Bảo mật an toàn trong thanh toán trên môi trường số: Một số kinh nghiệm và khuyến nghị

Tóm tắt: Thanh toán trên môi trường số, còn gọi là thanh toán điện tử là hình thức thanh toán trong đó dữ liệu thanh toán được truyền qua các phương tiện ứng dụng công nghệ số đã đem lại rất nhiều lợi ích cho con người và hiện nay đang được sử dụng rất phổ biến. Bài viết tập trung nghiên cứu về bảo mật an toàn trong thanh toán trên môi trường số tại Việt Nam trên các khía cạnh: i) Khái quát về thanh toán trên môi trường số và các vấn đề bảo mật của thanh toán trên môi trường số; ii) Kinh nghiệm quốc tế về nâng cao bảo mật trong thanh toán trên môi trường số; iii) Môi trường số tại Việt Nam - các mối đe dọa về bảo mật, các trường hợp vi phạm an toàn thanh toán số cùng với các giải pháp hiện thời của Chính phủ và ngành Ngân hàng. Dựa trên các phân tích, nhóm tác giả đề xuất một số khuyến nghị chính sách để tăng cường bảo mật an toàn trong thanh toán trên môi trường số tại Việt Nam.

SECURITY AND SAFETY IN PAYMENTS IN DIGITAL ENVIRONMENT: SOME EX-PERIENCES AND RECOMMENDATIONS

Abstract: Payment in digital environment, also known as electronic payment, is a form of payment in which payment data is transmitted through digital technology applications, bringing many ben-efits to people. That’s why it is widely used. The article focuses on research on security and safety in payments in digital environment in Vietnam on the following aspects: i) Overview of payments in digital environment and security issues of payments in digital environment ; ii) International experience in enhancing security in payments in digital environment; iii) Digital environment in Vietnam - security threats, cases of violations, solutions of the Government and the banking sector. Based on the analysis, the authors propose a number of policy recommenda-tions to enhance security and safety in payments in digital environment in Vietnam.

1. GIỚI THIỆU NGHIÊN CỨU

Vào cuối thế kỉ XIX, mạng Internet lần đầu xuất hiện và phát triển một cách nhanh chóng và mạnh mẽ. Đây chính là tiền đề quan trọng trong việc phát triển công nghệ thông tin nói chung và quá trình chuyển đổi số nói riêng. Chuyển đổi số có thể được biết đến là quá trình thay đổi mọi mặt, mọi bộ phận của cá nhân, tổ chức dựa trên các công nghệ số về cách sống, cách làm việc cũng như phương thức sản xuất (Bộ Thông tin và Truyền thông, 2023). Một trong những đóng góp to lớn của chuyển đổi số có thể kể đến chính là sự ra đời của thanh toán trên môi trường số.

Thanh toán trên môi trường số, còn gọi là thanh toán điện tử là hình thức thanh toán, trong đó dữ liệu thanh toán được truyền qua các phương tiện ứng dụng công nghệ số. Hiện nay, thanh toán trên môi trường số được sử dụng rộng rãi trong các lĩnh vực kinh tế như kinh doanh, các dịch vụ tài chính, thương mại điện tử. Các hình thức thanh toán điện tử được sử dụng rộng rãi là thanh toán bằng thẻ, thanh toán trực tuyến, thanh toán bằng thiết bị di động thông minh, thanh toán bằng ví điện tử và thanh toán qua chuyển khoản ngân hàng, thanh toán thông qua điện thoại thông minh.

Tại Việt Nam, thanh toán điện tử đã đem lại rất nhiều lợi ích cho con người và được sử dụng vô cùng phổ biến hiện nay. Tuy nhiên, vấn đề bảo mật của thanh toán điện tử vẫn luôn là mối lo ngại đối với người dùng. Trong đó, hai mối lo ngại chính của thanh toán trên môi trường số chính là nỗi lo về bảo mật giao tiếp (Communication privacy) và bảo mật thông tin (Infor-mation privacy). Bảo mật giao tiếp được biết đến như việc các nhà bán hàng trực tuyến bảo mật thông tin của người mua hàng khỏi việc bị đánh cắp trong quá trình giao dịch trên môi trường số. Trong khi đó, bảo mật thông tin đề cập đến quyền sở hữu và chia sẻ thông tin của khách hàng trong và sau quá trình thanh toán (Mafruz Zaman Ashrafi, See Kiong Ng, 2008). Chính những mối lo ngại này đã đặt ra yêu cầu về việc nghiên cứu về bảo mật an toàn trong thanh toán trên môi trường số tại Việt Nam, góp phần nâng cao sự tin tưởng của người dùng.

2. BÀI HỌC KINH NGHIỆM TỪ MỘT VÀI QUỐC GIA VỀ VIỆC NÂNG CAO BẢO MẬT TRONG THANH TOÁN TRÊN MÔI TRƯỜNG SỐ

Trong những năm gần đây, rất nhiều cuộc tấn công trên nền tảng số diễn ra trên thế giới với quy mô lớn, nhỏ khác nhau. Mặc dù gây ra nhiều hậu quả nặng nề cho nền kinh tế toàn cầu, song những vụ việc trên cũng để lại những bài học đắt giá mà các quốc gia như Việt Nam có thể học hỏi và áp dụng.

2.1. Trộm tiền Ngân hàng Trung ương Bangladesh

Tháng 2/2016, một nhóm tin tặc không rõ nguồn gốc đã sử dụng mạng lưới của Hiệp hội Viễn thông Tài chính Liên ngân hàng Toàn cầu (SWIFT) để đánh cắp tiền từ tài khoản của Ngân hàng Trung ương Bangladesh tại Ngân hàng Dự trữ Liên bang Mỹ (FED) New York sang các tài khoản ở Philippines và Sri Lanka. Trong số tiền gần 1 tỷ USD được thực hiện chuyển đi, có 101 triệu USD được chuyển thành công, trong đó 81 triệu USD đến Philippines và 20 triệu USD đến Sri Lanka. Mặc dù FED New York đã kịp thời chặn 30 giao dịch còn lại trị giá 850 triệu USD do nghi ngờ một lỗi chính tả trong nội dung giao dịch, nhưng chỉ có khoảng 18 triệu USD trong số 81 triệu USD từ Philippines cùng với tất cả số tiền chuyển từ Sri Lanka được thu hồi vào năm 2018.

Ngân hàng Trung ương Bangladesh lúc đó đã tìm đến World Informatix Cyber Security - một công ty an ninh mạng nổi tiếng có trụ sở tại Hoa Kỳ - để xử lý vụ việc nhằm đánh giá và xử lý các lỗ hổng an ninh. Cuộc điều tra đã phát hiện ra dấu vết của hacker, cho thấy rằng phần mềm độc hại đã được cài đặt vào tháng 1/2016 nhằm thu thập thông tin về các thủ tục vận hành của ngân hàng liên quan đến thanh toán quốc tế và chuyển khoản quỹ.

Ngoài những tổn thất về tài chính, vụ việc còn khiến cho thủ tướng Sheikh Hasina và Thống đốc Ngân hàng Trung ương Bangladesh Atiur Rahman phải từ chức. Tập đoàn Ngân hàng Thương mại Rizal (RCBC) cũng đã bị phạt 1 tỷ peso (khoảng 52,92 triệu USD) bởi Ngân hàng Trung ương Philippines vì vi phạm các luật và quy định về ngân hàng liên quan đến vụ việc. Vụ việc này là tiếng chuông cảnh báo về nguy cơ của các cuộc tấn công mạng đối với cả những cơ quan nhà nước và tư nhân, bởi các tội phạm mạng sử dụng mã xác thực ngân hàng để làm cho các lệnh chuyển tiền trở nên chính thống. SWIFT đã khuyến cáo các ngân hàng sử dụng Alliance Access - một ứng dụng phần mềm nhắn tin chính trong hoạt động của SWIFT - cần phải nâng cao năng lực an ninh mạng và tuân thủ các hướng dẫn an ninh của hiệp hội.

SWIFT đã giới thiệu các biện pháp bảo mật bắt buộc, bao gồm Khung Kiểm soát Bảo mật Khách hàng (CSP – Customer Security Programme) cũng như yêu cầu phải có báo cáo hàng ngày về hoạt động của khách hàng. Hoạt động bảo mật cũng ngày càng được mở rộng với việc ra mắt của Trung tâm Phân tích và Chia sẻ Thông tin SWIFT vào tháng 5/2017, cung cấp những kiến thức về các phần mềm độc hại cũng như thông tin tình báo thu được từ cuộc điều tra của SWIFT về các cuộc tấn công mạng nhằm vào khách hàng của mình.

Dù vậy, nhóm nghiên cứu của KPMG vẫn xác định một số vấn đề phổ biến mà các tổ chức tài chính thường vi phạm đối với các yêu cầu bảo mật mới này của SWIFT vì những lý do gồm: i) Thứ nhất, việc phân tách mạng cho các ứng dụng và hệ thống SWIFT chưa được triển khai đầy đủ, khi mà vẫn còn sự kết nối chung với các ứng dụng như email hoặc Windows Active Direc-tory - một dịch vụ thư mục của Microsoftl; ii) Thứ hai, các chính sách và quy trình bảo mật không được cập nhật chi tiết và chính xác theo tình hình thực tế của hệ thống, trong khi những hướng dẫn và tiêu chuẩn nhằm nâng cao tính bảo mật chưa được phát triển đầy đủ cũng như được đánh giá hay cập nhật định kỳ; iii) Thứ ba, việc dò quét lỗ hổng bảo mật thường mới chỉ được tập trung vào các ứng dụng và máy chủ quan trọng; iv) Thứ tư, chính sách mật khẩu (độ dài mật khẩu, độ phức tạp, thời gian khóa (lockout), thời hạn thay đổi,...) chỉ được áp dụng cho máy chủ Windows và chưa áp dụng trên thiết bị mạng, thiết bị bảo mật hoặc nền tảng Unix/Linux. Những điểm yếu này có thể tạo ra các lỗ hổng trong hệ thống bảo mật SWIFT, tiếp tục tạo cơ hội cho việc tấn công và xâm phạm thông tin tài chính.

2.2. Cuộc tấn công mạng vào Travelex

Travelex là một công ty chuyên cung cấp dịch vụ trao đổi ngoại tệ và các dịch vụ tài chính liên quan. Công ty này giao dịch nhiều loại tiền tệ khác nhau ở nhiều quốc gia trên thế giới, cung cấp dịch vụ mua bán ngoại tệ thông qua cửa hàng trực tiếp, máy rút tiền tự động và cả trên không gian trực tuyến. Ngoài ra, công ty cũng cung cấp các dịch vụ outsourcing (thuê ngoài) cho các đối tác như ngân hàng, siêu thị và đại lý du lịch.

Vào ngày 31/12/2019, Travelex bị tấn công bởi một loại mã độc tống tiền gọi là Sodinokibi, để lại hậu quả nghiêm trọng cho hoạt động kinh doanh và an ninh dữ liệu của công ty. Nhóm tấn công yêu cầu khoản tiền chuộc là 6 triệu đô la Mỹ và đe dọa sẽ công khai hơn 5GB dữ liệu cá nhân của khách hàng nếu không được đáp ứng. Các dữ liệu này bao gồm ngày sinh, số an sinh xã hội, thông tin thẻ và các thông tin quan trọng khác. Sự việc đã làm ảnh hưởng đến các khách hàng ở 21 quốc gia, cũng như các đối tác quan trọng của công ty như Ngân hàng HSBC hay RBS. Travelex sau đó đã phải thanh toán cho các hacker một số tiền tương đương 2,3 triệu USD và hoàn thành một thỏa thuận tái cấu trúc vào tháng 8/2020 dưới trách nhiệm của PwC, đánh mất 1.300 nhân lực.

Sự kết hợp của vụ việc và đại dịch COVID-19 đã làm cho năm 2020 trở thành một trong những năm khó khăn nhất đối với Travelex. Công ty mẹ Finablr cho biết, doanh nghiệp đã phải chịu thiệt hại 25 triệu bảng Anh, nhưng phần lớn đã có sự hỗ trợ của bảo hiểm. PwC tuyên bố rằng: "tác động của cuộc tấn công mạng này và đại dịch COVID-19 đã ảnh hưởng nghiêm trọng đến do-anh nghiệp". Tuy nhiên, sau đó, công ty cho biết họ lạc quan về triển vọng tương lai của Trav-elex; với việc tái cấu trúc doanh nghiệp đã giữ lại 1.802 nhân lực tại Vương quốc Anh và 36.356 nhân lực quốc tế.

Điểm đáng quan tâm là uy tín của Travelex đã chịu một đòn nặng nề khi sự thật được tiết lộ rằng, đã có những cảnh báo về các lỗ hổng an ninh kỹ thuật số được đưa ra từ trước trong năm 2019, song không có hành động nào được thực hiện để giải quyết vấn đề này. Đây được coi là một yếu tố chính dẫn đến sự thành công của cuộc tấn công trên.

Vụ việc trên đã trở thành một hồi chuông cảnh tỉnh cho bất kỳ doanh nghiệp nào phớt lờ tầm quan trọng của bảo mật an ninh trên môi trường số. Các công ty nếu không rút được kinh nghiệm từ vụ việc của Travelex sẽ tiếp tục đối mặt với rủi ro đánh mất các dữ liệu quan trọng, ảnh hưởng nặng nề đến hoạt động của doanh nghiệp và phải đối mặt với những nguy cơ về trách nhiệm pháp lý.

3. THANH TOÁN SỐ TẠI VIỆT NAM

3.1. Thực trạng thanh toán số tại Việt Nam

Trong những năm gần đây, việc thanh toán không sử dụng tiền mặt đang là xu hướng của toàn cầu nói chung và của người tiêu dùng Việt Nam nói riêng, đặc biệt là sau đại dịch COVID-19. Đây có lẽ là kết quả tất yếu của các kênh cung cấp dịch vụ thanh toán trong việc chuyển đổi số dựa trên nền tảng công nghệ thông tin ngày càng hiện đại.

Theo số liệu từ Ngân hàng Nhà nước Việt Nam, so với cùng kỳ năm 2022, tính đến tháng 8/2023, giao dịch qua nền tảng số của người tiêu dùng tại Việt Nam đã gia tăng cả về số lượng và chất lượng. Theo đó, số lượng giao dịch thanh toán không dùng tiền mặt nói chung đã tăng 51,19%. Thanh toán qua kênh Internet tăng 76% về số lượng và 1,79% về giá trị; qua kênh điện thoại di động tăng 65% về số lượng và 77% về giá trị; qua phương thức QR Code tăng 152% về số lượng và 301% về giá trị). Ngoài ra, theo báo cáo từ McKinsey và Boku, dự kiến năm 2025 sẽ có một nửa dân số toàn cầu sử dụng ví điện tử để thanh toán.

Bảng 1: Số lượng người dùng thanh toán điện tử tại Việt Nam 2017-2025

Các hệ thống thanh toán như ATM, POS,... cũng đang ngày càng nhận được nhiều sự quan tâm từ phía các ngân hàng, góp phần quan trọng vào sự phát triển của thanh toán không dùng tiền mặt. Cụ thể, thị trường thẻ thanh toán ở Việt Nam được ghi nhận qua sự dịch chuyển xu hướng sử dụng khá sôi động từ thẻ từ qua thẻ chip, kết hợp với các phương thức định danh khách hàng điện tử (eKYC) để tăng khả năng bảo mật và tích hợp thông tin đối với khách hàng. Tính đến tháng 7/2023, đã có 27 ngân hàng triển khai việc sử dụng thẻ mở bằng eKYC và có gần 10,8 triệu trong số 140 triệu thẻ đang được lưu hành tại Việt Nam được mở bằng phương thức này. Ngoài ra, phần lớn số lượng thẻ đang được sử dụng tại Việt Nam là thẻ nội địa (103 triệu thẻ). Cũng trong giai đoạn này, toàn thị trường có hơn 21.369 ATM, hơn 477.909 POS (tăng tương ứng 3,31% và 28,86% so với cùng kì năm 2022). Có thể thấy rằng, hệ sinh thái số đang được đẩy mạnh một cách tích cực, giúp kết nối liên thông giữa các ngân hàng, tổ chức liên kết dịch vụ công để tối đa hoá trải nghiệm liền mạch cho người tiêu dùng.

Lĩnh vực thương mại điện tử cũng ghi nhận những dấu ấn của thanh toán không dùng tiền mặt. Theo Báo cáo Chỉ số Thương mại điện tử, trong giao dịch giữa doanh nghiệp với doanh nghiệp (B2B) năm 2022, phương thức thanh toán qua chuyển khoản Internet Banking chiếm độ phổ biến cao ngang với thanh toán tiền mặt, khi có tới 89% các doanh nghiệp có sử dụng. Tuy nhiên, đối với khách hàng, hình thức thanh toán không dùng tiền mặt này lại chưa thực sự phổ biến như thanh toán trực tiếp (COD), do khách hàng còn những lo ngại về việc lộ thông tin cá nhân, hoặc các bước thực hiện thanh toán qua các nền tảng mua sắm trực tiếp còn phức tạp và thiếu chuyên nghiệp.

Các phương thức thanh toán được doanh nghiệp sử dụng

3.2. Vấn đề về bảo mật khi thanh toán số tại Việt Nam

Việc bùng nổ thanh toán không dùng tiền mặt, đặc biệt là ở các thành phố lớn là xu thế đã được dự đoán, tuy nhiên, điều này cũng dấy lên mối lo ngại về vấn đề bảo mật an toàn thông tin trong thanh toán. Theo báo cáo của Chính phủ về công tác phòng, chống tội phạm và vi phạm pháp luật năm 2023, số vụ lừa đảo chiếm đoạt tài sản đã tăng hơn 61%, trong đó chiếm tỷ lệ lớn là lừa đảo trực tuyến và sử dụng công nghệ cao. Những mối nguy hiểm này có thể đến từ sự bảo mật yếu của hệ thống ứng dụng thanh toán, nhưng cũng có thể do sự bất cẩn của khách hàng.

Trước hết, người dùng phải đối mặt với nguy cơ bị tiết lộ thông tin, chiếm đoạt tài sản. Thời gian gần đây đã ghi nhận những trường hợp khách hàng bị tiết lộ CCCD/CMND để tạo tài khoản ngân hàng nhưng không hề hay biết. Mặc dù hành động này chưa diễn ra một cách phổ biến nhưng người dân vẫn cần nâng cao cảnh giác để bảo vệ chính bản thân mình.

Ngoài ra, việc tấn công cài mã độc để ăn cắp mã xác thực, lừa đảo chiếm đoạt tài sản (malware) cũng là mối nguy hại. Điều này xảy ra do người Việt Nam có thói quen ưu tiên sử dụng những phần mềm miễn phí hơn so với các phần mềm trả phí có cùng chức năng và thường không hay chú trọng đến vấn đề diệt virus cho thiết bị. Đi kèm với những phần mềm miễn phí này thường là những quảng cáo hay tệp đính kèm tiềm ẩn mã độc. Một khi vô tình kích hoạt những tệp độc hại này, xác suất người sử dụng hoàn toàn mất quyền kiểm soát thiết bị vào tay kẻ lừa đảo sẽ rất cao. Người dùng sẽ khó có thể truy cập hay ngăn chặn quyền truy cập các ứng dụng trong thiết bị và có nguy cơ mất sạch tài khoản cũng như các thông tin cá nhân riêng tư.

Một mối đe dọa điển hình khác cũng có thể thấy đó là thủ đoạn mạo danh cơ quan chức năng để lừa người dân nộp tiền qua không gian mạng (phishing). Mặc dù nhận thức được những nguy hiểm nhưng đôi khi người dân vẫn khó có thể cảnh giác trước những chiêu trò câu dẫn tinh vi của kẻ xấu, đặc biệt là khi kẻ xấu mạo danh các cơ quan chức năng. Hacker có thể xây dựng những ứng dụng tương tự ứng dụng chính thống của cơ quan Công an, yêu cầu người dân tải về để đăng nhập và nộp tiền. Một khi đăng nhập thì đồng nghĩa với việc người dân đã để lộ tất cả những mật khẩu tài khoản của mình cho kẻ xấu. Khác với việc bị động khi ứng dụng ngân hàng bị hack, trong trường hợp này chính khách hàng là người chủ động cung cấp quyền truy cập thiết bị của mình cho kẻ lừa đảo, dẫn đến việc bị lừa là không thể tránh khỏi.

3.3. Điểm lại các trường hợp vi phạm an toàn thanh toán số trong năm 2023

Theo số liệu của Cục An toàn thông tin, Bộ Thông tin và Truyền thông, trong 6 tháng đầu năm, tình hình lừa đảo trực tuyến tại Việt Nam tăng 64,78% so với cùng kỳ năm 2022. Trong 11 tháng đầu năm 2023, 16.000 phản ánh về trường hợp lừa đảo do người dùng Internet Việt Nam được gửi đến qua các hệ thống cảnh báo, trong đó hơn 91% cảnh báo này liên quan đến giả mạo, lừa đảo trong lĩnh vực ngân hàng - tài chính. Tội phạm trên không gian mạng hiện nay không chỉ xuất hiện với tần suất ngày càng phổ biến với các thủ đoạn tinh vi, liên tục biến đổi khó lường, mà còn có các hình thức lừa đảo mới như cuộc gọi giả mạo Deepfake, lừa đảo qua quét mã QR Pay...

Năm 2023, Việt Nam xuất hiện nhiều nhóm đối tượng lợi dụng công nghệ “Deepfake” để thực hiện các cuộc gọi video với hình ảnh, khuôn mặt giả mạo nhằm thực hiện các cuộc gọi lừa đảo trực tuyến. Deepfake được xây dựng trên nền tảng học máy (machine learning) mã nguồn mở của Google. Công nghệ này sẽ quét video và ảnh chân dung của một người sau đó gán khuôn mặt của người này sang người khác trong video với độ chân thực đến kinh ngạc. Càng có nhiều hình ảnh gốc thì AI càng có nhiều dữ liệu để học. Ngày nay, việc mọi người thường xuyên chụp ảnh, quay video ở nhiều góc độ, sắc thái khác nhau và chia sẻ công khai rộng rãi trên mạng xã hội trở thành “mỏ vàng” dữ liệu cho những kẻ xấu thu thập để thực hiện những cuộc gọi video ngắn với mục đích vay một số tiền lớn. Đáng nói, đối tượng lừa đảo sẽ gửi thông tin tài khoản có họ tên trùng với chủ tài khoản mạng xã hội để nạn nhân tin tưởng và chuyển tiền. “Deepfake đang trở thành mối đe dọa thật sự.” (Hãng bảo mật Kaspersky). Với sự bùng nổ của trí tuệ nhân tạo, năm 2024, ChatGPT và Deepfake sẽ được sử dụng để tự soạn các kịch bản lừa đảo nhằm chiếm đoạt tiền của nạn nhân, đòi hỏi sự cảnh giác cao độ của người dân và sự vào cuộc kịp thời của chính phủ cũng như toàn xã hội.

Bên cạnh lừa đảo qua công nghệ Deepfake, tình trạng lừa đảo bằng mã QR cũng ghi nhận tăng mạnh trên thế giới và cũng đã xuất hiện tại Việt Nam (Cục An toàn thông tin, Bộ Thông tin và Truyền thông). Với tiện ích và mức độ phổ biến ngày càng rộng rãi của mã QR, các nhóm tội phạm mạng đã lợi dụng để tạo ra mã QR độc hại nhằm lừa lấy tài khoản ngân hàng hoặc thông tin cá nhân người dùng. Hình thức mới này bao gồm việc gửi mã QR thông qua các mạng xã hội như Zalo, Facebook, Viber, nơi kẻ gian sử dụng mã QR độc hại để điều hướng người dùng đến các trang web giả mạo, yêu cầu nhập thông tin tài khoản. Khi người dùng cung cấp thông tin, kẻ lừa đảo có thể chiếm quyền sử dụng tài khoản internet banking hoặc thẻ tín dụng để tiến hành các giao dịch lừa đảo và chiếm đoạt tiền. Thêm vào đó, các nhóm tội phạm cũng đã sử dụng chiêu thức giả mạo mã QR tại các cửa hàng và điểm thanh toán để đánh lừa người tiêu dùng. Họ in ra mã QR chứa thông tin tài khoản của họ, dán lên mã QR chính thức tại các cửa hàng hoặc điểm thanh toán. Khi người tiêu dùng quét mã QR để thanh toán, tiền không đi đến người bán hàng như mong đợi mà thực tế được chuyển đến tài khoản của kẻ lừa đảo.

Tương tự như các hình thức lừa đảo trực tuyến khác, việc sử dụng tài khoản không chính chủ để nhận tiền khiến việc truy tìm trở nên khó khăn hơn. Trên thị trường ngầm, tài khoản ngân hàng không hợp pháp có thể được mua bán với giá khoảng 2-3 triệu đồng. Sự hấp dẫn về lợi nhuận lớn từ các vụ lừa đảo này khiến kẻ gian sẵn sàng bỏ ra số tiền đó để tiến hành các hành vi gian lận.

3.4. Các giải pháp hiện thời của Chính phủ và ngành Ngân hàng

Trong bối cảnh tình hình lừa đảo trực tuyến tại Việt Nam tăng đáng kể, Chính phủ và ngành Ngân hàng đã thực hiện nhiều biện pháp nhằm giảm thiểu rủi ro cho người dùng.

Một trong những nỗ lực đáng chú ý là việc thiết lập cơ sở dữ liệu quốc gia chống lừa đảo trực tuyến và xây dựng hệ thống kỹ thuật kết nối với các nhà mạng. Nhờ kết nối này, việc chặn các trang web lừa đảo trực tuyến trở nên nhanh chóng hơn, giúp giảm thiểu rủi ro cho người dùng. Bên cạnh đó, Bộ Thông tin và Truyền thông cũng tổ chức các cuộc diễn tập với các ngân hàng, công ty tài chính để phát hiện sớm các lỗ hổng điểm yếu. Ngoài việc thiết lập hệ thống giả lập, còn diễn tập trên hệ thống thật nhằm phát hiện các điểm yếu để khắc phục.

Liên quan đến pháp lý bảo đảm an toàn an ninh mạng, đến nay, Chính phủ đã hoàn thiện hành lang pháp lý. Luật Giao dịch điện tử (sửa đổi) được Quốc hội thông qua vào tháng 6/2023 vừa qua và có hiệu lực thi hành từ ngày 1/7/2024 sẽ thúc đẩy giao dịch điện tử, tạo đột phá cho chuyển đổi số hoạt động đầu tư kinh doanh cũng như hệ thống ngân hàng. Luật sửa đổi có ý nghĩa rất quan trọng đối với lộ trình chuyển đổi số của nền kinh tế nói chung, giúp các ngành, lĩnh vực trong đó có lĩnh vực ngân hàng có cơ sở pháp lý hoàn thiện để đẩy mạnh các hoạt động giao dịch điện tử, chuyển đổi số thành công.

Về “bài toán” rủi ro thanh toán, Ngân hàng Nhà nước sẽ có những chỉ đạo quyết liệt liên quan đến vấn đề sử dụng thông tin không chính chủ. Bởi, không một kẻ lừa đảo nào sử dụng chính thông tin của bản thân để thực hiện hành vi lừa đảo mà đều thông qua việc thuê, mượn, mua, bán tài khoản. Đồng thời, xây dựng hệ sinh thái chung, từng bước kết hợp các hạ tầng và khai thác hiệu quả, góp phần phòng chống gian lận lừa đảo. Các ngân hàng thương mại vẫn sẽ tiếp tục đầu tư các công nghệ mới để đưa thêm dịch vụ. Bên cạnh đó, khi lượng giao dịch thanh toán bằng tiền mặt không còn nhiều, thanh toán không dùng tiền mặt tăng lên, ngân hàng cũng đảm bảo tính ổn định cho hệ thống, đặc biệt trong những ngày thanh toán đặc biệt, số lượng giao dịch tăng đột biến.

4. CÁC KHUYẾN NGHỊ

Dựa trên kinh nghiệm quốc tế, Việt Nam có thể học hỏi và áp dụng các biện pháp hiệu quả để nâng cao mức độ bảo mật, đồng thời đảm bảo trải nghiệm thuận tiện và an toàn cho người dùng. Dưới đây là một vài khuyến nghị cụ thể nhằm đáp ứng nhu cầu đó, với mục tiêu tạo dựng một môi trường thanh toán số an toàn và đáng tin cậy tại Việt Nam.

Thứ nhất, cần có một hành lang pháp lý đầy đủ hơn về việc thanh toán trên môi trường số. Các quy định tại Thông tư 06/2023/TT-NHNN, cùng với việc Luật Các tổ chức tín dụng (sửa đổi) vừa được Quốc hội thông qua, tích hợp ứng dụng công nghệ số vào các hoạt động ngân hàng, không chỉ góp phần cải thiện quy định pháp lý mà còn thúc đẩy sự minh bạch và an toàn trong các giao dịch. Đồng thời, Chính phủ cần sớm công bố Nghị định thay thế Nghị định 101/2012/NĐ-CP về thanh toán không dùng tiền mặt và cơ chế thử nghiệm (Regulatory Sandbox) trong lĩnh vực công nghệ tài chính. Điều này tạo điều kiện cho sự đổi mới, thử nghiệm các sản phẩm, dịch vụ tài chính mới mà không làm giảm sự an toàn, bảo mật.

Thứ hai, các ngân hàng cần tăng cường bảo mật bằng các công cụ chất lượng cao để giảm tần suất và mức độ nghiêm trọng của các vụ vi phạm dữ liệu. Đầu tư vào công nghệ tiên tiến không chỉ giúp tận dụng sự quan tâm của người tiêu dùng đối với ngân hàng số, mà còn giữ chân khách hàng trong dài hạn. Điều này đặc biệt quan trọng trong bối cảnh thanh toán số ngày càng trở nên phổ biến.

Một trong những công nghệ bảo mật hiện đại được ưa chuộng là Tokenization. Quá trình này biến đổi dữ liệu nhạy cảm, như số tài khoản, thành chuỗi ký tự ngẫu nhiên (token), không mang giá trị nếu bị vi phạm. Cách tiếp cận này không dựa trên toán học để chuyển đổi thông tin, mà sử dụng cơ sở dữ liệu để lưu trữ mối quan hệ giữa giá trị nhạy cảm và token. Nhờ vậy, thông tin thực tế được bảo mật hiệu quả. Nhận diện số hóa (digital identities) cũng là một giải pháp quan trọng. Số hóa tạo ra đại diện kỹ thuật số cho các đối tượng vật lý, dễ dàng lưu trữ, truy cập và truyền tải. Điều này giúp tăng cường khả năng bảo vệ dữ liệu và thông tin cá nhân của khách hàng. Ngoài ra, còn có công nghệ xác thực đa nhân tố (MFA). Đây là phương pháp bảo mật thông qua việc kết hợp nhiều yếu tố xác thực, từ thông tin đăng nhập đến thông tin phản hồi từ thiết bị MFA. Sự kết hợp này cung cấp bảo mật nâng cao, giúp ngăn chặn hiệu quả các cuộc tấn công mạng và gian lận.

Thứ ba, nâng cao nhận thức và giáo dục khách hàng là chìa khóa quan trọng trong việc bảo vệ thanh toán điện tử trong kỷ nguyên số. Các doanh nghiệp, tổ chức tài chính và ngân hàng, cùng với sự hỗ trợ của chính phủ, cần tập trung vào công tác truyền thông, nhất là với nhóm người trung niên và lớn tuổi, những người dễ bị tác động bởi tội phạm mạng do hạn chế về hiểu biết công nghệ thông tin.

Giáo dục khách hàng không chỉ là việc chia sẻ kiến thức về các sản phẩm và dịch vụ mà còn bao gồm việc giải thích về lợi ích và cách thức sử dụng an toàn. Mặc dù không cần thiết phải hiểu sâu về công nghệ bảo mật, người tiêu dùng cần được trang bị kiến thức cơ bản để tự bảo vệ mình trước các nguy cơ trực tuyến. Các báo cáo như từ Entrust chỉ ra rằng, mặc dù đa số người dùng biết đến các biện pháp bảo mật cơ bản như mật khẩu và xác thực hai yếu tố, họ vẫn cần được giáo dục thêm về các tính năng bảo mật nâng cao như xác thực đa yếu tố và sinh trắc học.

Đối với những thách thức từ các hình thức lừa đảo sử dụng trí tuệ nhân tạo như deepfake, người dân cần được trang bị kiến thức để nhận diện và phòng tránh. Các biện pháp có thể bao gồm: xác thực danh tính khi nhận cuộc gọi hoặc tin nhắn nghi ngờ, cảnh giác với các yêu cầu chuyển tiền, không chia sẻ thông tin cá nhân trên mạng xã hội, sử dụng phần mềm bảo mật và tuân thủ nguyên tắc bảo vệ thông tin cá nhân và tài khoản.

Cuối cùng, việc tự bảo vệ thông tin cá nhân, tài khoản ngân hàng và ví điện tử khỏi bị lợi dụng là vô cùng cần thiết. Người dân cần chủ động không chia sẻ, mua bán hoặc trao đổi thông tin tài chính dưới mọi hình thức. Việc tăng cường nhận thức và giáo dục không chỉ là trách nhiệm của các cơ quan quản lý và tổ chức tài chính mà còn là nghĩa vụ của mỗi cá nhân trong xã hội 

TÀI LIỆU THAM KHẢO:

Tiếng Việt

- Bộ Thông tin và Truyền thông (2023), Cẩm nang Chuyển đổi số

- Hải Anh (2023), Thúc đẩy thị trường thẻ hướng đến xã hội không tiền mặt và tài chính toàn diện, Tạp chí Ngân hàng, truy cập lần cuối ngày 23 tháng 12 năm 2023, từ <https://tapchinganhang.gov.vn/thuc-day-thi-truong-the-huong-den-xa-hoi-khong-tien-mat-va-tai-chinh-toan-dien.html>;

- Loan Chi (2022), Bảo mật luôn là điểm nóng của thanh toán không tiền mặt, Thanh niên, truy cập lần cuối ngày 23 tháng 12 năm 2023, từ <https://thanhnien.vn/bao-mat-luon-la-diem-nong-cua-thanh-toan-khong-tien-mat-1851443816.htm#>;

- Phương Linh (2023), Thúc đẩy thanh toán không tiền mặt: Hướng đến tiện lợi cho người dùng, đảm bảo an ninh, bảo mật, Ngân hàng Nhà nước Việt Nam, truy cập lần cuối ngày 23 tháng 12 năm 2023, từ <https://www.sbv.gov.vn/webcenter/portal/m/menu/trangchu/ttsk/ttsk_chitiet?leftWidth=0%25&showFooter=false&showHeader=false&dDocName=SBV576636&rightWidth=0%25¢erWidth=100%25&_afrLoop=38794657495809466#%40%3F_afrLoop%3D38794657495809466%26centerWidth%3D100%2525%26dDocName%3DSBV576636%26leftWidth%3D0%2525%26rightWidth%3D0%2525%26showFooter%3Dfalse%26showHeader%3Dfalse%26_adf.ctrl-state%3Dvg8g2oxri_9>;

- NN (2023), Số hóa ngành Ngân hàng giúp tăng khả năng tiếp cận của người dân đối với dịch vụ tài chính, Ngân hàng Nhà nước Việt Nam, truy cập lần cuối ngày 23 tháng 12 năm 2023, từ <https://sbv.gov.vn/webcenter/portal/vi/menu/trangchu/ttsk/ttsk_chitiet?leftWidth=20%25&showFoot-er=false&showHeader=false&dDocName=SBV577472&rightWidth=0%25¢erWidth=80%25&_afrLoop=38797035817770466#%40%3F_afrLoop%3D38797035817770466%26centerWidth%3D80%2525%26dDocName%3DSBV577472%26leftWidth%3D20%2525%26rightWidth%3D0%2525%26showFooter%3Dfalse%26showHeader%3Dfalse%26_adf.ctrl-state%3D16zfqy35fa_9>;

- Vecom (2023), Báo cáo Chỉ số Thương mại điện tử Việt Nam 2023, truy cập lần cuối ngày 23 tháng 12 năm 2023, từ <https://drive.google.com/file/d/1roLDY1WXSr77kK7FXxu6Lk5bVibw8iAS/view>;

- Phạm Thúy Hồng, Lê Nhữ Diệu Hương, Nguyễn Thị Thùy Dương (2023), Người tiêu dùng số và thanh toán trực tuyến không dùng tiền mặt tại Việt Nam, Tạp chí Tài chính, truy cập lần cuối ngày 23 tháng 12 năm 2023, từ <https://tapchitaichinh.vn/nguoi-tieu-dung-so-va-thanh-toan-truc-tuyen-khong-dung-tien-mat-tai-viet-nam.html>;

- Quốc Lê (2023),Thận trọng thủ đoạn lừa đảo trực tuyến dịp cuối năm, Báo điện tử VTV, truy cập lần cuối ngày 23 tháng 12 năm 2023, từ <https://vtv.vn/kinh-te/than-trong-thu-doan-lua-dao-truc-tuyen-dip-cuoi-nam-20231203111057587.htm>;

Tiếng Anh

- IMF (2021), Operational Resilience in Digital Payments: Experiences and Issues

- Schram J (2016), ‘Congresswoman wants probe of ‘brazen’ $81M theft from New York Fed’, New York Post,

- KPMG (2021), Đánh giá tuân thủ bảo mật cho hệ thống SWIFT.

- Alaa Mahdi Sahi, Haliyana Khalid, Alhamzah F. Abbas, Khaled Zedan, Saleh F. A. Khatib & Hamzeh Al Amosh (2022), ‘The Research Trend of Security and Privacy in Digital Payment’, Informatics, retrieved on December 20th 2023, from <https://www.mdpi.com/2227-9709/9/2/32>;

- Mafruz Zaman Ashrafi & See Kiong Ng (2008), ‘Privacy-preserving e-payments using one-time payment details’, ScienceDirect, retrieved on December 20th 2023, from <https://www.sciencedirect.com/science/article/abs/pii/S0920548908000561>;

Bài đăng trên Tạp chí Thị trường Tài chính Tiền tệ số 2 năm 2024