Sửa Thông tư 50: An toàn ngân hàng số phải đi cùng trách nhiệm giải trình của ngân hàng

2 giờ trướcBài gốc

Trong bối cảnh đó, Ngân hàng Nhà nước đã ban hành Thông tư 50/2024/TT-NHNN (sau đây gọi là Thông tư 50), có hiệu lực từ 1-1-2025, quy định về an toàn, bảo mật khi cung cấp dịch vụ trực tuyến trong ngành ngân hàng, thay thế Thông tư 35/2016/TT-NHNN và 35/2018/TT-NHNN. Cuối năm 2025, cơ quan quản lý tiếp tục đưa ra dự thảo sửa đổi, bổ sung một số điều của Thông tư 50 để siết chặt hơn yêu cầu bảo mật, đồng bộ với Luật Giao dịch điện tử 2023 và Nghị định 23/2025/NĐ-CP về chữ ký điện tử và dịch vụ tin cậy.

Từ góc độ pháp lý và quyền lợi khách hàng, đây là thời điểm cần thiết để nhìn lại bức tranh lừa đảo ngân hàng số, đánh giá những bước tiến của Thông tư 50, đồng thời đặt câu hỏi rõ ràng hơn về trách nhiệm giải trình của ngân hàng khi tiền trong tài khoản người dân “bốc hơi”.

Cần cơ chế chia sẻ rủi ro công bằng hơn trong giao dịch ngân hàng số. Ảnh minh họa AI

Lừa đảo ngân hàng số: con số không còn chỉ là cảnh báo

Giai đoạn 2021–2024, các thống kê chính thức cho thấy rủi ro lừa đảo trong giao dịch trực tuyến tăng rất nhanh. Số liệu do Bộ Công an và Ngân hàng Nhà nước công bố cho thấy thiệt hại do tội phạm lừa đảo chiếm đoạt tài sản qua kênh ngân hàng tăng mạnh, từ hơn 1.000 tỉ đồng năm 2021 lên khoảng 4.500 tỉ đồng năm 2023; chỉ trong 5 tháng đầu năm 2024, số tiền khách hàng bị lừa đã vượt 4.200 tỉ đồng.

Ở tầm rộng hơn, các báo cáo an ninh mạng đánh giá Việt Nam thuộc nhóm quốc gia bị ảnh hưởng nặng bởi tội phạm mạng, với thiệt hại ước tính hàng chục ngàn tỉ đồng mỗi năm. Nhiều khảo sát xã hội ghi nhận đa số người dân từng ít nhất một lần nhận cuộc gọi, tin nhắn mạo danh ngân hàng, công an, tòa án hoặc lời mời đầu tư, nhận thưởng. Sau những con số là tiền tích cóp của người về hưu, học phí của con em, vốn lưu động ít ỏi của các hộ kinh doanh nhỏ.

Trong khi đó, tỷ lệ sử dụng ngân hàng số của Việt Nam thuộc nhóm cao trong khu vực. Đến đầu năm 2025, hệ thống ngân hàng đã xác thực sinh trắc học cho hàng chục triệu khách hàng cá nhân, chiếm phần lớn số khách đang giao dịch trên kênh số. Nghĩa là chỉ một lỗ hổng nhỏ trong thiết kế ứng dụng, quy trình xác thực hay khâu phối hợp với các bên trung gian cũng có thể ảnh hưởng đến phạm vi rất rộng.

Thông tư 50: bước tiến quan trọng trong “luật chơi” an toàn số

Thông tư 50 thể hiện nỗ lực chuyển từ cách tiếp cận “dịch vụ ngân hàng trên Internet” sang điều chỉnh toàn diện “dịch vụ trực tuyến trong ngành ngân hàng”. Đối tượng không chỉ là Internet Banking, Mobile Banking mà còn bao gồm tổ chức trung gian thanh toán, tổ chức cung cấp dịch vụ thông tin tín dụng, Mobile Money.

Một số điểm nổi bật có thể tóm lược:

- Ngân hàng phải bảo đảm dữ liệu trên môi trường mạng được mã hóa, kiểm soát chặt phiên giao dịch, có cơ chế tự động ngắt khi không có thao tác.

- Ứng dụng phải che mật khẩu, chống lưu tự động, tăng yêu cầu về đặt, đổi và bảo vệ mã PIN, mật khẩu.

- Cùng với Quyết định 2345/QĐ-NHNN ngày 18.12.2023 về triển khai các giải pháp an toàn, bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng, nhiều giao dịch giá trị từ một ngưỡng nhất định buộc phải xác thực sinh trắc học hoặc đối chiếu với dữ liệu định danh, giảm phụ thuộc vào SMS OTP thuần túy.

Sau khi triển khai, số liệu của cơ quan quản lý cho thấy số vụ gian lận trên kênh ngân hàng số trong một số giai đoạn đã giảm, số tài khoản nhận tiền lừa đảo bị phát hiện, phong tỏa tạm thời cũng tăng. Nghĩa là những yêu cầu kỹ thuật này không chỉ nằm trên giấy.

Dù vậy, nếu nhìn từ phía người dùng, vẫn còn khoảng trống. Quy định về an toàn ứng dụng trên thiết bị di động chưa chạm sâu đến nguy cơ thiết bị bị cài phần mềm gián điệp, điều khiển từ xa; cơ chế phối hợp giữa ngân hàng, trung gian thanh toán, nhà mạng và các nền tảng lớn trong phong tỏa, truy vết dòng tiền lừa đảo vẫn chủ yếu dựa vào thỏa thuận; cách cung cấp thông tin rủi ro cho khách hàng còn nặng về “điều khoản – điều kiện” dài và khó nhớ. Việc Ngân hàng Nhà nước tiếp tục lấy ý kiến sửa đổi Thông tư 50 vì thế có thể xem là bước đi cần thiết để cập nhật kịp thời, vừa nâng chuẩn bảo mật, vừa tiệm cận hơn nhu cầu bảo vệ người dùng.

Một số câu hỏi chính sách cần được trả lời rõ

Bảo mật thiết bị và quyền tiếp cận dịch vụ của người dùng. Việc yêu cầu ứng dụng ngân hàng từ chối hoạt động trên thiết bị root, jailbreak hoặc bị coi là “không sạch” là dễ hiểu trên góc độ an ninh mạng. Vấn đề đặt ra là cách thực hiện sao cho không vô tình đẩy một bộ phận người dùng ra ngoài dịch vụ ngân hàng số.

Không ít người am hiểu công nghệ root máy để tối ưu thiết bị, cài thêm tính năng cho điện thoại cũ, không nhằm mục đích gian lận. Ở nhóm khác, nhiều người thu nhập thấp vẫn dùng điện thoại, hệ điều hành đã cũ, không còn được nhà sản xuất cập nhật bản vá. Nếu tất cả đều bị xếp vào nhóm “rủi ro” và app ngân hàng dừng hoạt động hoàn toàn, nhóm yếu thế có nguy cơ bị loại khỏi dịch vụ ngân hàng số mà họ rất cần trong đời sống.

Về mặt chính sách, khi cho phép ngân hàng quyền từ chối phục vụ trên thiết bị rủi ro, có thể cân nhắc đồng thời nhấn mạnh nghĩa vụ cung cấp kênh giao dịch thay thế an toàn, hợp lý (tại quầy, qua tổng đài, thiết bị xác thực riêng…) cho nhóm khách hàng này. Như vậy, yêu cầu an toàn vẫn được bảo đảm, nhưng không tạo thêm “khoảng cách số” giữa người dùng thiết bị đời mới và những người chỉ đủ sức dùng máy cũ. Song song đó, khi nâng chuẩn kỹ thuật, cũng cần chú ý tới tính ổn định và chi phí tuân thủ để ngân hàng và khách hàng không phải liên tục thay đổi cách giao dịch.

Gợi ý để Thông tư thực sự trở thành “lá chắn” cho người dùng

Từ những vấn đề trên, có thể gợi mở một số hướng hoàn thiện theo tinh thần chia sẻ rủi ro công bằng hơn giữa các bên.

Một là, làm rõ trách nhiệm và thời hạn xử lý lỗ hổng bảo mật, gắn với nghĩa vụ giải trình.

Dự thảo đã đề cập việc ghi nhận và khắc phục lỗ hổng, nhưng có thể cụ thể hơn về phân loại mức độ, thời hạn xử lý, cơ chế thông tin tới khách hàng. Khi xảy ra sự cố, ngân hàng cần có nghĩa vụ giải trình kỹ thuật, cung cấp bằng chứng cho thấy hệ thống hoạt động đúng thiết kế, giao dịch được thực hiện theo đúng cơ chế xác thực. Người dân không thể tự mình đi tìm log hay phân tích mã nguồn để đòi bồi thường.

Trong một số nhóm tranh chấp điển hình (giao dịch vào giờ, địa điểm rất khác thói quen; tài khoản bị rút sạch trong thời gian ngắn; chuyển tiền tới tài khoản đã bị cảnh báo…), có thể nghiên cứu cơ chế suy đoán và chia sẻ trách nhiệm theo hướng: khi khách hàng cung cấp trung thực thông tin trong phạm vi mình kiểm soát được, ngân hàng có trách nhiệm chủ động rà soát dấu hiệu bất thường và giải trình thuyết phục, thay vì mặc định lỗi luôn thuộc về khách hàng.

Hai là, ràng buộc nghĩa vụ tối thiểu của các bên thứ ba trong chuỗi dịch vụ.

Dòng tiền lừa đảo thường đi qua ví điện tử, tài khoản trung gian, tài khoản doanh nghiệp “ma” trước khi rời khỏi hệ thống. Vì vậy, tổ chức trung gian thanh toán, nhà mạng, nền tảng công nghệ lớn cũng cần có nghĩa vụ rõ ràng về rà soát, phong tỏa khẩn cấp, chia sẻ dữ liệu giao dịch đáng ngờ. Thông tư 50 và bản sửa đổi có thể đặt ra các chuẩn tối thiểu về thời gian phản hồi, đầu mối phối hợp, chế độ báo cáo, tránh tình trạng “đẩy qua đẩy lại” trách nhiệm.

Ba là, tăng minh bạch và cách truyền thông rủi ro theo hướng gần với hành vi người dùng.

Thay vì chỉ đưa ra bản điều khoản dài, ngân hàng có thể được yêu cầu thiết kế cảnh báo theo tình huống: cảnh báo nổi bật khi khách hàng chuyển tiền đến tài khoản vừa bị nhiều người tố giác; khi giao dịch khác thường về địa điểm, thời gian hay thiết bị; cung cấp kênh báo cáo nhanh để người dùng phản ánh giao dịch họ không nhận ra. Cách làm này thực tế hơn so với chỉ nhắc “hãy cảnh giác”.

Bốn là, bảo đảm không bỏ lại phía sau những người dùng yếu thế.

Khi triển khai biện pháp siết chặt kỹ thuật, cần xác định rõ lộ trình và nhóm khách hàng cần được hỗ trợ đặc biệt. Người cao tuổi, người ở vùng sâu vùng xa, người dùng thiết bị cũ có thể được cung cấp các kênh giao dịch phù hợp như quầy giao dịch, tổng đài hỗ trợ, thiết bị xác thực riêng hoặc chương trình hướng dẫn tại cộng đồng. An toàn là cần thiết, nhưng nếu triển khai thiếu lộ trình, các yêu cầu mới có thể vô tình trở thành rào cản đối với chính nhóm này.

Không thể chỉ yêu cầu người dân “tự bảo vệ mình”

Thông tư 50 và dự thảo sửa đổi cho thấy Ngân hàng Nhà nước đã nhận diện khá rõ các rủi ro an ninh trong ngân hàng số và nỗ lực dịch chúng thành yêu cầu kỹ thuật cụ thể. Đây là bước tiến quan trọng. Tuy nhiên, an toàn ngân hàng số không thể chỉ dựa vào việc siết chặt phía người dùng và nâng chuẩn kỹ thuật, mà cần đi cùng một cơ chế trách nhiệm giải trình rõ ràng của tổ chức cung cấp dịch vụ và sự phối hợp của các bên liên quan.

Người dân có quyền kỳ vọng rằng khi tiền trong tài khoản bị chuyển đi ngoài ý muốn, ngân hàng sẽ không chỉ dừng ở lời khuyên “cảnh giác hơn trong lần sau”, mà sẽ chủ động điều tra, giải trình, phối hợp với cơ quan chức năng và chia sẻ rủi ro khi lỗi nằm ngoài khả năng kiểm soát hợp lý của khách hàng.

Khi trách nhiệm đó được ghi nhận rõ trong khung pháp lý, mỗi cú chạm để chuyển tiền trên màn hình sẽ bớt đi một phần nỗi lo, và ngân hàng số mới thực sự trở thành hạ tầng của lòng tin trong nền kinh tế số.

Root, jailbreak và “thiết bị không sạch” là gì?

Root/Jailbreak: người dùng can thiệp sâu vào hệ điều hành điện thoại để cài ứng dụng ngoài kho chính thức, chỉnh sửa hệ thống. Việc này giúp tự do hơn nhưng cũng mở thêm nhiều “cửa” cho mã độc.

Thiết bị không sạch: thiết bị đã bị cài phần mềm gián điệp, bị điều khiển từ xa, hoặc chạy trong môi trường giả lập, có nguy cơ cho phép kẻ xấu thao tác thay người dùng.

Vì sao ngân hàng “sợ” những thiết bị này: chỉ cần một lần cấp quyền truy cập nhầm, tội phạm có thể xem màn hình, đọc mã OTP, thao tác chuyển tiền mà chủ tài khoản không kịp trở tay.

TS. Hoàng Văn Thành, Trưởng Bộ môn Luật Kinh tế, Khoa Luật, Học viện Ngân hàng - ThS. Nguyễn Ngọc Mai, giảng viên Khoa Luật, Học viện Ngân hàng

Nguồn PLO : https://plo.vn/sua-thong-tu-50-an-toan-ngan-hang-so-phai-di-cung-trach-nhiem-giai-trinh-cua-ngan-hang-post884462.html