị ban đầu thì phải xác thực sinh trắc học.
Việc xác thực được thực hiện dựa trên sự so khớp giữa thông tin sinh trắc học của khách hàng với dữ liệu sinh trắc học được lưu trong CCCD gắn chíp hoặc thông qua xác thực VNeID hoặc dữ liệu sinh trắc học lưu trong cơ sở dữ liệu của ngân hàng. Việc xác thực khách hàng sẽ giúp giảm thiểu rủi ro trong trường hợp tài khoản bị tội phạm tấn công hoặc lợi dụng cho các mục đích bất hợp pháp.
Triển khai Quyết định 2345, ngay từ đầu năm 2024, nhiều ngân hàng Việt Nam đã khẩn trương tập trung nguồn lực, tiến hành thu thập dữ liệu sinh trắc học của khách hàng thông qua CCCD có gắn chíp bằng nhiều hình thức khác nhau. Nhiều ngân hàng cũng chuẩn bị hạ tầng, tập trung nhân lực, ứng dụng công nghệ liên quan đến nhận diện sinh trắc học nhằm tuân thủ và đơn giản hoá quy trình định danh khách hàng, tích cực truyền thông tới khách hàng thực hiện xác thực sinh trắc học trước ngày hiệu lực để không bị gián đoạn giao dịch.
Có thể thấy, xu hướng nhận biết khách hàng bằng các phương thức xác thực mạnh ngày càng được triển khai và áp dụng rộng khắp trên toàn cầu, trong đó xu hướng xác thực bằng yếu tố sinh trắc học trong các dịch vụ tài chính sẽ ngày càng gia tăng. Việc áp dụng các biện pháp xác thực, trong đó có xác thực bằng yếu tố sinh trắc học không làm gián đoạn trải nghiệm của khách hàng mà vẫn bảo vệ được quyền và lợi ích hợp pháp của người sử dụng dịch vụ; đồng thời góp phần phòng, chống các hoạt động lừa đảo trên không gian mạng, gây mất an ninh, an toàn trong hoạt động thanh toán trực tuyến.
VTT
1 Nguồn: https://www.vixio.com/insights/pc-sca-implementation-whats-expected-psps-uk-and-eu
2 “Notice of the People's Bank of China on Improving Personal Bank Account Services and Strengthening Account Management” (Nguồn: 中国人民银行关于改进个人银行账户服务 加强账户管理的通知 (http://www.pbc.gov.cn/goutongjiaoliu/113456/113469/2995389/index.html)
3 “Administrative Measures for Internet Payment Business of Non-Bank Payment Institutions” (Nguồn: 非银行支付机构网络支付业务管理办法 (https://www.gov.cn/gongbao/content/2016/content_5061699.htm)
4 Nguồn: https://www.bangkokpost.com/business/general/2749709/trojan-attacks-zero-in-on-thailand
5 Nguồn: https://www.bot.or.th/content/dam/bot/fipcs/documents/FPG/2566/EngPDF/25660181.pdf
6 Nguồn: https://commsrisk.com/malaysian-banks-stop-using-sms-for-two-factor-authentication/