Quy định về xác thưc nhiều yếu tố đối với thanh toán điện tử tại các quốc gia

Vấn đề bảo mật dữ liệu tài khoản và thông tin cá nhân của người dùng càng ngày càng được coi trọng, tận dụng hệ thống quy định của các quốc gia phát triển trên thế giới, Việt Nam dần đã và đang tạo nên hệ thống pháp lý cho mình để yêu cầu bắt buộc sử dụng phương thức xác thực nhiều yếu tố trong lĩnh vực tài chính ngân hàng.

Theo Vụ Thanh toán thuộc Ngân hàng Nhà nước Việt Nam, trong quý I năm 2019, Hệ thống thanh toán điện tử liên ngân hàng đã xử lý trên 37 triệu giao dịch, giá trị gần 21 triệu tỷ đồng (tăng tương ứng khoảng 23% số giao dịch và 17% giá trị giao dịch so với cùng kỳ năm ngoái) và theo Khảo sát tiêu dùng toàn cầu năm 2018 của PwC trên 27 quốc gia/vùng lãnh thổ, Việt Nam là thị trường tăng trưởng nhanh nhất về thanh toán di động. Với thực tế Việt Nam cũng không nằm ngoài xu thế giao dịch thanh toán điện tử đang bùng nổ trên khắp thế giới, vấn đề rủi ro về bảo mật dữ liệu cũng theo đó không ngừng gia tăng. Vấn đề bảo mật dữ liệu cần được ưu tiên hiện nay là bảo vệ tài khoản, thông tin cá nhân và dữ liệu giao dịch của người dùng. Vậy nên, xác thực nhiều yếu tố phải được áp dụng để đảm bảo xác nhận đúng người dùng, gia tăng mức độ bảo mật cho tất cả các tài khoản ví điện tử, ngân hàng,... 

Các quốc gia phát triển, các cộng đồng kinh tế lớn đã có rất nhiều chính sách quy định khuyến cáo hoặc bắt buộc sử dụng phương pháp xác thực đa yếu tố để giảm thiểu rủi ro bảo mật có thể xảy ra. Cụ thể như:


Digibank CMS- Sample image floating

Hiện tại, ở Châu Âu, theo Hướng dẫn 2015/2366 của Nghị viện và Hội đồng Châu Âu (EU) ngày 25/11/2015 thì bên cung cấp dịch vụ thanh toán phải sử dụng nhiều yếu tố xác thực khi người dùng: truy cập vào tài khoản online; chuẩn bị giao dịch thanh toán điện tử hoặc thực hiện bất kỳ hành vi nào có thể gây ra rủi ro gian lận hoặc lừa đảo thanh toán.

Trong khu vực Châu Á Thái Bình Dương, tại Singapore, theo Nguyên tắc Quản lý rủi ro công nghệ năm 2013 của Ngân hàng Trung Ương Singapore: Các tổ chức tài chính nên sử dụng phương thức xác thực hai yếu tố để đăng nhập vào tất cả các hệ thống tài chính online và ký giao dịch để xác thực giao dịch. Mục tiêu cơ bản của phương thức xác thực hai yếu tố và ký giao dịch để bảo mật quá trình xác thực người dùng và bảo vệ nội dung dữ liệu tài khoản người dùng cũng như nâng cao sự bảo mật của hệ thống trước tấn công mạng vào các tổ chức tài chính và khách hàng của họ; còn theo Nguyên tắc Quản lý rủi ro công nghệ năm 2019: Phương thức xác thực nhiều yếu tố sẽ được triển khai đối với các đăng nhập cho dịch vụ giao dịch tài chính trực tuyến để bảo vệ người dùng. Ở HongKong, Ủy ban Chứng khoán và thị trường tương lai (SFC - Securities and Futures Commission), ngày 27/10/2017, SFC đã công bố Hướng dẫn để giảm thiểu rủi ro liên quan tới Thương mại điện tử: khuyến cáo người dùng tài khoản thương mại điện tử nên áp dụng phương thức xác thực hai yếu tố để đăng nhập.

Digibank CMS- Sample image floating

Tại Việt Nam, theo Quyết định 630/QĐ-NHNN ban hành kế hoạch áp dụng các giải pháp về an toàn bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng, từ ngày 01/01/2019, các giao dịch trực tuyến từ 5.000.000 đồng/giao dịch trở lên phải dùng các phương thức xác thực 2 yếu tố. Dựa trên nền tảng quy định đã được xây dựng từ nhiều năm trước ở các quốc gia phát triển trên thế giới cũng như trong khu vực, xác thực hai yếu tố đang là xu hướng đang được tập trung xây dựng quy định để áp dụng. 

Qua đây có thể thấy được rằng, trước vấn đề an toàn an ninh mạng trong thanh toán điện tử, phương pháp xác thực nhiều yếu tố đã được áp dụng phổ biến trong quá trình thực hiện giao dịch thanh toán trực tuyến tại các quốc gia phát triển trên thế giới, phương pháp này còn được khuyến cáo áp dụng ngay từ bước đăng nhập vào các tài khoản thương mại điện tử/tài khoản ngân hàng. Trong khi đó, tại Việt Nam, phương pháp xác thực 2 yếu tố mới chỉ bắt buộc áp dụng khi tiến hành giao dịch đối với các giao dịch từ loại B (từ 5 triệu đồng một giao dịch) trở lên. Tuy vậy, Việt Nam cũng đang nỗ lực xây dựng nền tảng quy định pháp luật để tạo được hành lang pháp lý cho việc xây dựng hệ thống thanh toán trực tuyến thông minh tiện lợi, phù hợp với xu hướng số hóa ngành tài chính đồng thời bảo vệ tối đa thông tin và tài sản cả người dùng và hệ thống cung cấp dịch vụ tài chính.

Các ngân hàng lớn trên thế giới đều đã tích cực áp dụng xác thực nhiều yếu tố để đảm bảo bảo mật cho tài khoản người dùng đồng thời bảo vệ uy tín và sự sống còn của ngân hàng. Tại Việt Nam, nhiều ngân hàng đã bắt tay vào xây dựng và triển khai chương trình bảo mật xác thực đa yếu tố thông minh để tuân thủ các quy định của Quyết định 630/QĐ-NHNN của Ngân hàng nhà nước, đi đầu phải kể đến Techcombank và MB Bank.

Tóm lại, dựa trên thực tiễn các quy định pháp luật về xác thực người dùng ở Việt Nam cũng như trên thế giới chúng ta có thể thấy được tầm quan trọng của vấn đề bảo mật thông tin tài khoản nói chung và đảm bảo xác thực tài khoản nói riêng, đồng thời lên tiếng khuyến cáo các ngân hàng chưa triển khai các biện pháp bảo mật thanh toán phù hợp với quy định phải nhanh chóng nghiên cứu, tìm kiếm giải pháp phù hợp và cập nhập xu thế trước khi quá muộn.


Tham khảo:

1. Directive (EU) 215/2366 of the European Parliament and of the Council of 25 November 2015
2. Technology Risk Management Guidelines of the Monetary Authority of Singapore
3. Guidelines for Reducing and Mitigating Hacking Risks Associated with Internet Trading
4. Quyết định số 630/QĐ-NHNN ban hành Kế hoạch áp dụng giải pháp về an toàn bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng