Mục lục bài viết
1. Quy định về an toàn, bảo mật cung cấp dịch vụ trực tuyến trong ngành Ngân hàng thế nào?
Ngày 31 tháng 10 năm 2024, Ngân hàng Nhà nước đã ban hành Thông tư số 50/2024/TT-NHNN nhằm quy định các yêu cầu về an toàn, bảo mật đối với việc cung cấp các dịch vụ trực tuyến trong ngành Ngân hàng. Đây là một trong những nỗ lực quan trọng nhằm bảo vệ an toàn thông tin và tài sản của khách hàng trong bối cảnh sự phát triển mạnh mẽ của công nghệ số, cũng như sự gia tăng các nguy cơ về tội phạm mạng và lừa đảo trực tuyến.
Theo nội dung của Thông tư này, các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, các tổ chức cung cấp dịch vụ trung gian thanh toán, cũng như các đơn vị hoạt động trong lĩnh vực thông tin tín dụng phải tuân thủ nghiêm ngặt các yêu cầu bảo đảm an toàn, bảo mật khi cung cấp dịch vụ trực tuyến. Cụ thể, các yêu cầu này bao gồm việc bảo vệ các giao dịch ngân hàng, đảm bảo thông tin khách hàng không bị rò rỉ hay xâm nhập trái phép, đồng thời ngăn chặn các hành vi gian lận và tội phạm mạng.
Thông tư cũng chỉ rõ rằng không chỉ các dịch vụ ngân hàng trực tuyến mà còn các hoạt động kinh doanh khác của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, dịch vụ trung gian thanh toán và hoạt động thông tin tín dụng đều phải thực hiện các biện pháp bảo vệ an toàn thông tin và dữ liệu khách hàng. Những quy định này không chỉ giúp củng cố niềm tin của khách hàng mà còn góp phần nâng cao chất lượng và tính minh bạch của hệ thống tài chính quốc gia trong kỷ nguyên số.
Thông tư số 50/2024/TT-NHNN quy định về an toàn và bảo mật trong việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng có phạm vi áp dụng rộng rãi đối với các tổ chức, đơn vị hoạt động trong lĩnh vực tài chính và ngân hàng. Cụ thể, các đối tượng áp dụng của Thông tư này bao gồm tất cả các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài hoạt động tại Việt Nam, các tổ chức cung cấp dịch vụ trung gian thanh toán, và các công ty thông tin tín dụng. Những đơn vị này, dù là tổ chức trong nước hay chi nhánh ngân hàng nước ngoài, đều phải tuân thủ các quy định về an toàn thông tin và bảo mật khi cung cấp dịch vụ trực tuyến, nhằm đảm bảo sự an toàn và bảo vệ quyền lợi của khách hàng. Các tổ chức này có trách nhiệm thực hiện các biện pháp bảo vệ thông tin, bảo mật dữ liệu và ngăn ngừa các hành vi gian lận, xâm nhập trái phép vào hệ thống tài chính. Thông tư 50/2024/TT-NHNN nhấn mạnh rằng việc áp dụng các quy định này là cần thiết không chỉ để bảo vệ thông tin khách hàng mà còn để duy trì sự ổn định và phát triển bền vững của hệ thống tài chính quốc gia trong thời đại số hóa hiện nay.
2. Các ứng dụng không được phép có chức năng ghi nhớ mã khóa bí mật (password) truy cập
Tại mục 5, Điều 8 của Thông tư số 50/2024/TT-NHNN, quy định về phần mềm ứng dụng Mobile Banking, có những yêu cầu rất nghiêm ngặt về bảo mật, nhằm đảm bảo an toàn cho người dùng khi sử dụng các dịch vụ ngân hàng trực tuyến qua điện thoại di động. Một trong những yêu cầu quan trọng là các ứng dụng ngân hàng không được phép có chức năng ghi nhớ mã khóa bí mật (password) để truy cập vào tài khoản của khách hàng. Điều này được quy định rõ ràng nhằm ngăn ngừa các rủi ro mất an toàn thông tin trong trường hợp thiết bị của khách hàng bị mất hoặc bị truy cập trái phép. Đặc biệt, theo ghi nhận thực tế hiện nay, hầu hết các ứng dụng ngân hàng đã tuân thủ quy định này và tắt chức năng ghi nhớ password, nâng cao mức độ bảo mật cho người dùng.
