Đảm bảo an toàn trong thanh toán số

Nhận diện rủi ro, thách thức

Thanh toán số bao gồm các giao dịch được thực hiện thông qua kênh số (Internet, di động) như Ví điện tử (MoMo, ZaloPay, VNPay); thanh toán qua ứng dụng ngân hàng (Internet Banking, Mobile Banking); QR Code, NFC, thanh toán bằng tiền mã hóa (Crypto) hay các nền tảng thanh toán trực tuyến (PayPal, Stripe). Thanh toán số mang lại nhiều tiện ích cho cá nhân và doanh nghiệp như: tiện lợi và nhanh chóng, tiết kiệm chi phí và thời gian, quản lý tài chính dễ dàng, hỗ trợ đa dạng dịch vụ,… nhưng cũng đi kèm các rủi ro về bảo mật, tài chính, quyền riêng tư và khả năng tiếp cận.

Trước hết, những rủi ro về an ninh mạng và gian lận khi thanh toán số như các cuộc tấn công lừa đảo. Tội phạm có thể giả mạo ngân hàng, ví điện tử để đánh cắp thông tin đăng nhập, mật khẩu dùng một lần (OTP) bằng thủ đoạn tinh vi như tin nhắn SMS/Email giả mạo (Phishing), cuộc gọi giả mạo (Vishing), chiếm quyền số điện thoại (SIM Swap). Hacker có thể đột nhập hệ thống thanh toán, lấy cắp thông tin thẻ tín dụng, thẻ ghi nợ của khách hàng. Sử dụng thông tin đánh cắp để thanh toán trái phép hoặc tấn công mã độc (Malware, Spyware) bằng phần mềm độc hại trên điện thoại, máy tính có thể ghi lại thao tác nhập PIN, OTP.

Thứ hai, rủi ro từ công nghệ và hệ thống. Nếu ngân hàng, ví điện tử bị lỗi kỹ thuật hoặc sập hệ thống, người dùng không thể giao dịch, rút tiền khẩn cấp. Nếu thiết bị của người dùng (điện thoại) bị mất hoặc hỏng), người dùng có thể bị khóa tài khoản hoặc bị kẻ xấu lợi dụng. Một số ví điện tử, ứng dụng ngân hàng có lỗ hổng bảo mật, dễ bị tấn công. Một số ứng dụng đã từng bị hacker khai thác, không hỗ trợ xác thực 2 lớp (2FA) hay ứng dụng giả mạo trên kho tải ngoài CH Play/App Store.

Thứ ba, rủi ro về tài chính và pháp lý. Người dùng khó khăn trong việc đòi tiền bị lừa đảo khi sử dụng các nền tảng tài chính phi tập trung (DeFi), tiền mã hóa (crypto) hoặc sàn giao dịch không uy tín, sàn “tiền ảo tự phát”, tài chính đa cấp trá hình hoặc các dịch vụ không được kiểm soát chặt chẽ. Các dự án này thường đăng ký ở quốc gia không có quy định rõ ràng, khiến việc truy tố gần như không thể. Rủi ro từ thanh toán tự động (Auto-debit), nếu bị kẻ gian đăng ký trừ tiền định kỳ, người dùng có thể mất tiền mà không biết. Một số nền tảng thiếu minh bạch trong giao dịch, không cung cấp đủ thông tin giao dịch, gây khó khăn khi kiểm tra.

Thứ tư, rủi ro về quyền riêng tư. Người dùng có thể bị theo dõi thói quen chi tiêu khi một số đơn vị cung cấp dịch vụ thanh toán thu thập dữ liệu giao dịch để phân tích hành vi khách hàng, khiến họ không kiểm soát được thông tin cá nhân như mua sắm, ăn uống, giải trí, thậm chí cả chi tiêu nhạy cảm (mua thuốc, dịch vụ y tế). Khách hàng có thể bị phân loại dựa trên thói quen chi tiêu, dẫn đến phân biệt giá cả, hạn mức tín dụng hoặc từ chối dịch vụ. Nếu hệ thống bị hack, thông tin người dùng (số thẻ, số điện thoại) có thể bị rao bán trên web đen. Ngoài ra còn có các lo ngại về quyền tự do tài chính khi bị kiểm soát.

Thứ năm, những người lớn tuổi , người ở vùng sâu, vùng xa khó tiếp cận công nghệ do thiếu hụt kiến thức kỹ thuật số. Nhiều người không quen sử dụng điện thoại thông minh, ứng dụng ngân hàng, ví điện tử hoặc không có đủ tài chính mua điện thoại thông minh. Các ứng dụng thanh toán số thường phức tạp, yêu cầu xác thực nhiều bước, gây khó hiểu cho người dùng lớn tuổi. Ở những vùng chưa được phủ sóng 4G/5G, hoặc kết nối mạng chậm cũng khiến giao dịch trực tuyến bị gián đoạn.

Giải pháp đảm bảo an toàn ​

Để đảm bảo an toàn trong thanh toán số, cần kết hợp đồng bộ giữa công nghệ, pháp luật, giáo dục người dùng và hợp tác quốc tế. Các giải pháp phải liên tục cập nhật để đối phó với thủ đoạn tinh vi của tội phạm công nghệ cao, từ đó xây dựng niềm tin và thúc đẩy thanh toán số bền vững.

Các công nghệ bảo mật tiên tiến cần được áp dụng, gồm sử dụng OTP (mật khẩu dùng một lần) giúp đảm bảo chỉ chủ tài khoản mới có thể thực hiện giao dịch, giảm nguy cơ bị tấn công do lộ mật khẩu tĩnh. Xác thực đa yếu tố (MFA) để chứng minh danh tính như mật khẩu, mã PIN, câu hỏi bảo mật, kiểu loại Smartphone, token phần cứng tạo mã OTP ngẫu nhiên, khóa bảo mật USB (USB Security Key), SMS/email OTP, thẻ thông minh (Smart Card). Sử dụng kết hợp MFA với sinh trắc học của người dùng (vân tay, khuôn mặt, giọng nói, mống mắt, chữ ký, cách gõ bàn phím) hoặc mã PIN để tăng cường bảo mật.

Công nghệ mã hóa đầu cuối (End-to-End Encryption - E2EE) từ thiết bị của người dùng (điện thoại thông minh, máy tính) cho đến hệ thống của ngân hàng hoặc nhà cung cấp dịch vụ thanh toán, ngăn chặn bên thứ ba (hacker hoặc nhà cung cấp trung gian) truy cập thông tin nhạy cảm, nghe lén hoặc tấn công. Token hóa dữ liệu (Tokenization), tức thay thế thông tin thẻ bằng mã token ngẫu nhiên, giúp hỗ trợ thanh toán liền mạch (nhiều nền tảng), bảo vệ dữ liệu thẻ ngân hàng, giảm nguy cơ gian lận và tuân thủ các tiêu chuẩn bảo mật. Ứng dụng AI để dự đoán xu hướng tấn công mạng từ các nguồn thông tin toàn cầu; công nghệ blockchain trong truy vết, theo dõi giao dịch tài chính liên quan đến tội phạm mạng.

Theo dõi và phát hiện giao dịch bất thường dựa trên hành vi người dùng (giao dịch ở địa điểm lạ, số tiền lớn bất thường), cảnh báo ngay lập tức. Chặn các tài khoản, thiết bị hoặc địa chỉ IP có dấu hiệu tấn công. Tăng cường bảo mật thiết bị và hạ tầng bằng tường lửa, mạng riêng ảo, bảo mật vật lý, bảo mật hệ thống đám mây. Bảo vệ thiết bị cá nhân (khuyến khích người dùng cập nhật phần mềm, sử dụng phần mềm diệt virus); bảo mật hệ thống ngân hàng/ví điện tử, nghiên cứu, áp dụng bộ tiêu chuẩn bảo mật dữ liệu thẻ thanh toán (PCI DSS), kiểm tra pentest (kiểm thử xâm nhập) định kỳ để phát hiện các lỗ hổng bảo mật của hệ thống thanh toán.

Tiếp tục hoàn thiện khung pháp lý cho hoạt động thanh toán số. Cập nhật và đồng bộ hóa hệ thống văn bản pháp luật (Luật Ngân hàng Nhà nước, Luật Các tổ chức tín dụng…) để bổ sung quy định cụ thể về thanh toán số, tiền mã hóa, ví điện tử và các dịch vụ fintech. Nghiên cứu xây dựng Luật Thanh toán số riêng biệt để điều chỉnh toàn diện các giao dịch không dùng tiền mặt, bảo vệ người dùng và thúc đẩy cạnh tranh lành mạnh. Cập nhật Luật phòng, chống tội phạm mạng (Luật An ninh mạng, Luật Giao dịch điện tử, Luật Bảo vệ dữ liệu…).

