Thêm quy định giúp đảm bảo an toàn, bảo mật cho dịch vụ ngân hàng trực tuyến

Thông tư 50 quy định các yêu cầu về an toàn, bảo mật cho dịch vụ ngân hàng trực tuyến như dịch vụ Internet Banking, Mobile Banking, thanh toán trực tuyến và các dịch vụ trung gian thanh toán khác.

Đối tượng áp dụng của Thông tư 50/2024/TT-NHNN bao gồm các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, công ty thông tin tín dụng (sau đây gọi chung là đơn vị).

Các ứng dụng không được phép có chức năng ghi nhớ mã khóa bí mật (password) truy cập

Trong đó, tại mục 5, Điều 8 của Thông tư quy định về Phần mềm ứng dụng Mobile Banking, yêu cầu các ứng dụng không được phép có chức năng ghi nhớ mã khóa bí mật (password) truy cập. Theo ghi nhận, hiện nay đa số các app ngân hàng đều đã tắt chức năng ghi nhớ password.

Ngoài ra, đối với khách hàng cá nhân, ứng dụng cần có chức năng kiểm tra khách hàng truy cập lần đầu hoặc truy cập trên thiết bị khác. Việc kiểm tra bao gồm: khớp đúng SMS OTP hoặc Voice OTP thông qua số điện thoại đã đăng ký hoặc khớp đúng thông tin sinh trắc học.

Thông tư 50 cũng yêu cầu ngân hàng phải đăng ký và quản lý ứng dụng Mobile Banking trên kho ứng dụng chính thức, hướng dẫn khách hàng cài đặt ứng dụng từ nguồn tin cậy.

Đồng thời, ứng dụng Mobile Banking phải áp dụng các biện pháp bảo mật để ngăn chặn việc chỉnh sửa hoặc can thiệp trái phép vào luồng dữ liệu và có cơ chế phòng chống các hành vi tấn công hoặc can thiệp ứng dụng cài đặt trên thiết bị của khách hàng.

Ngoài ra, tại Điều 11, Thông tư 50, NHNN cũng quy định rõ về các hình thức xác nhận như password, mã PIN, OTP, xác thực hai kênh hay sinh trắc học, FIDO, chữ ký điện tử, chữ ký điện tử an toàn, EMV EDS …

Trong đó, password được yêu cầu có độ dài tối thiểu 8 ký tự, gồm số, chữ hoa, và chữ thường. Password có hiệu lực tối đa 12 tháng, đối với password cấp lần đầu hiệu lực tối đa 30 ngày. Mã PIN được yêu cầu có 6 ký tự, hiệu lực tối đa 12 tháng. Đối với mã Pin được cấp lần đầu hiệu lực tối đa 30 ngày.

Đối với hình thức OTP, có thể gửi qua SMS, cuộc gọi (Voice OTP), email, hoặc qua thiết bị/token tạo OTP. Đồng thời, OTP phải giới hạn thời gian hiệu lực trong vòng từ 2 đến 5 phút, tùy hình thức.

Với hình thức xác nhận sinh trắc học, ngân hàng sử dụng thông tin sinh trắc học như khuôn mặt, vân tay để so sánh và xác thực giao dịch. Thông tư 50 yêu cầu độ chính xác cao và khả năng phát hiện giả mạo theo tiêu chuẩn quốc tế và thời gian thực hiện không quá 3 phút.

Căn cứ tại Điều 19 Thông tư 50/2024/TT-NHNN có quy định về bảo mật thông tin khách hàng, trong đó, có nêu rõ, đơn vị phải áp dụng các biện pháp bảo đảm an toàn, bảo mật dữ liệu khách hàng, tối thiểu bao gồm: Dữ liệu của khách hàng phải được bảo đảm an toàn, bảo mật theo quy định của pháp luật; Thông tin sử dụng để xác nhận giao dịch của khách hàng bao gồm mã khóa bí mật, mã PIN, thông tin sinh trắc học khi lưu trữ phải áp dụng các biện pháp mã hóa hoặc che dấu để bảo đảm tính bí mật; Thiết lập quyền truy cập đúng chức năng, nhiệm vụ cho nhân sự thực hiện nhiệm vụ truy cập dữ liệu khách hàng; có biện pháp giám sát mỗi lần truy cập; Có biện pháp quản lý truy cập, tiếp cận các thiết bị, phương tiện lưu trữ dữ liệu của khách hàng để phòng chống nguy cơ lộ, lọt dữ liệu; Thông báo cho khách hàng khi xảy ra sự cố làm lộ, lọt dữ liệu của khách hàng và báo cáo kịp thời về NHNN (Cục Công nghệ thông tin).

Trước đó, để tăng bảo đảm an ninh, an toàn cho khách hàng khi giao dịch ngân hàng trực tuyến, đồng thời phòng chống tội phạm sử dụng công nghệ cao, NHNN đã ban hành Quyết định 2345/QĐ-NHNN ngày 18/12/2023 về triển khai các giải pháp an toàn, bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng (Quyết định 2345), có hiệu lực từ ngày 1/7/2024, trong đó có quy định về xác thực sinh trắc học khi thực hiện giao dịch chuyển tiền trên 10 triệu đồng (hoặc tổng giá trị giao dịch > 20 triệu đồng/ngày), hoặc khi thay đổi, cài đặt ứng dụng Mobile Banking trên thiết bị di động mới.

Ngoài ra, vừa qua NHNN đã ban hành một số quy định mới bắt buộc khách hàng chỉ được rút tiền, thực hiện giao dịch thanh toán bằng phương tiện điện tử khi đã hoàn thành việc đối chiếu khớp đúng giấy tờ tùy thân và thông tin sinh trắc học với: (i) dữ liệu sinh trắc học được lưu trong chip của thẻ căn cước công dân (CCCD) đã được xác thực chính xác là do cơ quan Công an cấp hoặc thông qua xác thực tài khoản định danh điện tử do Hệ thống định danh và xác thực điện tử tạo lập; (ii) hoặc dữ liệu sinh trắc học được thu thập thông qua gặp mặt trực tiếp đối với trường hợp là người nước ngoài không sử dụng danh tính điện tử, người gốc Việt Nam chưa xác định được quốc tịch. Đối với khách hàng cá nhân: áp dụng từ ngày 1/1/2025; đối với khách hàng tổ chức: áp dụng từ ngày 1/7/2025.

Việc triển khai xác thực sinh trắc học trong các giao dịch ngân hàng góp phần bảo đảm các giao dịch thanh toán trực tuyến được thực hiện bởi chính chủ tài khoản, qua đó sẽ nâng cao an ninh, an toàn, bảo mật cho các giao dịch thanh toán trực tuyến, giảm thiểu rủi ro gian lận, lừa đảo trong giao dịch thanh toán trực tuyến.

Theo NHNN, tính đến ngày 1/11/2024, các giao dịch thanh toán theo Quyết định 2345 diễn ra bình thường, đã có hơn 50 triệu hồ sơ khách hàng được thu thập, đối chiếu thông tin sinh trắc học. Qua theo dõi số liệu báo cáo của các TCTD, số lượng vụ việc lừa đảo mất tiền của khách hàng cá nhân và số lượng tài khoản khách hàng cá nhân có phát sinh nhận tiền lừa đảo ở các đơn vị đã giảm đáng kể, cụ thể: Số lượng vụ việc khách hàng bị lừa đảo mất tiền từ ngày 1/7/2024 đến ngày 1/11/2024 giảm khoảng 67% so với số vụ việc trung bình 6 tháng đầu năm 2024; Số lượng tài khoản nhận tiền lừa đảo từ ngày 1/7/2024 đến ngày 1/11/2024 giảm khoảng 65% so với trung bình 6 tháng đầu năm 2024. Đặc biệt tại một số TCTD đã không có phát sinh vụ việc trong thời gian vừa qua.

Các biện pháp cần thiết để bảo vệ khách hàng giao dịch trên môi trường mạng

Ngoài các quy định về xác thực sinh trắc học, NHNN đã và đang triển khai một số giải pháp như: NHNN đã chỉ đạo các TCTD phối hợp với đơn vị chức năng Bộ Công an triển khai các giải pháp công nghệ ứng dụng dữ liệu dân cư theo định hướng tại Đề án 06 của Chính phủ nhằm làm sạch dữ liệu khách hàng, loại bỏ các tài khoản ngân hàng không chính chủ.

Bên cạnh đó, NHNN cũng chỉ đạo các TCTD triển khai giải pháp phát hiện, cảnh báo và ngăn chặn sử dụng ứng dụng mobile banking đối với các thiết bị bị phá khóa (jailbreak) hoặc thiết bị đã kích hoạt quyền trợ năng. Áp dụng các cơ chế phát hiện đăng nhập trên thiết bị lạ.

Để nâng cao an toàn bảo mật trong thanh toán trực tuyến trong thời gian tới, NHNN cần nghiên cứu ban hành quy định về việc TCTD không gửi tin nhắn SMS, thư điện tử cho khách hàng có nội dung chứa đường dẫn liên kết (Hyperlink) truy cập các trang tin điện tử, trừ trường hợp theo yêu cầu của khách hàng. Quy định này là hết sức cần thiết để bảo vệ khách hàng, khách hàng chỉ cần nhận được bất cứ tin nhắn SMS, thư điện tử có nội dung chứa đường dẫn liên kết thì có thể xác định ngay là tin nhắn, thư điện tử giả mạo.

Nghiên cứu ban hành quy định về triển khai các giải pháp nhằm phòng, chống, phát hiện các hành vi can thiệp trái phép vào ứng dụng Mobile Banking đã cài đặt trong thiết bị di động của khách hàng. Đồng thời, triển khai mở rộng hệ thống giám sát các tài khoản thanh toán, ví điện tử nghi ngờ gian lận, giả mạo (SIMO). Hệ thống SIMO cho phép các tổ chức thành viên tham gia thực hiện báo cáo thông tin về các tài khoản đáng ngờ khi phát hiện và chia sẻ thông tin tới các thành viên khác. Trên cơ sở nguồn dữ liệu tập trung của hệ thống SIMO và nguồn dữ liệu về danh sách tài khoản đã tham gia vào quá trình luân chuyển dòng tiền lừa đảo đã được Bộ Công an thu thập, các TCTD có thể đưa ra các quyết định thực hiện ngăn chặn giao dịch ngay lập tức hoặc yêu cầu xác thực, định danh tài khoản trước thực hiện giao dịch trực tuyến.

Ngành Ngân hàng cũng đang phối hợp với các cơ quan chức năng của Bộ Công an, Bộ Thông tin và truyền thông và các tổ chức liên quan trong công tác bảo đảm an ninh, an toàn thông tin và phòng, chống tội phạm công nghệ cao trong ngành Ngân hàng.

Hiện nay, hơn 87% người trưởng thành ở Việt Nam đã có tài khoản tại ngân hàng và nhiều nhà băng có tỷ lệ giao dịch trên kênh số trên 95%. Trong thời gian qua, số lượng và giá trị giao dịch trên kênh số tăng trưởng đều đặn hai con số.

Để an toàn tài khoản và bảo vệ chính mình khi giao dịch ngân hàng điện tử, khách hàng cần tuân thủ các biện pháp bảo mật cơ bản. Theo đó, khách hàng cần lưu ý các quy tắc như:

(i) Đặt mật khẩu như: sử dụng mật khẩu mạnh, không chia sẻ thông tin tài khoản với bất kỳ ai, tiến hành thay đổi mật khẩu khoảng 3 tháng/lần để hạn chế lộ mật khẩu;

(ii) Đăng nhập vào tài khoản của mình chỉ trên các thiết bị an toàn và tự nhập địa chỉ website vào trình duyệt, không truy cập vào tài khoản của bạn từ các mạng Wifi công cộng không an toàn; không mở, cho thuê, bán tài khoản ngân hàng cho người khác. Nếu ít khi sử dụng giao dịch thanh toán thẻ trực tuyến thì có thể khóa chức năng thanh toán hoặc giảm hạn mức thanh toán. Khi có nhu cầu sử dụng thì mới mở đăng ký. Các tính năng này có sẵn trên ứng dụng Mobile Banking;

(iii) Sử dụng các phần mềm diệt virus trên thiết bị và thoát khỏi ứng dụng khi không sử dụng; (iv) Đọc các hướng dẫn sử dụng dịch và bảo mật trên website ngân hàng điện tử chính thức của ngân hàng;

(v) Không cài các phần mềm hoặc các ứng dụng từ các trang web kém tin cậy trên thiết bị, không nên sử dụng các thiết bị đã bị phá khóa để tải và sử dụng ngân hàng điện tử.