Yêu cầu xác minh danh tính và một số chính sách phòng, chống gian lận kỹ thuật số tại Thái Lan

Tóm tắt: Kế hoạch kinh tế 4.0 của Chính phủ Thái Lan nhằm mục đích cải thiện cơ sở hạ tầng kỹ thuật, thúc đẩy số hóa và tiến bộ công nghệ của đất nước. Là một phần của chiến lược này, thanh toán kỹ thuật số không tiếp xúc ngày càng trở nên quan trọng và phổ biến tại Thái Lan. Sự gia tăng của thanh toán không tiếp xúc mang lại nhiều lợi ích, chẳng hạn như tăng sự thuận tiện và tốc độ giao dịch, nhưng cũng đặt ra những thách thức mới về rủi ro tội phạm tài chính. Các đối tượng lừa đảo tội phạm liên tục điều chỉnh các kỹ thuật của chúng để khai thác kẽ hở trong hệ sinh thái số. Tội phạm mạng là một vấn đề cấp bách của Thái Lan khi quốc gia này đứng đầu Đông Nam Á về lừa đảo trực tuyến, với gần 80% tội phạm mạng là xuất phát từ các cuộc tấn công lừa đảo được báo cáo1. Trước bối cảnh đó, Chính phủ Thái Lan và các bộ, ngành liên quan, trong đó có Ngân hàng Trung ương Thái Lan đã triển khai nhiều chính sách nhằm nỗ lực bảo vệ người tiêu dùng cũng như doanh nghiệp khỏi gian lận, lừa đảo và các tội phạm tài chính khác.

Từ khóa: Kinh tế 4.0, số hóa, thanh toán kỹ thuật số, thanh toán không tiếp xúc

IDENTITY VERIFICATION REQUIREMENTS AND SOME POLICIES FOR DIGITAL FRAUD PREVENTION IN THAILAND

Abstract: The Thai Government's Economic Plan 4.0 (Thailand 4.0) aims to improve the national tech-nical infrastructure, promoting digitalization and technological advancement. As part of this strategy, contactless digital payments are becoming increasingly important and popular in Thailand. The growth of contactless payment transactions brings many benefits, such as in-creasing convenience and transaction speed, but also poses new challenges in terms of financial crime risks. Criminal fraudsters continually adapt their techniques to exploit loopholes in the digital ecosystem. Cybercrime is an urgent problem for Thailand as the country leads Southeast Asia in online fraud, with nearly 80% of cybercrime stemming from reported phishing attacks1. In this context, Thai Government and relevant ministries, including the Bank of Thailand, have implemented many policies in an effort to protect consumers and businesses from fraud, scams and other financial crimes.

Keywords: 4.0 economy, digitization, digital payment, contactless payment

1. CÁC CỘT MỐC QUAN TRỌNG TRONG CHÍNH SÁCH CỦA THÁI LAN NHẰM CHỐNG GIAN LẬN KỸ THUẬT SỐ

Các cơ quan chức năng của Thái Lan đã nghiên cứu, ban hành nhiều biện pháp để giải quyết vấn đề gian lận trên môi trường số ở Thái Lan. Các biện pháp bao gồm báo cáo trực tuyến, đình chỉ tài khoản, trao đổi thông tin, cập nhật hệ thống bảo mật, xác thực sinh trắc học và giới hạn giao dịch, cụ thể:

Năm 2004: Thái Lan triển khai thẻ ID thông minh cho người dân với quan điểm người dân có thể sử dụng thẻ của mình cho nhiều mục đích.

Năm 2018: Cục Quản lý hành chính tỉnh (DOPA) cho phép các ngân hàng truy cập và kiểm tra thông tin căn cước công dân (CCCD), bao gồm cả tính hợp lệ của cơ sở dữ liệu do phát sinh vấn đề tại 2 ngân hàng chấp nhận CCCD bị đánh cắp để mở tài khoản vì thiếu đồng bộ giữa ngân hàng và cơ sở dữ liệu công dân.

Năm 2019: Ngân hàng Trung ương Thái Lan (BOT) ban hành thông báo số FPG. 19/2562 yêu cầu các ngân hàng sử dụng đầu đọc thẻ thông minh và dữ liệu sinh trắc học so sánh với cơ sở dữ liệu chính phủ khi mở tài khoản cho khách hàng.

Năm 2022: AMLO (Cơ quan phòng chống rửa tiền) ban hành hướng dẫn về nhận biết, xác minh khách hàng (CDD) trong hoạt động ngân hàng, trong đó đề nghị ngân hàng kiểm tra thông tin khách hàng bằng đầu đọc thẻ CCCD.

Bộ Truyền thông và công nghệ thông tin Thái Lan ban hành lệnh giới hạn 5 số điện thoại di động/người.

Năm 2023: Thủ tướng Thái Lan ban hành Nghị định Hoàng gia về các biện pháp phòng ngừa, trấn áp tội phạm công nghệ.

Tại Nghị định về các biện pháp phòng ngừa và trấn áp tội phạm công nghệ có hiệu lực từ ngày 17/3/2023, có quy định xác định cụ thể các hành vi vi phạm và hình phạt liên quan đến hành vi, cụ thể: (i) Cho phép người khác sử dụng tài khoản ngân hàng, thẻ điện tử, tài khoản tiền điện tử, số điện thoại của mình cho hoạt động tội phạm – được gọi là “tài khoản con la”: phạt tù lên tới 3 năm và/hoặc phạt tiền lên tới 300.000 THB; (ii) Tạo điều kiện hoặc quảng cáo cho việc tạo “tài khoản con la”: phạt tù từ 2 - 5 năm và phạt tiền từ 200.000 - 500.000 THB.

2. VỀ DANH TÍNH SỐ QUỐC GIA (NATIONAL DIGITAL ID) CỦA THÁI LAN

NDID là nền tảng số quốc gia, được thành lập dưới sự hợp tác, hỗ trợ và tăng tốc giữa tất cả các bên liên quan cả khu vực công và khu vực tư để xây dựng nền tảng chia sẻ dữ liệu và nhận dạng kỹ thuật số đáng tin cậy. Nền tảng NDID sử dụng công nghệ Blockchain và kết nối với nhiều tổ chức và ngành. Nền tảng này có các mức độ đảm bảo danh tính (IAL) và đảm bảo xác thực (AAL) khác nhau dựa trên bằng chứng và yếu tố được sử dụng. Ý tưởng này cho phép một tổ chức có thể tham chiếu kết quả xác thực từ tổ chức khác nơi khách hàng đã thực hiện quy trình xác thực. NDID đặt mục tiêu số hóa cơ sở hạ tầng của đất nước, có thể giúp xây dựng các dịch vụ và doanh nghiệp sáng tạo mới trong nền kinh tế kỹ thuật số.

Nền tảng NDID nhằm mục đích cung cấp phương pháp tự nhận dạng linh hoạt và có độ bảo mật cao. Nền tảng này được phát triển theo khái niệm công nghệ Blockchain và được kết nối với nhiều nút Blockchain từ các tổ chức và ngành khác nhau. Nền tảng NDID có các vai trò sau:

(i) Người dùng sẽ tương tác với Bên phụ thuộc (RP) (ví dụ: ngân hàng, công ty cho vay, công ty chứng khoán…) để nhận dịch vụ – ngoại tuyến hoặc trực tuyến. Để thực hiện dịch vụ thành công, người dùng có nghĩa vụ phải chứng minh danh tính của mình dưới hình thức xác nhận danh tính trực tuyến hoặc ngoại tuyến với bất kỳ Nhà cung cấp danh tính (IdP) (Ví dụ Kbank, SCB, BBL,..) đang nắm giữ danh tính của họ.

(ii) Bên có thẩm quyền xác thực (AS) (Ví dụ Ngân hàng Trung ương) được coi là bên có Nguồn Sự thật (Source of Truth) cho bất kỳ thông tin nào có liên quan đến người dùng. Hiện tại có nhiều thực thể Nguồn Sự thật. Mỗi thực thể có thể giữ một hoặc nhiều phân loại thông tin người dùng. RP có thể yêu cầu thêm thông tin người dùng từ AS, nếu cần, dưới sự cho phép của người dùng.

Hai quy trình chính khi sử dụng NDID là: (1) Đăng ký và xác minh danh tính (nhận ID kỹ thuật số): Trước tiên, người dùng cần đăng ký với Nhà cung cấp danh tính (IdP) để bắt đầu. Họ sẽ xác minh danh tính của người dùng (chứng minh danh tính) và sau đó cung cấp cho người dùng danh tính kỹ thuật số cùng với trình xác thực mà người dùng sử dụng để xác minh thông tin xác thực của mình. Người dùng có thể đăng ký với nhiều IdP để tăng cường bảo mật; (2) Xác thực và ủy quyền truy cập dữ liệu (sử dụng ID số): Điều này xảy ra khi người dùng sử dụng dịch vụ cần xác thực bằng ID số. Bên phụ thuộc (RP) người cung cấp dịch vụ cho người dùng sẽ truy vấn IdP, IdP theo đó sẽ yêu cầu người dùng cung cấp giấy ủy quyền bằng cách sử dụng ứng dụng xác thực (authenticator) và cho phép RP truy cập dữ liệu (ủy quyền truy cập dữ liệu) được cung cấp bởi Bên có thẩm quyền xác thực (AS).

Tháng 3/2023, Chính phủ Thái Lan đã chính thức ra mắt ứng dụng định danh di động ThaID (THAI-I-D), một bước phát triển lớn trong giao dịch kỹ thuật số để xác minh danh tính cá nhân. Ứng dụng loại bỏ nhu cầu nhập dữ liệu, giúp quá trình này trở nên thuận tiện, nhanh chóng và an toàn. Thủ tướng Prayut Chanocha đã chủ trì lễ ra mắt chính thức hệ thống nhận dạng khuôn mặt và xác minh danh tính kỹ thuật số. Cục Quản lý hành chính tỉnh đã phát triển ứng dụng này để tạo điều kiện tiếp cận các dịch vụ từ khu vực công hoặc tư nhân yêu cầu xác nhận danh tính. Đến nay, đã có 44 cơ quan nhà nước áp dụng hệ thống này và hơn 380.000 người đã đăng ký sử dụng dịch vụ của hệ thống. Cục Quản lý hành chính tỉnh cũng nhấn mạnh sự cần thiết phải nâng cao nhận thức của người dân về ứng dụng ThaID trên toàn bộ 878 huyện và 76 tỉnh. Sáng kiến này bao gồm việc thúc đẩy việc tải xuống và sử dụng ứng dụng, đặc biệt là trong thế hệ trẻ, nhằm tối đa hóa lợi ích của ứng dụng cho mọi gia đình.

Thủ tướng Thái Lan Prayut tái khẳng định quyết tâm của Chính phủ trong việc đưa Thái Lan chuyển sang xã hội kỹ thuật số phù hợp với chính sách 4.0. Ông nhấn mạnh, công nghệ số giúp nâng cao năng lực dịch vụ công của các cơ quan nhà nước, giúp họ dễ tiếp cận hơn đồng thời giảm chi phí. Ông nói thêm rằng, hy vọng ứng dụng sẽ được phát huy tối đa tiềm năng của nó.

3. QUY ĐỊNH CỦA BOT VỀ XÁC MINH SINH TRẮC HỌC KHÁCH HÀNG VÀ TRIỂN KHAI TẠI NGÂN HÀNG THƯƠNG MẠI THÁI LAN

Chính sách của BOT cho phép sinh trắc học khuôn mặt để kiểm tra eKYC được áp dụng từ quý III/2020. Công nghệ sinh trắc học bao gồm nhận dạng khuôn mặt và quét dấu vân tay. Có 6 (sáu) ngân hàng trong nước đã được BOT quyền thực hiện kiểm tra Nhận dạng khách hàng (eKYC) điện tử bằng sinh trắc học khuôn mặt, gồm: Ngân hàng Kasikorn, Ngân hàng Bangkok, Ngân hàng Thương mại Siam, Ngân hàng Ayudhya, Ngân hàng TMB và Ngân hàng CIMB Thái Lan.

Đối với việc mở tài khoản, BOT yêu cầu khi thực hiện mở tài khoản cho khách hàng, ngân hàng phải xác thực được chính xác thông tin trên Căn cước thông qua thiết bị đọc chip CCCD tại quầy giao dịch hoặc tại máy giao dịch tự động.

Bên cạnh đó, BOT đã triển khai các chính sách của Chính phủ Thái lan về chống tội phạm trực tuyến thông qua việc hướng dẫn các tổ chức tài chính tăng cường các biện pháp phòng ngừa, bao gồm yêu cầu xác minh sinh trắc học đối với các giao dịch ngân hàng di động. Theo đó, khách hàng của ngân hàng muốn chuyển hơn 50.000 THB (khoảng 35 triệu VNĐ) thông qua ứng dụng ngân hàng di động sẽ phải sử dụng xác minh sinh trắc học, chẳng hạn như quét khuôn mặt hoặc dấu vân tay, như một phần của quy trình. Xác minh sinh trắc học cũng sẽ được yêu cầu đối với những người dùng ứng dụng ngân hàng muốn nâng giới hạn chuyển tiền hàng ngày lên hơn 50.000 THB.

Các ngân hàng thương mại sẽ điều chỉnh lại hạn mức chuyển khoản hàng ngày để phù hợp hơn với rủi ro của các nhóm khách hàng khác nhau. Người dùng ứng dụng có thể thay đổi giới hạn nếu cần thiết nhưng phải trải qua quá trình xác minh nghiêm ngặt. Các biện pháp an ninh nâng cao đang được thực hiện để đối phó với sự gia tăng tội phạm công nghệ thông qua tin nhắn ngắn giả mạo, mạo danh trung tâm chăm sóc khách hàng và ứng dụng di động nhằm lừa mọi người thực hiện chuyển tiền hoặc kiểm soát điện thoại thông minh của họ từ xa và cuỗm đi tiền trong tài khoản ngân hàng của họ thông qua ứng dụng ngân hàng.

BOT cũng làm việc với các cơ quan trong và ngoài hệ thống tài chính để giải quyết vấn đề khi nhận được thông tin tố giác tội phạm (gồm: Nhóm ứng phó khẩn cấp máy tính ngành Ngân hàng Thái Lan, Bộ Kinh tế và Xã hội kỹ thuật số, Ủy ban Phát thanh và Truyền hình Quốc gia,..). Tuy nhiên, vẫn cần phải mất nhiều thời gian để các ngân hàng phong tỏa/khóa tài khoản khách hàng có giao dịch chuyển tiền đáng ngờ theo quy định và do đó, vẫn còn một số lượng lớn tài khoản ngân hàng bị lợi dụng cho giao dịch gian lận (tài khoản con la) được bọn tội phạm trực tuyến sử dụng.

Tháng 3/2023, BOT đã ban hành một bộ hướng dẫn chính sách nhằm đối phó với các mối đe dọa gian lận tài chính trong quá trình giao dịch tài chính và kéo dài thời gian áp dụng các biện pháp hỗ trợ tín dụng cho các doanh nghiệp cho đến ngày 9/4/2024.

Hướng dẫn quản lý gian lận tài chính cung cấp các biện pháp giúp các tổ chức tài chính ngăn ngừa rủi ro gian lận và giải quyết các vấn đề cho công chúng hiệu quả hơn bằng cách duy trì sự cân bằng giữa quản lý rủi ro và thúc đẩy các dịch vụ tài chính kỹ thuật số. BOT kêu gọi tất cả các tổ chức tài chính thực hiện các biện pháp trước tháng 3/2023. Hướng dẫn tập trung vào 3 công việc sau:

(1) Áp dụng các biện pháp phòng ngừa như hạn chế các tổ chức tài chính gửi tất cả các loại liên kết qua SMS, e-mail cũng như các liên kết yêu cầu thông tin quan trọng như tên người dùng, mật khẩu và số ID quốc gia qua mạng xã hội. Các ngân hàng nên giới hạn số lượng tài khoản ngân hàng di động (tên người dùng) chỉ được sử dụng trên 1 thiết bị. Các ngân hàng phải cung cấp thông báo cho người dùng ngân hàng di động trước mỗi giao dịch và phát triển hệ thống bảo mật trên ngân hàng di động để theo kịp các mối đe dọa tài chính mới. Các ngân hàng nên tăng cường các quy trình xác minh danh tính tối thiểu bằng cách sử dụng công nghệ để so sánh danh tính vật lý của khách hàng như sinh trắc học.

(2) Xây dựng các biện pháp phát hiện và theo dõi tài khoản đối với các giao dịch đáng ngờ nhằm giúp tổ chức tài chính hạn chế thiệt hại nhanh hơn và giảm việc sử dụng tài khoản sử dụng phục vụ lừa đảo (2) (horse account).

(3) Có các biện pháp phản ứng và đối phó kịp thời để giải quyết vấn đề của nạn nhân nhanh hơn, bao gồm việc cung cấp đường dây nóng 24 giờ để cho phép người dùng báo cáo sự cố càng sớm càng tốt.

4. MỘT SỐ GỢI Ý CHÍNH SÁCH CHO VIỆT NAM

Tội phạm trên không gian mạng có xu hướng gia tăng và diễn biến ngày càng phức tạp với nhiều hình thức, thủ đoạn tinh vi. Đây không chỉ là vấn đề của riêng ngành Ngân hàng mà còn của cả xã hội. Trên cơ sở những kinh nghiệm, bài học của Thái Lan, có thể cân nhắc áp dụng một số biện pháp sau:

- Thúc đẩy triển khai kết nối khai thác dữ liệu dân cư quốc gia, thông tin CCCD gắn chip, tài khoản định danh và xác thực điện tử đã được cơ quan chức năng (Bộ Công an) xác nhận chính xác danh tính để phục vụ việc xác minh thông tin nhận biết khách hàng trong cung ứng dịch vụ, góp phần ngăn chặn tội phạm mạo danh, sử dụng giấy tờ giả mạo đăng ký sử dụng dịch vụ.

- Tăng cường sự phối hợp giữa ngân hàng với đơn vị viễn thông trong quản lý, xác minh khách hàng đảm bảo sự thống nhất, phù hợp thông tin giữa chủ thuê bao đăng ký dịch vụ viễn thông với chủ tài khoản.

- Xem xét áp dụng biện pháp yêu cầu xác minh khách hàng bằng yếu tố sinh trắc học đối với những giao dịch thanh toán điện tử có giá trị vượt ngưỡng nhất định.

- Xây dựng dữ liệu tài khoản liên quan đến tội phạm hoặc tài khoản, giao dịch có dấu hiệu đáng ngờ phục vụ gian lận lừa đảo,... để giúp các ngân hàng có thêm thông tin nhằm phát hiện và theo dõi xử lý kịp thời giúp hạn chế thiệt hại và góp phần ngăn ngừa, giảm thiểu việc sử dụng tài khoản sử dụng phục vụ lừa đảo, phạm tội.

- Rà soát, nghiên cứu sửa đổi bổ sung các quy định về xử phạt đối với hành vi sử dụng hoặc cho người khác sử dụng tài khoản, thuê bao di động của mình cho các hoạt động phạm tội, lừa đảo.

- Tăng cường truyền thông, giáo dục tài chính để người dân chủ động phòng, tránh tội phạm công nghệ và sử dụng dịch vụ kỹ thuật số một cách an toàn.

CHÚ THÍCH

1 Tham khảo: https://www.pacificprime.co.th/blog/cybercrime-thailand-trends/

2 Thái Lan sử dụng thuật ngữ “horse account” là tài khoản phục vụ cho các mục đích gian lận, lừa đảo, tương tự thuật ngữ “tài khoản con la” ở châu Âu.

Bài đăng trên Tạp chí Thị trường Tài chính Tiền tệ số 2 năm 2024