Ngân hàng Nhà nước Việt Nam (NHNN) đang xây dựng dự thảo thông tư thay thế Thông tư 35/2016/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng.
Thông tư 35/2016/TT-NHNN ngày 29/12/2016 (sửa đổi, bổ sung tại Thông tư 35/2018/TT-NHNN ngày 24/12/2018) được ban hành đã tạo hành lang pháp lý và hướng dẫn các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức trung gian thanh toán trong công tác bảo đảm an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng, dịch vụ trung gian thanh toán trên Internet.
Nhằm cập nhật đầy đủ các quy định của pháp luật về công tác bảo đảm an ninh, an toàn thông tin, giao dịch điện tử và xác thực điện tử, đồng thời phù hợp với thực tế tình hình an toàn thông tin mạng trong ngành Ngân hàng, Ngân hàng Nhà nước Việt Nam (Cục Công nghệ thông tin) đã nghiên cứu, hoàn thành Dự thảo Thông tư thay thế Thông tư 35/2016/TT-NHNN (sau đây gọi là Dự thảo Thông tư).
Theo NHNN, tình hình an ninh mạng tại Việt Nam hiện nay diễn ra phức tạp, ngành Ngân hàng, tài chính là một trong các ngành thuộc đích nhắm hàng đầu của tội phạm sử dụng công nghệ cao.
Tội phạm sử dụng không gian mạng để lừa đảo chiếm đoạt tài sản gia tăng, các đối tượng sử dụng tài khoản ngân hàng, ví điện tử không chính chủ để nhận, chuyển tiền lừa đảo, sau đó thông qua tiền ảo (USDT, Bitcoin,…) để làm công cụ rửa tiền gây thiệt hại về tài sản của khách hàng và ngân hàng. Ngày 18/12/2023, NHNN đã ban hành Quyết định 2345/QĐ-NHNN về việc triển khai các giải pháp an toàn, bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng.
Theo đó từ 1/7/2024 các TCTD, trung gian thanh toán phải triển khai xác thực sinh trắc học bằng khuôn mặt từ nguồn dữ liệu dân cư (thông qua CCCD gắn chíp, VNeID) khi khách hàng cá nhân thực hiện các giao dịch trực tuyến có giá trị > 10 triệu đồng hoặc khi tổng giao dịch/ngày > 20 triệu đồng.
Việc triển khai quyết định này sẽ nâng cao an toàn, bảo mật cho các giao dịch thanh toán trực tuyến, giảm thiểu rủi ro gian lận, lừa đảo trong giao dịch thanh toán trực tuyến.
Để các quy định tại Quyết định 2345 có giá trị pháp lý cao hơn thì các quy định này sẽ được đưa vào trong Thông tư của Thống đốc NHNN.
Ngoài ra, hiện nay, nhiều tổ chức tín dụng, trung gian thanh toán đã triển khai giải pháp định danh, xác minh khách hàng trực tuyến (eKYC) bằng dấu hiệu sinh trắc học. Tuy nhiên tại Việt Nam chưa có tiêu chuẩn kỹ thuật quy định về nội dung này.
Cục CNTT đã khảo sát tình hình triển khai xác thực sinh trắc học tại các đơn vị trong ngành và tham khảo các tiêu chuẩn quốc tế và đề xuất bổ sung quy định về tiêu chuẩn xác thực bằng dấu hiệu nhận dạng sinh trắc học tại Dự thảo Thông tư.
Bên cạnh đó, qua công tác kiểm tra và khảo sát, Cục CNTT đã ghi nhận được các khó khăn, vướng mắc và các đề xuất trong quá trình triển khai thực hiện Thông tư 35/2016/TT-NHNN tại các tổ chức tín dụng, tổ chức cung ứng dịch vụ trung gian thanh toán. Dự thảo Thông tư thay thế sẽ cập nhật, bổ sung một số nội dung giải quyết các khó khăn vướng mắc trong hoạt động cung cấp dịch vụ trực tuyến tại các tổ chức trong ngành Ngân hàng.
Ban soạn thảo cho biết, Dự thảo Thông tư đã mở rộng phạm vi quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng (Online Banking), không chỉ là các dịch vụ ngân hàng, dịch vụ trung gian thanh toán trên Internet (Internet Banking), mà mở rộng bao gồm các dịch vụ khác được Thống đốc NHNN chấp thuận hoặc quy định như dịch vụ thông tin tín dụng, dịch vụ ngoại hối, dịch vụ lưu ký chứng khoán, dịch vụ liên quan đến bao thanh toán, thư tín dụng,… quy định tại Luật Các tổ chức tín dụng năm 2024.
Dự thảo thông tư mới cũng có phần giải thích rõ hơn một số khái niệm mới, trong đó có phần chỉnh sửa để có khái niệm tổng quát Online Banking, bao gồm các dịch vụ của ngành Ngân hàng qua mạng (bao gồm mạng Internet, mạng viễn thông, mạng).
Một số thuật ngữ và khái niệm khác cũng được định nghĩa lại để thống nhất với các văn bản hiện hành. Chẳng hạn khái niệm xác thực đa yếu tố là phương pháp xác thực yêu cầu tối thiểu hai yếu tố để chứng minh tính đúng đắn của một danh tính. Xác thực đa yếu tố dựa trên những thông tin mà người dùng biết (số PIN, mã khóa bí mật,…) cùng với những gì mà người dùng có (thẻ thông minh, thiết bị token, thiết bị di động), hoặc những dấu hiệu sinh trắc học của người dùng để xác minh danh tính.
T.M