Quản lý chặt chẽ các hình thức thanh toán mới như thanh toán qua ví điện tử, thanh toán bằng mã QR, thanh toán qua cổng thanh toán, thanh toán bằng thẻ (tín dụng, ghi nợ, thẻ ATM khi thanh toán online hoặc qua POS), chuyển khoản và thanh toán trên thiết bị di động (Mobile Money, NFC). Có cơ chế bồi hoàn cho phép khách hàng khiếu nại và thu hồi tiền từ giao dịch gian lận.

Hoàn thiện khung pháp lý thử nghiệm tiền số của Ngân hàng trung ương (CBDC), đánh giá rủi ro về kỹ thuật, tài chính và xã hội trước khi triển khai chính thức. Quy định rõ về việc quản lý, sử dụng tiền mã hóa (Crypto), chống rửa tiền và bảo vệ nhà đầu tư. Chuẩn hóa quy trình xác thực, bảo mật dữ liệu và chia sẻ thông tin giữa các nền tảng thanh toán số (ví điện tử, QR Code, NFC).

Phát triển hạ tầng viễn thông để đảm bảo tiếp cận Internet tốc độ cao trên toàn quốc, một mặt giúp các giao dịch trực tuyến diễn ra mượt mà, giảm tình trạng gián đoạn hoặc lỗi do kết nối chậm. Người dân ở vùng sâu, vùng xa cũng có thể sử dụng dịch vụ ngân hàng số, ví điện tử, hạn chế rủi ro mất cắp tiền mặt. Mặt khác, hạ tầng viễn thông tốt hơn sẽ hỗ trợ triển khai công nghệ mã hóa bảo vệ dữ liệu giao dịch, xác thực mạnh mẽ, nhanh chóng, tăng độ an toàn trong thanh toán số.

Giáo dục tài chính số cho người dân, đặc biệt là người cao tuổi và người ở vùng nông thôn. Tăng cường công tác tuyên truyền, giáo dục và cảnh báo các rủi ro nhằm nâng cao nhận thức của người dùng. Bồi dưỡng các kiến thức về an toàn thanh toán trực tuyến, như không chia sẻ mã OTP, kiểm tra các website giả mạo, tránh dùng Wifi công cộng để giao dịch...

Tăng cường hợp tác với các tổ chức quốc tế như Tổ chức Cảnh sát Hình sự Quốc tế (Interpol); các đội phản ứng sự cố an ninh mạng (FIRST); tổ chức phi lợi nhuận, liên minh toàn cầu (APWG); nhóm ngân hàng SWIFT để chia sẻ thông tin về các mối đe dọa mới và ngăn chặn tội phạm công nghệ cao xuyên biên giới. Phối hợp với các tập đoàn công nghệ (Microsoft, Google, Cisco) để tiếp cận công nghệ giám sát và phân tích mối đe dọa; phối hợp với các hãng bảo mật (Kaspersky, Symantec, BKAV, VNPT Security, CMC Cyber Security, Viettel Cyber Security ) để nhận cảnh báo sớm về mã độc hoặc chiến dịch tấn công nhắm vào giao dịch tài chính, giảm thiểu rủi ro và nâng cao niềm tin của khách hàng.

Đối với mỗi người dùng, cần sử dụng ứng dụng và nền tảng uy tín. Chỉ tải ứng dụng thanh toán từ cửa hàng chính thức (Google Play Store, Apple App Store). Tránh dùng ứng dụng lạ hoặc trang web không rõ nguồn gốc. Có biện pháp bảo mật thông tin cá nhân, không chia sẻ mã OTP, mật khẩu, PIN hoặc thông tin thẻ ngân hàng với bất kỳ ai, không click vào các liên kết lạ. Tránh nhập thông tin thanh toán trên các trang web không có “https://” hoặc biểu tượng khóa bảo mật. Kiểm tra kỹ giao dịch, luôn xác nhận số tiền và thông tin người nhận trước khi thanh toán. Bật thông báo theo dõi biến động tài khoản, kiểm tra định kỳ tài khoản cá nhân.

Cảnh giác với các cuộc gọi giả mạo ngân hàng hoặc dịch vụ thanh toán. Cập nhật phần mềm thường xuyên để vá lỗ hổng bảo mật. Sử dụng mạng an toàn, tuyệt đối không thanh toán qua mạng Wi-Fi công cộng không mã hóa. Nếu phát hiện giao dịch lạ, khóa thẻ/tài khoản ngay và báo cho ngân hàng. Cảnh giác với các hình thức lừa đảo (giả mạo người thân nhờ chuyển tiền, trúng thưởng yêu cầu nộp phí, mua hàng giá rẻ bất thường).