Đảm bảo an ninh, bảo mật trong cung cấp và sử dụng dịch vụ thẻ

Hoàn thiện hành lang pháp lý trong thanh toán trực tuyến và thanh toán qua thẻ

Thời gian qua, NHNN thường xuyên rà soát, nghiên cứu hoàn thiện hành lang pháp lý về hoạt động thanh toán, trong đó đã bổ sung quy định các hành vi bị cấm trong hoạt động thanh toán; sửa đổi, bổ sung quy định về mở và sử dụng tài khoản thanh toán (TKTT), thẻ ngân hàng, ví điện tử theo hướng quy định chặt chẽ hơn về quy trình nhận biết, định danh khách hàng mở và sử dụng TKTT, thẻ ngân hàng, ví điện tử và bổ sung quy định về đảm bảo an toàn bảo mật trong mở và sử dụng TKTT, thẻ ngân hàng, ví điện tử…

Đáng chú ý, NHNN đã ban hành Quyết định số 2345/QĐ-NHNN ngày 18/12/2023 về triển khai các giải pháp an toàn, bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng (Quyết định 2345) hiệu lực từ 1/7/2024. Hiện tại, các nội dung của Quyết định 2345 đã được NHNN quy định tại Thông tư 50/2024/TT-NHNN ngày 31/10/2024 quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng (Thông tư 50) có hiệu lực từ 1/1/2025, trong đó có quy định: Các giao dịch chuyển tiền điện tử của cá nhân có giá trị trên 10 triệu đồng, hoặc tổng giá trị giao dịch chuyển tiền điện tử trong ngày vượt 20 triệu đồng, hoặc khi thay đổi thiết bị thực hiện giao dịch Mobile Banking phải áp dụng một trong các biện pháp xác thực sinh trắc học.

Việc triển khai xác thực sinh trắc học trong các giao dịch ngân hàng góp phần bảo đảm các giao dịch thanh toán trực tuyến được thực hiện bởi chính chủ tài khoản, qua đó sẽ nâng cao an ninh, an toàn, bảo mật cho các giao dịch thanh toán trực tuyến, giảm thiểu rủi ro gian lận, lừa đảo trong giao dịch thanh toán trực tuyến.

Thông tư 50 tạo hành lang pháp lý vững chắc và góp phần tăng cường an ninh, an toàn, bảo mật đối với hoạt động thanh toán trực tuyến, hạn chế việc lợi dụng cho hoạt động bất hợp pháp. Thông tư này cũng yêu cầu các tổ chức tín dụng (TCTD), trung gian thanh toán (TGTT) thực hiện các biện pháp nhằm tăng cường bảo vệ khách hàng khi giao dịch trên môi trường mạng như:

(i) Triển khai giải pháp đối khớp thông tin sinh trắc học theo các tiêu chuẩn quốc tế bảo đảm xác định chính xác chủ thể thực hiện giao dịch, có tính năng phát hiện các hành vi giả mạo dấu hiệu sinh trắc học của vật thể sống (Liveness Detection) để phòng chống gian lận, giả mạo khách hàng qua hình ảnh (ảnh tĩnh, ảnh động), video, mặt nạ 3D và các hình ảnh, video tạo bởi công nghệ Deepfake.

(ii) Triển khai các giải pháp nhằm phòng, chống, phát hiện các hành vi can thiệp trái phép vào ứng dụng Mobile Banking đã cài đặt trong thiết bị di động của khách hàng.

(iii) Quy định về việc TCTD, TGTT không gửi tin nhắn SMS, thư điện tử cho khách hàng có nội dung chứa đường dẫn liên kết (Hyperlink) truy cập các trang tin điện tử, trừ trường hợp theo yêu cầu của khách hàng. Khách hàng chỉ cần nhận được bất cứ tin nhắn SMS, thư điện tử có nội dung chứa đường dẫn liên kết thì có thể xác định ngay là tin nhắn, thư điện tử giả mạo.

Ngoài ra, để đảm bảo an ninh, an toàn trong mở và sử dụng thẻ, NHNN đã ban hành Thông tư số 18/2024/TT-NHNN ngày 28/6/2024 quy định về hoạt động thẻ ngân hàng (có hiệu lực từ ngày 1/7/2024), thay thế Thông tư số 19/2016/TT-NHNN ngày 30/6/2016 (đã được sửa đổi, bổ sung), trong đó có sửa đổi, bổ sung các quy định sẽ góp phần tăng cường an ninh, an toàn trong hoạt động thẻ ngân hàng, hạn chế việc lợi dụng và sử dụng thẻ ngân hàng cho các hoạt động bất hợp pháp.

Điểm mới nổi bật tại Thông tư 18 là từ tháng 1/2025, tất cả chủ thẻ, chủ tài khoản phải đối chiếu giấy tờ tùy thân và thông tin sinh trắc học thì thẻ ngân hàng mới được sử dụng để giao dịch bằng phương tiện điện tử. Cụ thể, nhằm đảm bảo an ninh an toàn trong giao dịch thẻ bằng phương tiện điện tử, tại Khoản 6, Điều 16, Thông tư số 18/2024/TT-NHNN quy định thẻ chỉ được sử dụng để thực hiện giao dịch thẻ bằng phương tiện điện tử khi đã hoàn thành việc đối chiếu đảm bảo khớp đúng giấy tờ tùy thân và thông tin sinh trắc học của chủ thẻ với: (i) Dữ liệu sinh trắc học được lưu trong bộ phận lưu trữ thông tin được mã hóa của thẻ căn cước công dân hoặc thẻ căn cước đã được xác thực chính xác là do cơ quan Công an cấp hoặc thông qua xác thực tài khoản định danh điện tử của người đó do Hệ thống định danh và xác thực điện tử tạo lập; hoặc (ii) Dữ liệu sinh trắc học đã được thu thập và kiểm tra (đảm bảo sự khớp đúng giữa dữ liệu sinh trắc học của người đó với dữ liệu sinh trắc học trong bộ phận lưu trữ thông tin được mã hóa của thẻ căn cước công dân hoặc thẻ căn cước đã được xác thực chính xác là do cơ quan Công an cấp hoặc với dữ liệu sinh trắc học của người đó thông qua xác thực tài khoản định danh điện tử do Hệ thống định danh và xác thực điện tử tạo lập); hoặc (iii) Dữ liệu sinh trắc học được thu thập thông qua gặp mặt trực tiếp người đó đối với trường hợp là người nước ngoài không sử dụng danh tính điện tử, người gốc Việt Nam chưa xác định được quốc tịch; hoặc (iv) Dữ liệu sinh trắc học của người đó được lưu trong Cơ sở dữ liệu quốc gia về dân cư trong trường hợp sử dụng thẻ căn cước công dân không có bộ phận lưu trữ thông tin được mã hóa.

Thông tư số 18/2024/TT-NHNN cũng quy định tổ chức phát hành thẻ phải triển khai một số quy định nhằm đảm bảo an ninh, an toàn trong hoạt động thẻ Đối với việc phát hành thẻ bằng phương tiện điện tử, Thông tư số 18/2024/TT-NHNN quy định cụ thể về việc thu thập, kiểm tra, đối chiếu xác minh thông tin nhận biết khách hàng đảm bảo sự khớp đúng giữa thông tin sinh trắc học của chủ thẻ (đối với khách hàng cá nhân) hoặc đại diện hợp pháp (đối với khách hàng tổ chức) với: (i) Dữ liệu sinh trắc học được lưu trong bộ phận lưu trữ thông tin được mã hóa của thẻ căn cước công dân hoặc thẻ căn cước đã được xác thực chính xác là do cơ quan Công an cấp hoặc thông qua xác thực tài khoản định danh điện tử của người đó do Hệ thống định danh và xác thực điện tử tạo lập; hoặc; (ii) Dữ liệu sinh trắc học đã được thu thập và kiểm tra (đảm bảo sự khớp đúng giữa dữ liệu sinh trắc học của người đó với dữ liệu sinh trắc học trong bộ phận lưu trữ thông tin được mã hóa của thẻ căn cước công dân hoặc thẻ căn cước đã được xác thực chính xác là do cơ quan Công an cấp hoặc với dữ liệu sinh trắc học của người đó thông qua xác thực tài khoản định danh điện tử do Hệ thống định danh và xác thực điện tử tạo lập). Việc phát hành thẻ bằng phương tiện điện tử không áp dụng với người từ đủ 15 tuổi đến chưa đủ 18 tuổi; và không phát hành thẻ phụ.

Áp dụng các giải pháp công nghệ về bảo mật

Về giải pháp công nghệ, NHNN đã và đang triển khai Hệ thống giám sát các tài khoản thanh toán, ví điện tử nghi ngờ gian lận, giả mạo (SIMO), cho phép các tổ chức thành viên tham gia thực hiện báo cáo thông tin về các tài khoản đáng ngờ khi phát hiện và chia sẻ thông tin tới các thành viên khác. Trên cơ sở nguồn dữ liệu tập trung của hệ thống SIMO, các TCTD có thể đưa ra các quyết định thực hiện ngăn chặn giao dịch ngay lập tức hoặc yêu cầu xác thực, định danh tài khoản trước thực hiện giao dịch trực tuyến.

Ngành Ngân hàng cũng phối hợp chặt chẽ với các bộ, ngành liên quan để có biện pháp phòng, chống tội phạm sử dụng công nghệ cao như: biện pháp phòng, chống tin nhắn giả mạo; thiết lập kênh phản ứng nhanh để ngăn chặn kịp thời các website giả mạo của các tổ chức trong ngành Ngân hàng...

NHNN đã chỉ đạo các ngân hàng nghiêm túc chấp hành các quy định về đảm bảo an ninh, an toàn trong hoạt động thanh toán thẻ; triển khai áp dụng các giải pháp tăng cường an ninh, an toàn đối với hạ tầng kỹ thuật phục vụ cho thanh toán thẻ; rà soát đảm bảo việc triển khai, vận hành hệ thống ngân hàng, thanh toán thẻ tuân thủ theo đúng các quy định hiện hành về an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet và quy định về đảm bảo an toàn, bảo mật hệ thống công nghệ thông tin trong hoạt động ngân hàng; thường xuyên, kịp thời đưa ra những cảnh báo, hướng dẫn và thông tin đầy đủ đến khách hàng về những phương thức, thủ đoạn của tội phạm.

Đồng thời, NHNN chỉ đạo các TCTD nghiên cứu ứng dụng dữ liệu về dân cư, định danh và xác thực điện tử trong hoạt động ngân hàng; trong đó có nội dung xây dựng kế hoạch làm sạch dữ liệu khách hàng cá nhân thông qua đối chiếu, xác thực dữ liệu khách hàng với nền tảng cơ sở dữ liệu quốc gia về dân cư (CSDLQGvDC), dữ liệu CCCD góp phần rà soát đối tượng nghi ngờ giả mạo giấy tờ tùy thân để mở TKTT; triển khai đồng bộ nhiều giải pháp truyền thông để nâng cao nhận thức về an toàn thông tin cho toàn thể cán bộ ngân hàng và khách hàng.

Đặc biệt, NHNN tích cực phối hợp với Bộ Công an triển khai Đề án 06 (Quyết định số 06/QĐ-TTg của Thủ tướng Chính phủ: Phê duyệt Đề án phát triển ứng dụng dữ liệu về dân cư, định danh và xác thực điện tử phục vụ chuyển đổi số quốc gia giai đoạn 2022 - 2025, tầm nhìn đến năm 2030) và Kế hoạch phối hợp số 01/KHPH-BCA-NHNN ngày 24/4/2023 về việc triển khai thực hiện các nhiệm vụ tại Đề án 06 giữa Bộ Công an và NHNN, trong đó có nội dung về kết nối, khai thác CSDLQGvDC làm sạch dữ liệu khách hàng và xác minh thông tin nhận biết khách hàng góp phần rà soát đối tượng nghi ngờ, giả mạo giấy tờ tùy thân để mở TKTT, thẻ ngân hàng, ví điện tử. 

Ngân hàng đầu tư công nghệ và nâng cao kỹ năng cho khách hàng trong sử dụng thẻ

Về phía các ngân hàng phát hành thẻ, tổ chức thanh toán thẻ, cần nghiêm túc tuân thủ đầy đủ các quy định pháp luật liên quan đến an ninh, an toàn trong thanh toán thẻ. Đồng thời, các ngân hàng phải thường xuyên rà soát, bổ sung các thiết bị đảm bảo an ninh, an toàn cho ATM như lắp đặt camera giám sát, thiết bị phòng, chống sao chép, trộm cắp thông tin thẻ; thường xuyên kiểm tra các ATM để ngăn chặn các thiết bị lắp đặt trái phép nhằm trộm cắp thông tin của chủ thẻ; theo dõi, thông báo kịp thời cho nhau về các loại hình tội phạm mới; tích cực phối hợp, trao đổi thông tin với Hội thẻ Ngân hàng Việt Nam (Tiểu ban quản lý rủi ro) về các điểm ATM bị cài đặt thiết bị trộm cắp thông tin thẻ, các đối tượng nghi vấn...

Các TCTD cần đẩy mạnh ứng dụng dữ liệu về dân cư, định danh và xác thực điện tử trong hoạt động ngân hàng; trong đó có làm sạch dữ liệu khách hàng cá nhân thông qua đối chiếu, xác thực dữ liệu khách hàng với nền tảng CSDLQGvDC, dữ liệu CCCD góp phần rà soát đối tượng nghi ngờ giả mạo giấy tờ tùy thân để mở TKTT. Đồng thời đẩy mạnh tuyên truyền, cảnh báo cho khách hàng những phương thức, thủ đoạn hoạt động của tội phạm trong lĩnh vực thanh toán thẻ, để chủ thẻ nâng cao cảnh giác, chủ động có các biện pháp bảo đảm bảo mật thông tin thẻ.

Hơn nữa, để thúc đẩy tài chính toàn diện, các TCTD cần triển khai các giải pháp về thúc đẩy TTKDTM, nhất là tại các khu vực nông thôn, vùng sâu, vùng xa phù hợp với hành vi tiêu dùng của người dân ở các vùng này, như: phát triển đa dạng tổ chức cung ứng, kênh phân phối, đa dạng các sản phẩm, dịch vụ TTKDTM;  phát triển các sản phẩm, dịch vụ TTKDTM phù hợp với hành vi tiêu dùng ở khu vực nông thôn, vùng sâu, vùng xa, biên giới, hải đảo; đẩy mạnh ứng dụng các sản phẩm, dịch vụ thanh toán trên thiết bị di động, như: thanh toán qua QR Code, mã hóa thông tin thẻ (Tokenization), thanh toán di động (Mobile Payment), thanh toán phi tiếp xúc (Contactless), ví điện tử…

Về phía đơn vị chấp nhận thanh toán thẻ, cần phải thực hiện đầy đủ các biện pháp, quy trình kỹ thuật nghiệp vụ và bảo mật thông tin chủ thẻ, phát hiện gian lận, giả mạo trong thanh toán thẻ theo hướng dẫn của các ngân hàng mà mình hợp tác; phối hợp với ngân hàng để đào tạo nhân viên trong việc sử dụng các thiết bị chấp nhận thẻ trong thanh toán; phát hiện kịp thời các khách hàng có dấu hiệu gian lận, giả mạo thẻ.

Các chủ thẻ/khách hàng cần tuân thủ các nguyên tắc về bảo mật theo đúng các hướng dẫn của ngân hàng, đảm bảo sử dụng dịch vụ thẻ an toàn; chủ động giữ kín các thông tin cá nhân/thông tin tài khoản, không tiết lộ cho bên thứ ba dưới mọi hình thức để tránh các trường hợp bị lợi dụng.

Hà Linh

Tài liệu tham khảo

Thông tư 50/2024/TT-NHNN ngày 31/10/2024 quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng

Thông tư số 18/2024/TT-NHNN ngày 28/6/2024 quy định về hoạt động thẻ ngân hàng