Tăng bảo mật cho tài khoản ngân hàng

Ngừng giao dịch trên online, ATM nếu chưa xác thực khuôn mặt

Theo quy định của Ngân hàng Nhà nước (NHNN), từ ngày 1.1.2025, các chủ tài khoản ngân hàng (NH), chủ thẻ NH chỉ được thực hiện chuyển tiền, thanh toán hóa đơn, nạp tiền trực tuyến (online) khi đã hoàn thành việc đối chiếu khớp đúng giấy tờ tùy thân và thông tin sinh trắc học (hay xác thực khuôn mặt) của chủ tài khoản. Quy định này cũng được áp dụng cho việc chuyển tiền và rút tiền tại các trụ ATM. Riêng tài khoản tổ chức sẽ áp dụng quy định này kể từ ngày 1.7.2025.

ẢNH: ĐÀO NGỌC THẠCH

Hay nói cách khác, từ đầu năm 2025, các chủ tài khoản sẽ không thể thực hiện các giao dịch online (NH điện tử, Mobile Banking) nếu chưa cập nhật xác thực khuôn mặt. Quy định này đã được áp dụng cho những giao dịch chuyển khoản online với số tiền từ 10 triệu đồng/lần và từ 20 triệu đồng/ngày từ ngày 1.7 vừa qua. Đồng thời, theo quy định của luật Căn cước 2023, đến hết năm nay loại CMND (bao gồm cả loại 9 số và 12 số) sẽ hết hạn sử dụng. Như vậy, chủ tài khoản NH cũng cần phải cập nhật lại thông tin theo CCCD gắn chip mới kèm theo xác thực khuôn mặt. Nếu không thực hiện thì từ đầu năm tới, khách hàng sẽ sẽ bị ngừng giao dịch thanh toán, rút tiền trên mọi kênh (bao gồm kênh quầy, kênh trực tuyến, kênh ATM…).

Hiện tại, các NH đều có thông báo, nhắc khách hàng cập nhật thông tin cá nhân và xác thực khuôn mặt. Ví dụ, mới nhất Vietcombank thông báo sẽ mở cửa giao dịch ngoài giờ hành chính để phục vụ khách hàng cập nhật thông tin sinh trắc học và giấy tờ tùy thân tại một số địa điểm ở các tỉnh, thành phố. Thời gian thực hiện từ ngày 23.11.2024 đến ngày 15.1.2025, thời gian giao dịch từ thứ hai đến thứ sáu kéo dài đến 19 giờ 30 và thứ bảy cũng mở cửa nguyên ngày. Thậm chí, một số nhà băng còn đưa ra chương trình tặng quà cho khách hàng khi thực hiện cập nhật thông tin cá nhân và xác thực khuôn mặt...

Song song đó, NHNN cũng yêu cầu các NH bảo đảm ứng dụng (app) Online Banking phải tuân thủ các quy định cụ thể như phải được đăng ký và quản lý tại kho ứng dụng chính thức của hãng cung cấp hệ điều hành cho thiết bị di động; NH phải triển khai các giải pháp nhằm phòng, chống, phát hiện các hành vi can thiệp trái phép vào ứng dụng Online Banking và không cho phép chức năng ghi nhớ mã khóa bí mật truy cập…

Chuyên gia an toàn thông tin mạng Võ Đỗ Thắng cho rằng những quy định này góp phần tăng cường bảo mật cho khách hàng, tránh bị mất tiền. Công bố từ phía NHNN và cơ quan công an cũng cho rằng sau khi xác thực sinh trắc học đối với các giao dịch online từ 10 triệu đồng/lần thì số lượng vụ lừa đảo đã giảm đến 50% so với trước đây. Như vậy các quy định tiếp theo sẽ có thể tiếp tục góp phần làm giảm được tội phạm lừa đảo chiếm đoạt tài sản của khách hàng, cũng như phòng ngừa những vụ việc cho thuê, mượn, mua bán tài khoản thanh toán, ví điện tử sử dụng cho mục đích bất hợp pháp.

Ngân hàng cũng cần bảo mật hơn

Theo chuyên gia bảo mật Ngô Minh Hiếu, Chủ tịch Công ty CyPeace, việc xác thực khuôn mặt cho tất cả khách hàng khi giao dịch tài khoản NH online sẽ tốt hơn, tăng cường việc bảo mật cho người dân. Nếu việc này hoàn tất với xác thực tài khoản doanh nghiệp sau đó sẽ góp phần làm giảm mạnh tình trạng mua bán tài khoản NH nói chung, gồm cả doanh nghiệp và cá nhân vốn được sử dụng cho các hành vi lừa đảo.

ẢNH: ĐÀO NGỌC THẠCH

Tương tự, việc quy định các ứng dụng NH trực tuyến hay Online Banking không được lưu mật khẩu truy cập của người dùng cũng để hạn chế tình trạng bị lừa đảo. Trên thực tế, các đối tượng thường dẫn dụ khách hàng cài đặt các ứng dụng giả mạo hay truy cập vào đường link chứa mã độc để chiếm quyền điều khiển điện thoại di động. Nếu các ứng dụng lưu lại mật khẩu và khi kẻ lừa đảo chiếm quyền điều khiển điện thoại di động thì dễ dàng thực hiện việc lấy tiền từ tài khoản NH. Ngược lại nếu mật khẩu truy cập vào Mobile Banking không được lưu trên điện thoại thì kẻ lừa đảo sẽ gặp khó khăn hơn khi muốn vào app để chuyển tiền.

Tuy nhiên, ông Hiếu cũng cho rằng đây chỉ là những giải pháp bảo mật đối với người dùng. Quan trọng nhất đối với hệ thống tài chính như NH thì vấn đề đầu tư giải pháp công nghệ, cập nhật các xu hướng bảo mật hay lừa đảo cũng cực kỳ quan trọng. Bởi nếu NH không thực hiện tốt thì sẽ dễ dàng bị những kẻ tấn công mạng xâm nhập trái phép dẫn tới có thể hàng triệu tài khoản khách hàng bị mất tiền. Ví dụ khi khách hàng đã thực hiện xác thực khuôn mặt nhưng hiện nay công nghệ sử dụng trí tuệ nhân tạo (AI) để tạo các video và hình ảnh giả mạo ngày càng trở nên phổ biến (công nghệ deepfake) nên vẫn có thể qua mặt để thực hiện chuyển tiền online. Công nghệ chống vấn nạn này đã có nhưng liệu các NH có đầu tư hay chưa? Đặc biệt, với cơ sở dữ liệu của mình, các NH có thể phát hiện được ngay những giao dịch bất thường từ tài khoản của khách hàng để có thể ngăn chặn, cảnh báo lừa đảo.

"Ví dụ các NH có thể phát hiện hành vi giao dịch bất thường, như thông thường một khách hàng chỉ chuyển khoản 1-2 triệu đồng mà tự dưng chuyển khoản đến vài chục triệu đồng/lần và thực hiện liên tục nhiều lần. Hay bình thường khách hàng ít truy cập vào Mobile Banking, nhưng có ngày lại truy cập liên tục… Khi đó NH sẽ đóng băng giao dịch và xác thực thông qua gọi điện thoại trực tiếp cho khách hàng. Ở VN, vẫn còn nhiều khách hàng lớn tuổi chưa quen với công nghệ, chưa có nhiều quan tâm bảo mật thông tin cá nhân và an toàn thông tin nên cũng dễ bị lừa đảo. Vì vậy nếu các NH gia tăng bảo mật bằng nhiều giải pháp công nghệ và xác thực, trao đổi với khách hàng thì cũng góp phần làm giảm thiểu vấn nạn lừa đảo liên quan đến tài khoản trong NH", ông Ngô Minh Hiếu cho hay.

Ông Võ Đỗ Thắng cũng bày tỏ băn khoăn rằng việc khách hàng phải xác thực khuôn mặt để giao dịch online thì tại sao phải quy định ứng dụng Online Banking không được ghi nhớ mật khẩu truy cập? Trong khi các NH lại yêu cầu người dùng thay đổi mật khẩu mỗi 6 tháng. Trên thực tế, hiện người dùng các app NH và nhiều ứng dụng khác thường sử dụng xác thực sinh trắc học như vân tay, mống mắt hay khuôn mặt khá nhiều vì dễ bị quên mật khẩu. Đó là chưa kể hiện tại thông tin tài khoản NH đã được xác thực chính chủ kèm theo số điện thoại chính chủ… Quá nhiều giải pháp bảo mật là tốt nhưng cũng sẽ gây rắc rối cho khách hàng. Vì vậy NHNN có thể xem xét lại một số quy định và không cần mang tính bắt buộc, chỉ nên khuyến khích trong quá trình sử dụng.