Nhằm thúc đẩy xu hướng thanh toán không dùng tiền mặt tại Việt Nam và tăng cường bảo mật trong việc ngăn chặn các hành vi lừa đảo, gian lận, và giảm thiểu rủi ro trong việc thanh toán trực tuyến, ngày 18/12/2023, Ngân hàng Nhà nước Việt Nam đã ban hành Quyết định 2345/QĐ-NHNN thay thế cho Quyết định số 630/QĐ-NHNN ngày 31/3/2017 (“Quyết định số 630”) về việc triển khai giải pháp an toàn, bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng (“Quyết định 2345”). Theo đó, các tổ chức tín dụng (“TCTD”), chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán phải triển khai áp dụng loạt giải pháp giảm thiểu rủi ro trong thanh toán trực tuyến trên Internet (Internet Banking, Mobile Banking). Dưới đây, ATA Legal Services đã cập nhật một số nội dung thay đổi đáng chú ý như sau:
1. Yêu cầu chặt chẽ đối với biện pháp xác thực bằng sinh trắc học đối với các giao dịch thanh toán trực tuyến
Trước đây, biện pháp xác thực bằng sinh trắc học đã được nhắc tới trong Quyết định 630, tuy nhiên, nhằm tăng tính bảo mật và giảm thiểu rủi ro trong thanh toán trực tuyến, Quyết định 2345 đã bổ sung theo hướng xác định rõ và yêu cầu chặt chẽ hơn đối với biện pháp này. Cụ thể, biện pháp xác thực sinh trắc học cần phải đáp ứng một trong các điều kiện sau:
- Khớp đúng với dữ liệu sinh trắc học được lưu trong chip của thẻ căn cước công dân (CCCD) của khách hàng do cơ quan Công an cấp; hoặc thông qua xác thực tài khoản định danh điện tử của khách hàng do hệ thống định danh và xác thực điện tử tạo lập.
- Khớp đúng với dữ liệu sinh trắc học được lưu trong cơ sở dữ liệu (CSDL) sinh trắc học về khách hàng đã thu thập và kiểm tra, khuyến khích kết hợp với phương thức xác thực OTP gửi qua SMS/Voice hoặc Soft OTP/Token OTP.
2. Các điểm mới trong việc xác định giao dịch để áp dụng các biện pháp xác thực
2.1. Bổ sung tiêu chí phân loại giao dịch
Trước đây, Quyết định 630 phân loại giao dịch trên cơ sở hạn mức giao dịch. Tuy nhiên, Quyết định 2345 đã sửa đổi theo hướng xác định nhóm giao dịch theo nhiều tiêu chí, cụ thể gồm: Giá trị của giao dịch (được ký hiệu là “G”), Tổng giá trị các giao dịch loại A và loại B của từng nhóm loại hình giao dịch đã thực hiện của một tài khoản ngân hàng (được ký hiệu là “Tksth”) và Tổng giá trị các giao dịch của từng nhóm loại hình giao dịch đã thực hiện trong ngày của một tài khoản ngân hàng hoặc một ví điện tử (được ký hiệu là “T”). Việc phân loại này cũng được xác định theo từng đối tượng khách hàng cá nhân hoặc tổ chức để đảm bảo có những biện pháp xác thực phù hợp.
2.2. Bổ sung thêm các loại hình giao dịch trực tuyến thuộc trường hợp phải áp dụng các biện pháp xác thực
So với Quyết định 630, Quyết định 2345 sửa đổi, bổ sung thêm nhiều giao dịch trong chuyển tiền/thanh toán trực tuyến thuộc các nhóm loại hình giao dịch phải áp dụng các biện pháp xác thực, phần nhiều là các giao dịch thông qua Ví điện tử:
- Chuyển tiền giữa các ví điện tử.
- Nạp tiền vào Ví điện tử.
- Rút tiền từ Ví điện tử.
Ngoài ra, Quyết định 2345 mở rộng các trường hợp thanh toán dịch vụ qua trung gian. Trước đây, Quyết định 630 giới hạn việc thanh toán hóa đơn dịch vụ với mã khách hàng cố định (như dịch vụ điện, nước, viễn thông, phí giao thông). Nhưng Quyết định 2345 mở rộng hơn là các giao dịch thanh toán hàng hóa, dịch vụ hợp pháp được tổ chức cung ứng dịch vụ thanh toán, trung gian thanh toán cung cấp hoặc tại các đơn vị chấp nhận thanh toán do các tổ chức cung ứng dịch vụ thanh toán, trung gian thanh toán chịu trách nhiệm lựa chọn, thẩm định, giám sát và quản lý.
2.3. Phân định rõ và quy định các biện pháp xác thực phù hợp đối với các đối tượng là tổ chức và đối tượng là cá nhân
Trước đây, theo Quyết định 630, việc áp dụng các biện pháp xác thực tối thiểu được quy định chung cho tất cả các đối tượng khách hàng. Tuy nhiên, Quyết định 2345 đã phân định rõ các biện pháp xác thực khi thanh toán trực tuyến giữa đối tượng khách hàng là tổ chức và đối tượng khách hàng là cá nhân. Với mỗi đối tượng có những đặc thù riêng nên việc phân biệt các biện pháp xác thực là rất phù hợp.
3. Bổ sung thêm nhiều biện pháp xác thực phù hợp với thông lệ thực tiễn
Loại giao dịch |
Quyết định 630 |
Biện pháp xác thực tối thiểu |
|
Khách hàng cá nhân |
Khách hàng tổ chức |
||
Giao dịch loại A |
Tên đăng nhập, mật khẩu hoặc mã PIN |
Tên đăng nhập, mật khẩu hoặc mã PIN (Tương tự như Quyết định 630, nhưng quy định rõ ràng hơn về trường hợp đã xác thực tại bước đăng nhập thì không bắt buộc phải xác thực tại bước thực hiện giao dịch). |
|
Giao dịch loại B |
- SMS OTP - Hoặc Thẻ ma trận OTP - Hoặc Token OTP loại cơ bản, không có chức năng xác thực người dùng sử dụng Token |
Ngoài SMS OTP, Thẻ Ma trận OTP, Token OTP loại cơ bản không có chức năng xác thực người dùng sử dụng Token, Quyết định 2345 bổ sung thêm biện pháp xác thực đối với khách hàng cá nhân như sau: - OTP gửi qua phương thức Voice/Email - Hoặc Soft OTP - Hoặc biện pháp xác thực qua hai kênh - Hoặc bằng dấu hiệu nhận dạng sinh trắc học của khách hàng gắn liền với thiết bị cầm tay thông minh - Hoặc Soft OTP/Token OTP loại nâng cao - Hoặc theo chuẩn FIDO - Hoặc bằng chữ ký điện tử an toàn |
Ngoài SMS OTP, Thẻ Ma trận OTP, Token OTP loại cơ bản không có chức xác thực người dùng sử dụng Token, Quyết định 2345 bổ sung thêm biện pháp xác thực sau, bổ sung thêm biện pháp xác thực đối với khách hàng là tổ chức như sau: - OTP gửi qua phương thức Voice/Email - Hoặc bằng dấu hiệu nhận dạng sinh trắc học của người đại diện hợp pháp, người phụ trách kế toán (nếu có) của khách hàng gắn liền với thiết bị cầm tay thông minh.
|
Giao dịch loại C |
- Soft OTP hoặc Token OTP loại cơ bản, có chức năng xác thực người dùng sử dụng phần mềm, Token - Giải pháp xác thực qua hai kênh - Hoặc xác thực bằng dấu hiệu nhận dạng sinh trắc học |
Quyết định 2345 chỉ cho phép các giao dịch loại này xác thực bằng biện pháp sinh trắc học nhưng làm rõ phương thức bằng dấu hiệu nhận dạng sinh trắc học của khách hàng cần phải đáp ứng một trong các điều kiện nêu trên.. |
- Soft OTP/Token OTP loại cơ bản, có chức năng xác thực người dùng sử dụng phần mềm, Token. - Hoặc biện pháp xác thực qua hai kênh. |
Giao dịch loại D |
- Soft OTP hoặc Token OTP loại nâng cao, có chức năng ký giao dịch - Hoặc xác thực bằng thiết bị U2F/UAF - Hoặc xác thực bằng chứng thư số |
Xác thực bằng dấu hiệu nhận dạng sinh trắc học của khách hàng đáp ứng các điều kiện của Giao dịch loại C nêu trên trên và phải kết hợp một trong các biện pháp xác thực sau: - Soft OTP/Token OTP loại nâng cao - Hoặc theo chuẩn FIDO - Hoặc bằng chữ ký điện tử an toàn |
- Soft OTP/Token OTP loại nâng cao. - Hoặc theo chuẩn FIDO. - Hoặc bằng chữ ký điện tử an toàn. |
Trường hợp các đơn vị sử dụng các biện pháp xác thực khác các loại trên thì báo cáo bằng văn bản gửi Ngân hàng Nhà nước (qua Cục Công nghệ thông tin) trước khi áp dụng tối thiểu 03 tháng.
4. Bổ sung thêm các biện pháp giảm thiểu rủi ro trong thanh toán trực tuyến
So với Quyết định 630, bên cạnh thay đổi quy định khi chuyển tiền/thanh toán trực tuyến nêu trên, Quyết định 2345 bổ sung thêm các biện pháp giảm thiểu rủi ro trong thanh toán trực tuyến đối với TCTD, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán.
Theo đó, Ngân hàng Nhà nước yêu cầu khách hàng cá nhân trước khi thực hiện giao dịch lần đầu bằng ứng dụng Mobile Banking/trước khi thực hiện giao dịch trên thiết bị khác với thiết bị thực hiện giao dịch Mobile Banking lần gần nhất thì phải xác thực bằng dấu hiệu nhận dạng sinh trắc học theo quy định nêu trên.
Đồng thời, các Ngân hàng cũng cần phải thông báo qua SMS hoặc các kênh khách do khách hàng đăng ký như Email, số điện thoại, … tới khách hàng về việc đăng nhập lần đầu ứng dụng Internet Banking/Mobile Banking hoặc đăng nhập trên thiết bị khác với thiết bị đăng nhập lần gần nhất.
Ngoài ra, Ngân hàng Nhà nước cũng yêu cầu các tổ chức tín dụng lưu trữ thông tin về thiết bị thực hiện các giao dịch trực tuyến của khách hàng và nhật ký xác thực giao dịch tối thiểu trong vòng 3 tháng.
Quyết định này có hiệu lực thi hành kể từ ngày 1/7/2024. Các tổ chức tín dụng bị kiểm soát đặc biệt áp dụng Quyết định này kể từ ngày 1/1/2025.
Bình luận: