Bảo đảm an ninh, an toàn thông tin trong cung cấp và sử dụng dịch vụ ngân hàng trên không gian mạng

Bảo đảm an ninh, an toàn, bảo mật là nhiệm vụ quan trọng của ngân hàng trong cung cấp dịch vụ

NHNN đã ban hành được một hệ thống các văn bản quy định về an ninh, an toàn thông tin đối với các hệ thống thông tin cung cấp dịch vụ ngân hàng điện tử. Ngày 18/12/2023, NHNN đã ban hành Quyết định số 2345/QĐ-NHNN về triển khai giải pháp an toàn, bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng (hiện tại các nội dung của Quyết định số 2345/QĐ-NHNN đã được NHNN quy định tại Thông tư số 50/2024/TT-NHNN ngày 31/10/2024 quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng (Thông tư 50), trong đó có quy định: Các giao dịch chuyển tiền điện tử của cá nhân có giá trị trên 10 triệu đồng hoặc tổng giá trị giao dịch chuyển tiền điện tử trong ngày vượt 20 triệu đồng phải áp dụng một trong các biện pháp xác thực sinh trắc học.

Ngoài ra, NHNN đã ban hành một số quy định mới bắt buộc khách hàng chỉ được thực hiện rút tiền, giao dịch thanh toán bằng phương tiện điện tử trên tài khoản thanh toán khi đã hoàn thành việc đối chiếu khớp đúng giấy tờ tùy thân và thông tin sinh trắc học của chủ tài khoản hoặc người đại diện (đối với khách hàng cá nhân) hoặc người đại diện hợp pháp (đối với khách hàng tổ chức) với: (i) Dữ liệu sinh trắc học được lưu trong bộ phận lưu trữ thông tin được mã hóa của thẻ căn cước công dân hoặc thẻ căn cước của người đó đã được xác thực chính xác là do cơ quan Công an cấp hoặc thông qua xác thực tài khoản định danh điện tử của người đó do Hệ thống định danh và xác thực điện tử tạo lập; hoặc (ii) Dữ liệu sinh trắc học được thu thập thông qua gặp mặt trực tiếp người đó đối với trường hợp là người nước ngoài không sử dụng danh tính điện tử, người gốc Việt Nam chưa xác định được quốc tịch; hoặc (iii) Dữ liệu sinh trắc học đã được thu thập và kiểm tra (bảo đảm sự khớp đúng giữa dữ liệu sinh trắc học của người đó với dữ liệu sinh trắc học trong bộ phận lưu trữ thông tin được mã hóa của thẻ căn cước công dân hoặc thẻ căn cước đã được xác thực chính xác là do cơ quan Công an cấp hoặc với dữ liệu sinh trắc học của người đó thông qua xác thực tài khoản định danh điện tử do Hệ thống định danh và xác thực điện tử tạo lập); hoặc (iv) Dữ liệu sinh trắc học của người đó được lưu trong Cơ sở dữ liệu quốc gia về dân cư trong trường hợp sử dụng thẻ căn cước công dân không có bộ phận lưu trữ thông tin được mã hóa. Đối với khách hàng cá nhân: Áp dụng từ ngày 01/01/2025; đối với khách hàng tổ chức: Áp dụng từ ngày 01/07/2025 (theo Thông tư số 17/2024/TT-NHNN ngày 28/6/2024 quy định về việc mở và sử dụng tài khoản thanh toán tại tổ chức tín dụng cung ứng dịch vụ thanh toán).

Ảnh minh họa (Nguồn: Internet)

Bên cạnh đó, nhằm bảo đảm an ninh an toàn trong giao dịch thẻ, tại khoản 6, Điều 16, Thông tư số 18/2024/TT-NHNN ngày 28/6/2024 quy định về hoạt động thẻ ngân hàng (Thông tư 18) cũng nêu rõ: Thẻ chỉ được sử dụng để thực hiện giao dịch thẻ bằng phương tiện điện tử khi đã hoàn thành việc đối chiếu bảo đảm khớp đúng giấy tờ tùy thân và thông tin sinh trắc học của chủ thẻ với: (i) Dữ liệu sinh trắc học được lưu trong bộ phận lưu trữ thông tin được mã hóa của thẻ căn cước công dân hoặc thẻ căn cước đã được xác thực chính xác là do cơ quan Công an cấp hoặc thông qua xác thực tài khoản định danh điện tử của người đó do Hệ thống định danh và xác thực điện tử tạo lập; hoặc (ii) Dữ liệu sinh trắc học đã được thu thập và kiểm tra (bảo đảm sự khớp đúng giữa dữ liệu sinh trắc học của người đó với dữ liệu sinh trắc học trong bộ phận lưu trữ thông tin được mã hóa của thẻ căn cước công dân hoặc thẻ căn cước đã được xác thực chính xác là do cơ quan Công an cấp hoặc với dữ liệu sinh trắc học của người đó thông qua xác thực tài khoản định danh điện tử do Hệ thống định danh và xác thực điện tử tạo lập); hoặc (iii) Dữ liệu sinh trắc học được thu thập thông qua gặp mặt trực tiếp người đó đối với trường hợp là người nước ngoài không sử dụng danh tính điện tử, người gốc Việt Nam chưa xác định được quốc tịch; hoặc (iv) Dữ liệu sinh trắc học của người đó được lưu trong Cơ sở dữ liệu quốc gia về dân cư trong trường hợp sử dụng thẻ căn cước công dân không có bộ phận lưu trữ thông tin được mã hóa.

Ngoài xác thực sinh trắc học, NHNN đã và đang triển khai một số giải pháp tăng cường bảo đảm an ninh, an toàn và phòng, chống tội phạm trong lĩnh vực ngân hàng. Cụ thể, NHNN đã chỉ đạo các tổ chức tín dụng phối hợp với đơn vị chức năng của Bộ Công an triển khai các giải pháp công nghệ ứng dụng dữ liệu dân cư theo định hướng tại Đề án 06 của Chính phủ (Quyết định số 06/QĐ-TTg ngày 06/01/2022 của Thủ tướng Chính phê duyệt Đề án phát triển ứng dụng dữ liệu về dân cư, định danh và xác thực điện tử phục vụ chuyển đổi số quốc gia giai đoạn 2022 - 2025, tầm nhìn đến năm 2030) nhằm làm sạch dữ liệu khách hàng, loại bỏ các tài khoản ngân hàng không chính chủ.

Về phía các ngân hàng thương mại (NHTM), tổ chức cung ứng dịch vụ trung gian thanh toán đã và đang triển khai các giải pháp về mặt quy trình, công nghệ nhằm phòng, chống lừa đảo, gian lận trong lĩnh vực ngân hàng, trong đó có: Làm sạch dữ liệu khách hàng, loại bỏ các tài khoản ngân hàng không chính chủ; tăng cường triển khai các biện pháp xác thực đa thành tố, xác thực mạnh nhằm giảm thiểu rủi ro trong giao dịch thanh toán trực tuyến của khách hàng như OTP cơ bản, OTP nâng cao, chữ ký số, các biện pháp xác thực mạnh bằng sinh trắc học (qua dữ liệu căn cước công dân gắn chíp, VNeID); tích hợp các biện pháp bảo vệ tăng cường (như: Áp dụng các cơ chế giám sát, phòng chống giao dịch bất thường, giao dịch gian lận đối với kênh ngân hàng điện tử để có cảnh báo sớm và biện pháp ngăn chặn kịp thời với các giao dịch đáng ngờ của khách hàng; thực hiện nhận diện khách hàng (KYC) đối với các giao dịch nhạy cảm như chuyển tiền số lượng lớn, kích hoạt lại thiết bị mới; tăng cường sử dụng dịch vụ, công nghệ mới để sớm phát hiện các vụ việc lộ, lọt thông tin tài khoản, xác thực của khách hàng trên mạng Internet...).

Thời gian qua, ngành Ngân hàng cũng đang tập trung đẩy mạnh truyền thông giáo dục tài chính nhằm nâng cao kiến thức, kỹ năng cho công chúng trong tiếp cận và sử dụng dịch vụ ngân hàng trên nền tảng số.

Trước sự gia tăng các chiêu trò lừa đảo trực tuyến và tội phạm công nghệ cao ngày càng tinh vi, phức tạp, để bảo đảm an toàn tài chính cũng như bảo vệ khách hàng trước các rủi ro mất tiền từ các giao dịch trực tuyến, thời gian gần đây, các NHTM bên cạnh việc đầu tư công nghệ bảo mật tiên tiến đồng thời chủ động triển khai một loạt các gói bảo hiểm an ninh mạng. Chẳng hạn, NHTM cổ phần Quốc tế Việt Nam (VIB) đã chính thức ra mắt ba gói bảo hiểm dành cho chủ thẻ tín dụng với mức phí từ 9.900 đồng đến 43.000 đồng mỗi tháng. Các gói bảo hiểm này được cung cấp bởi Tổng Công ty Cổ phần Bảo Minh, mang lại quyền lợi bảo vệ lên tới 100 triệu đồng mỗi năm cho khách hàng trước các rủi ro an ninh mạng. VIB cung cấp ba gói bảo hiểm gồm Cyber Care Basic, Cyber Care và bảo hiểm hỗn hợp. Gói Cyber Care Basic có mức phí từ 9.900 đồng/tháng, bảo vệ chủ thẻ trước các rủi ro an ninh mạng do bị lừa đảo giao dịch có OTP, máy bị cài mã độc, giao dịch do bị lấy cắp thông tin với mức bảo hiểm đến 100 triệu đồng mỗi năm. Gói Cyber Care có mức phí 43.000 đồng/tháng, bổ sung quyền lợi bảo vệ chủ thẻ trước các rủi ro từ việc cung cấp mã OTP, số CVV qua cuộc gọi lừa đảo với mức bồi thường tối đa 100 triệu đồng mỗi năm cho các rủi ro trên không gian mạng.

Trước đó, các ngân hàng khác cũng đã triển khai các gói bảo hiểm thẻ và tài khoản từ cuối năm 2023. Điển hình, NHTM cổ phần Ngoại thương Việt Nam (Vietcombank) phối hợp với Bảo hiểm VietinBank (VBI) cung cấp gói bảo hiểm với phí 3.000 - 5.000 đồng mỗi tháng, bảo vệ khách hàng trước các rủi ro gian lận thẻ lên tới 100 triệu đồng mỗi năm. VBI còn cung cấp bảo hiểm cướp tiền tại cây ATM với mức bồi thường 10 triệu đồng mỗi vụ việc.

Ngân hàng Nông nghiệp và Phát triển nông thôn Việt Nam (Agribank) cùng Bảo hiểm Agribank (ABIC) triển khai gói bảo hiểm với mức phí 77.000 đồng/năm, chi trả tối đa 46 triệu đồng cho mỗi sự cố. Ngân hàng TMCP Đầu tư và Phát triển Việt Nam (BIDV) hợp tác với Bảo hiểm BIDV (BIC) đưa ra gói bảo hiểm có phí 186.000 đồng/năm với tổng mức chi trả lên tới 135 triệu đồng.

Còn Viettel Money phối hợp với Công ty bảo hiểm Vietinbank (VBI) triển khai ba gói bảo hiểm có mức phí từ 36.000 đồng đến 120.000 đồng mỗi năm, bảo vệ khách hàng trước rủi ro mất tiền lên tới 50 triệu đồng. Một công ty chứng khoán tại Thành phố Hồ Chí Minh cũng cung cấp ba gói bảo hiểm với mức phí từ 60.000 đồng đến 240.000 đồng mỗi năm, quyền lợi bảo vệ tương ứng từ 30 triệu đồng đến 50 triệu đồng cho mỗi vụ việc.

Nâng cao kỹ năng cho khách hàng sử dụng dịch vụ ngân hàng trên nền tảng số

Mặc dù các ngân hàng đã triển khai các giải pháp bảo hiểm an ninh mạng để bảo vệ tài khoản và thẻ ngân hàng của khách hàng, nhưng một trong những yếu tố quan trọng giúp giảm thiểu các rủi ro từ tội phạm mạng chính là nhận thức và hành vi của người dùng. Các chuyên gia bảo mật cho rằng, việc nâng cao nhận thức về an ninh mạng và thực hiện các biện pháp bảo vệ cá nhân là vô cùng quan trọng. Do đó, các NHTM cần đẩy mạnh truyền thông, giáo dục tài chính nhằm nâng cao kiến thức, kỹ năng cho khách hàng trong việc bảo mật thông tin, dữ liệu cá nhân, giúp khách hàng giao dịch an toàn trên môi trường mạng.

Người sử dụng dịch vụ ngân hàng trực tuyến cần lưu ý:

Tuân thủ các quy định, hướng dẫn của các ngân hàng cung cấp dịch vụ giao dịch trực tuyến. Thường xuyên theo dõi, cập nhật các cảnh báo về an toàn bảo mật trong thanh toán trực tuyến từ các ngân hàng cung cấp dịch vụ, từ các phương tiện truyền thông đại chúng.

Ngoài việc cảnh giác với các phương thức lừa đảo trực tuyến, khách hàng cũng cần chủ động bảo vệ thông tin cá nhân của mình. Điều này bao gồm việc thay đổi mật khẩu định kỳ, kích hoạt các biện pháp bảo mật như xác thực hai yếu tố (2FA) và đặc biệt là kiểm tra kỹ lưỡng các giao dịch trước khi thực hiện. Điều này giúp bảo đảm rằng thông tin tài khoản và thẻ ngân hàng của người dùng luôn được bảo vệ an toàn trước các cuộc tấn công mạng.

Đối với mật khẩu truy cập dịch vụ giao dịch trực tuyến, cần đặt mật khẩu khó đoán, bảo đảm quy tắc an toàn, thay đổi mật khẩu thường xuyên hoặc khi nghi ngờ bị lộ. Theo quy định mới tại Thông tư số 50/2024/TT-NHNN ngày 31/10/2024 của NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng (Thông tư 50), có hiệu lực vào ngày 01/01/2025, các ứng dụng ngân hàng sẽ không còn được trang bị tính năng ghi nhớ mã khóa bí mật truy cập (mật khẩu đăng nhập tài khoản của người dùng. Việc ứng dụng ngân hàng không có chức năng lưu mật khẩu đăng nhập tài khoản sẽ giúp tăng cường bảo mật, giảm nguy cơ tin tặc có thể xâm nhập vào smartphone và lấy cắp mật khẩu đăng nhập tài khoản ngân hàng lưu trên thiết bị, từ đó xâm nhập trái phép vào tài khoản.