Ngoài ra, đối với khách hàng cá nhân, Thông tư cũng yêu cầu các ứng dụng Mobile Banking phải có chức năng kiểm tra để xác định liệu khách hàng có đang truy cập lần đầu tiên hoặc trên một thiết bị khác không. Việc kiểm tra này bao gồm các phương thức xác thực an toàn, chẳng hạn như yêu cầu khách hàng xác nhận thông qua mã OTP (One-Time Password) được gửi qua tin nhắn SMS hoặc cuộc gọi thoại (Voice OTP) đến số điện thoại đã đăng ký, hoặc yêu cầu khớp đúng các thông tin sinh trắc học như vân tay hoặc nhận diện khuôn mặt. Đây là các biện pháp quan trọng giúp xác minh và bảo vệ khách hàng trước các nguy cơ giả mạo hoặc xâm nhập trái phép.
Thêm vào đó, Thông tư 50/2024/TT-NHNN cũng yêu cầu các ngân hàng phải đăng ký và quản lý ứng dụng Mobile Banking của mình trên kho ứng dụng chính thức, như App Store hoặc Google Play, và hướng dẫn khách hàng chỉ cài đặt ứng dụng từ các nguồn tin cậy. Việc này nhằm đảm bảo rằng khách hàng chỉ sử dụng các ứng dụng được kiểm duyệt, giảm thiểu nguy cơ cài đặt phần mềm giả mạo hoặc phần mềm độc hại.
Một yêu cầu quan trọng khác của Thông tư là các ứng dụng Mobile Banking phải áp dụng các biện pháp bảo mật nghiêm ngặt để ngăn chặn việc chỉnh sửa, can thiệp trái phép vào luồng dữ liệu trong quá trình giao dịch. Đồng thời, ứng dụng cần có cơ chế phòng chống các hành vi tấn công mạng hoặc can thiệp vào ứng dụng cài đặt trên thiết bị của khách hàng. Những yêu cầu này nhằm bảo vệ dữ liệu giao dịch và thông tin cá nhân của khách hàng, đồng thời tăng cường sự tin tưởng của người sử dụng đối với các dịch vụ ngân hàng trực tuyến.
Trong Điều 11 của Thông tư số 50/2024/TT-NHNN, Ngân hàng Nhà nước quy định chi tiết về các hình thức xác nhận giao dịch để đảm bảo an toàn, bảo mật cho các giao dịch ngân hàng trực tuyến. Cụ thể, các hình thức xác nhận bao gồm mật khẩu (password), mã PIN, mã OTP (One-Time Password), xác thực hai kênh, sinh trắc học, FIDO, chữ ký điện tử, chữ ký điện tử an toàn và EMV EDS. Mỗi hình thức xác thực đều có những yêu cầu và tiêu chuẩn riêng biệt để bảo vệ thông tin và tài sản của khách hàng.
Đối với mật khẩu, Thông tư yêu cầu có độ dài tối thiểu là 8 ký tự, bao gồm cả chữ hoa, chữ thường và số, và mật khẩu chỉ có hiệu lực tối đa trong vòng 12 tháng. Đối với mật khẩu cấp lần đầu, hiệu lực tối đa chỉ 30 ngày. Mã PIN được yêu cầu có 6 ký tự và có hiệu lực tối đa 12 tháng, trong khi mã PIN cấp lần đầu có hiệu lực tối đa 30 ngày. Đối với hình thức OTP, có thể gửi qua SMS, cuộc gọi (Voice OTP), email, hoặc qua thiết bị/token tạo OTP. Mã OTP này cần có thời gian hiệu lực từ 2 đến 5 phút, tùy theo từng hình thức gửi OTP.
Hình thức xác nhận sinh trắc học, bao gồm các thông tin như khuôn mặt, vân tay, sẽ được sử dụng để so sánh và xác thực giao dịch. Thông tư yêu cầu các hệ thống sinh trắc học phải đảm bảo độ chính xác cao, khả năng phát hiện giả mạo theo các tiêu chuẩn quốc tế và thời gian thực hiện không quá 3 phút. Điều này giúp nâng cao độ tin cậy và bảo vệ giao dịch của khách hàng khỏi các hành vi gian lận.
Cũng tại Điều 19 của Thông tư 50/2024/TT-NHNN, có các quy định rõ ràng về bảo mật thông tin khách hàng. Các đơn vị cung cấp dịch vụ ngân hàng phải đảm bảo rằng dữ liệu của khách hàng được bảo mật an toàn theo quy định của pháp luật, đặc biệt là các thông tin sử dụng để xác nhận giao dịch như mật khẩu, mã PIN, và thông tin sinh trắc học. Những thông tin này khi lưu trữ phải được mã hóa hoặc che dấu để đảm bảo tính bí mật. Ngoài ra, các ngân hàng phải thiết lập quyền truy cập hợp lý cho nhân sự thực hiện nhiệm vụ truy cập dữ liệu khách hàng, cũng như phải giám sát và kiểm tra mọi lần truy cập. Các biện pháp quản lý truy cập vào các thiết bị và phương tiện lưu trữ dữ liệu khách hàng cũng phải được thực hiện để phòng ngừa nguy cơ lộ lọt dữ liệu.
Thông tư cũng yêu cầu các ngân hàng phải thông báo kịp thời cho khách hàng khi có sự cố làm lộ, lọt thông tin và phải báo cáo ngay cho Ngân hàng Nhà nước (Cục Công nghệ thông tin). Những quy định này nhằm bảo vệ quyền lợi của khách hàng và giữ vững niềm tin vào hệ thống ngân hàng trực tuyến.
Để tăng cường bảo mật trong giao dịch ngân hàng, Ngân hàng Nhà nước cũng đã ban hành Quyết định số 2345/QĐ-NHNN vào ngày 18/12/2023, quy định về triển khai các giải pháp bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng. Quyết định này yêu cầu xác thực sinh trắc học khi thực hiện giao dịch chuyển tiền trên 10 triệu đồng hoặc tổng giá trị giao dịch trên 20 triệu đồng/ngày, cũng như khi thay đổi hoặc cài đặt lại ứng dụng Mobile Banking trên thiết bị di động mới. Đặc biệt, việc triển khai xác thực sinh trắc học trong các giao dịch ngân hàng giúp bảo vệ tài khoản của khách hàng khỏi các hành vi lừa đảo và gian lận.
Ngoài ra, một quy định mới được Ngân hàng Nhà nước ban hành là yêu cầu khách hàng chỉ được thực hiện giao dịch thanh toán bằng phương tiện điện tử khi đã hoàn thành việc đối chiếu giấy tờ tùy thân và thông tin sinh trắc học với dữ liệu lưu trong chip của thẻ căn cước công dân hoặc qua hệ thống xác thực tài khoản định danh điện tử. Quy định này sẽ có hiệu lực từ ngày 1/1/2025 đối với khách hàng cá nhân và từ ngày 1/7/2025 đối với khách hàng tổ chức. Mục tiêu của các biện pháp này là đảm bảo các giao dịch thanh toán trực tuyến được thực hiện bởi chính chủ tài khoản, qua đó nâng cao mức độ bảo mật và giảm thiểu rủi ro trong giao dịch điện tử.
Theo thống kê của Ngân hàng Nhà nước, tính đến ngày 1/11/2024, các giao dịch thanh toán theo Quyết định 2345 đã diễn ra bình thường và đã có hơn 50 triệu hồ sơ khách hàng được thu thập và đối chiếu thông tin sinh trắc học. Số lượng vụ việc lừa đảo và mất tiền của khách hàng cá nhân đã giảm đáng kể, đặc biệt là số tài khoản bị lừa đảo nhận tiền cũng giảm mạnh, với tỷ lệ giảm khoảng 65% so với 6 tháng đầu năm 2024. Những kết quả này chứng tỏ hiệu quả của các biện pháp bảo mật và xác thực mới trong việc bảo vệ người tiêu dùng và nâng cao an toàn cho các giao dịch ngân hàng trực tuyến.
3. Các biện pháp cần thiết để bảo vệ khách hàng giao dịch trên môi trường mạng
Ngoài việc triển khai các quy định về xác thực sinh trắc học, Ngân hàng Nhà nước (NHNN) còn chỉ đạo các tổ chức tín dụng (TCTD) thực hiện một loạt giải pháp công nghệ tiên tiến nhằm tăng cường bảo mật trong hệ thống ngân hàng trực tuyến. Một trong những giải pháp quan trọng là việc phối hợp với Bộ Công an triển khai các giải pháp ứng dụng dữ liệu dân cư theo Đề án 06 của Chính phủ. Mục tiêu của việc này là làm sạch dữ liệu khách hàng, loại bỏ các tài khoản ngân hàng không chính chủ, góp phần nâng cao tính chính xác và an toàn trong các giao dịch ngân hàng, đồng thời bảo vệ khách hàng khỏi các hành vi lừa đảo, gian lận.
Bên cạnh đó, NHNN cũng đã chỉ đạo các TCTD triển khai các giải pháp phát hiện, cảnh báo và ngăn chặn việc sử dụng ứng dụng Mobile Banking trên các thiết bị đã bị phá khóa (jailbreak) hoặc thiết bị đã kích hoạt quyền trợ năng. Những thiết bị này có nguy cơ bị can thiệp và không đảm bảo an toàn, do đó việc hạn chế sử dụng ứng dụng ngân hàng trên chúng là rất quan trọng. Thêm vào đó, các cơ chế phát hiện đăng nhập trên thiết bị lạ cũng được áp dụng để bảo vệ tài khoản khách hàng, ngăn chặn các hành vi xâm nhập trái phép.
Trong tương lai, NHNN sẽ tiếp tục nghiên cứu và ban hành các quy định mới để tăng cường bảo mật cho các giao dịch thanh toán trực tuyến. Một trong những giải pháp quan trọng là việc cấm các TCTD gửi tin nhắn SMS hoặc thư điện tử có chứa đường dẫn liên kết (Hyperlink) tới các trang web mà không có yêu cầu từ khách hàng. Quy định này nhằm bảo vệ khách hàng khỏi các tin nhắn giả mạo, khi mà đường link trong tin nhắn có thể dẫn tới các trang web lừa đảo. Nếu khách hàng nhận được bất kỳ tin nhắn hoặc email nào chứa đường dẫn liên kết, họ có thể ngay lập tức nhận diện đó là một hành vi gian lận.
Ngoài ra, NHNN cũng nghiên cứu và dự kiến ban hành các biện pháp nhằm phòng ngừa, phát hiện các hành vi can thiệp trái phép vào các ứng dụng Mobile Banking đã cài đặt trên thiết bị của khách hàng. Một trong những giải pháp quan trọng là triển khai hệ thống giám sát các tài khoản thanh toán, ví điện tử nghi ngờ gian lận (SIMO). Hệ thống SIMO sẽ giúp các tổ chức thành viên báo cáo các tài khoản nghi ngờ và chia sẻ thông tin với các thành viên khác, từ đó giúp các TCTD đưa ra quyết định nhanh chóng, ngăn chặn giao dịch gian lận hoặc yêu cầu xác thực tài khoản trước khi thực hiện giao dịch trực tuyến.
Để bảo vệ an ninh thông tin trong ngành ngân hàng, NHNN cũng đang phối hợp với các cơ quan chức năng như Bộ Công an, Bộ Thông tin và Truyền thông, và các tổ chức liên quan trong công tác phòng chống tội phạm công nghệ cao. Ngành ngân hàng hiện nay đang phát triển mạnh mẽ với hơn 87% người trưởng thành tại Việt Nam đã có tài khoản ngân hàng, và nhiều ngân hàng có tỷ lệ giao dịch qua kênh số lên đến trên 95%. Sự phát triển mạnh mẽ này đi kèm với việc gia tăng số lượng và giá trị giao dịch trực tuyến, tạo ra nhu cầu cấp thiết về các biện pháp bảo mật.
Để bảo vệ tài khoản và bảo đảm an toàn khi giao dịch ngân hàng điện tử, khách hàng cũng cần thực hiện các biện pháp bảo mật cơ bản. Đầu tiên, khách hàng cần sử dụng mật khẩu mạnh, không chia sẻ thông tin tài khoản với bất kỳ ai, và thay đổi mật khẩu ít nhất mỗi 3 tháng. Khi đăng nhập vào tài khoản, khách hàng chỉ nên sử dụng các thiết bị an toàn và không nên truy cập từ các mạng Wifi công cộng không an toàn. Đồng thời, khách hàng không nên mở hoặc cho thuê tài khoản ngân hàng của mình cho người khác. Đối với những người ít sử dụng thanh toán thẻ trực tuyến, có thể khóa chức năng thanh toán hoặc giảm hạn mức thanh toán để bảo vệ tài khoản của mình.
Khách hàng cũng cần cài đặt phần mềm diệt virus trên thiết bị và thoát khỏi ứng dụng ngân hàng khi không sử dụng. Không tải các phần mềm hoặc ứng dụng từ các trang web không đáng tin cậy và tránh sử dụng các thiết bị đã bị phá khóa để sử dụng các dịch vụ ngân hàng điện tử. Đặc biệt, khách hàng nên đọc kỹ các hướng dẫn sử dụng dịch vụ và bảo mật trên website chính thức của ngân hàng, để luôn cập nhật và thực hiện đúng các biện pháp bảo vệ tài khoản và thông tin cá nhân của mình.
Các biện pháp này sẽ giúp nâng cao mức độ an toàn, bảo mật trong giao dịch ngân hàng trực tuyến, bảo vệ khách hàng khỏi các rủi ro mất tiền do gian lận hoặc các hành vi tấn công mạng.
Xem thêm bài viết: Thủ tục ủy quyền thế chấp sổ đỏ để vay vốn ngân hàng?
Khi quý khách có thắc mắc về quy định pháp luật, vui lòng liên hệ đến hotline tư vấn pháp luật tài chính, ngân hàng: 19006162 hoặc gửi thư tư vấn đến địa chỉ email: lienhe@luatminhkhue.vn để được giải đáp.