Khách hàng không cung cấp tên, mật khẩu đăng nhập ngân hàng trực tuyến, mã xác thực (mã OTP) qua điện thoại, email, mạng xã hội, web… cho bất cứ ai, kể cả nhân viên ngân hàng. Các ngân hàng cho biết tuyệt đối không yêu cầu khách hàng cung cấp thông tin số thẻ, số CVV2/CVC2 (3 số bảo mật ở mặt sau của thẻ tín dụng) hoặc bất kỳ thông tin bảo mật cá nhân nào khác của khách hàng qua zalo, số điện thoại không định danh.

Khách hàng cần hết sức cảnh giác với các yêu cầu quét mã QR hoặc truy cập đường link lạ. Hiện nay, theo quy định tại Thông tư 50, từ ngày 01/01/2025, các ngân hàng sẽ không gửi SMS, thư điện tử cho khách hàng có nội dung chứa đường dẫn liên kết (hyperlink) truy cập các trang tin điện tử. Quy định này có thể giúp khách hàng nhận biết được SMS hay thư điện tử lừa đảo.

Trong trường hợp bị lộ hoặc nghi ngờ bị lộ tên đăng nhập/mật khẩu, khách hàng cần nhanh chóng thông báo tới ngân hàng để được hỗ trợ kịp thời; trường hợp mất thẻ cần khóa thẻ trên ứng dụng ngân hàng điện tử hoặc thông báo tới ngân hàng càng sớm càng tốt, tránh nguy cơ mất tiền trong thẻ.

Khách hàng cần hạn chế dùng máy tính công cộng, mạng không dây công cộng khi truy cập vào hệ thống ngân hàng điện tử. Gõ trực tiếp địa chỉ các trang web ngân hàng điện tử thay vì chọn đường link có sẵn, chỉ đăng nhập tại website chính thức của ngân hàng. Tiến hành mua sắm, thanh toán trực tuyến tại các trang mạng uy tín, được cấp phép hoạt động, có thông tin liên lạc rõ ràng. Bên cạnh đó, cần nâng cao cảnh giác với các cuộc gọi lạ, mạo danh cán bộ nhà nước yêu cầu cài đặt ứng dụng, phần mềm. Tuyệt đối không làm theo hướng dẫn của đối tượng và liên hệ ngay với các cơ quan chức năng có thẩm quyền để xác minh thông tin. Cảnh giác với các ứng dụng, phần mềm, website có hình thức quảng cáo lừa đảo. Tuyệt đối không cài đặt ứng dụng, nhấn vào link nếu không rõ nguồn gốc. Chỉ cài đặt các ứng dụng từ các cửa hàng chính thức như Google Play và App Store. Khi cài đặt ứng dụng vào thiết bị, khách hàngcần kiểm tra thông tin nhà phát triển ứng dụng, xem xét kỹ quyền hạn của các ứng dụng. Thường xuyên cập nhật hệ điều hành của thiết bị để thiết bị nhận được các bản vá bảo mật mới nhất của hãng sản xuất. Người dùng cần cảnh giác với những yêu cầu cài đặt phần mềm, đặc biệt là phần mềm trên Android. Tuyệt đối không cấp quyền hỗ trợ (Accessibility), bởi tất cả các ứng dụng của ngân hàng, thuế hay bất kỳ cơ quan nào khác đều không yêu cầu người dùng quyền này.

Một số dấu hiệu nhận biết khi thiết bị di động bị nhiễm mã độc: Thiết bị có dấu hiệu nhanh hết pin khi sử dụng và hiệu suất hoạt động kém hơn do mã độc chạy ngầm; thiết bị chạy chậm, hoạt động không ổn định, không sử dụng được; thiết bị có dấu hiệu bị mất thông báo đặc biệt là các thông báo tin nhắn và cuộc gọi; thiết bị liên tục nhận được các cảnh báo giả, quảng cáo hiển thị trên màn hình.

Tài liệu tham khảo:

1. Thông tư số 50/2024/TT-NHNN ngày 31/10/2024 quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng.

2. Thông tư số 17/2024/TT-NHNN ngày 28/6/2024 quy định về việc mở và sử dụng tài khoản thanh toán tại tổ chức tín dụng cung ứng dịch vụ thanh toán.

3. Thông tư số 18/2024/TT-NHNN ngày 28/6/2024 quy định về hoạt động thẻ ngân hàng.

Hà Mai