Theo Quyết định số 2345/QĐ-NHNN của Ngân hàng Nhà nước Việt Nam, từ ngày 1/7/2024, khách hàng của các ngân hàng khi thực hiện một số giao dịch trực tuyến sẽ bắt buộc xác thực bằng sinh trắc học khuôn mặt khớp đúng với dữ liệu được lưu trữ trong chip của căn cước công dân (CCCD). Phương thức xác thực này nhằm bảo đảm an toàn giao dịch cho khách hàng, tránh bị kẻ gian lừa đảo, chiếm đoạt tài sản.
Quyết định số 2345 quy định các trường hợp cần xác thực bằng sinh trắc học gồm: giao dịch chuyển tiền trên 10 triệu đồng giao dịch; giao dịch có tổng mức chuyển tiền cộng dồn trong ngày trên 20 triệu đồng; lần đầu thực hiện giao dịch bằng ứng dụng Mobile Banking hoặc thực hiện giao dịch trên thiết bị khác với thiết bị thực hiện giao dịch Mobile Banking lần gần nhất...
Việc xác thực sinh trắc học theo Quyết định số 2345 nhằm tạo ra những lớp bảo mật khác, đảm bảo xác thực khuôn mặt phải gắn với tài khoản ngân hàng của chính chủ trong điện thoại và chỉ khuôn mặt được xác thực đó mới chuyển tiền trực tuyến được.
Dùng face ID để đăng nhập điện thoại, tài khoản ngân hàng, có cần xác thực sinh trắc học nữa không?
Trong những ngày qua, các ngân hàng và người dùng đã chạy đua cập nhật dữ liệu sinh trắc học trước ngày 1/7/2024. Tuy nhiên một số người cho biết gặp khó khăn, phần lớn ở khâu quét NFC trên CCCD.
Thừa nhận rằng quy định xác thực thông tin sinh trắc học sẽ giúp bảo đảm an toàn hơn, nhưng điều này cũng vô hình trung đang làm "giới hạn" quyền sử dụng dịch vụ của người dùng. Bên cạnh đó, có không ít thắc mắc liên quan đến việc xác thực sinh trắc học. Ví dụ như: Nếu bạn đã dùng face ID để đăng nhập điện thoại, đăng nhập tài khoản ngân hàng, để chuyển tiền,... thì có cần xác thực sinh trắc học nữa không? Chuyển trên 20 triệu đồng/ngày là phải xác thực sinh trắc học, đó là 20 triệu đồng trên tổng các tài khoản ngân hàng hay chỉ tại một ngân hàng? Những người dùng điện thoại không có NFC, hay đã mở tài khoản ngân hàng từ chứng minh thư cũ, CCCD chưa gắn chip,... thì xác thực như thế nào?
Nhiều người dùng cho biết, họ đã sử dụng khuôn mặt của mình để mở khóa điện thoại, khi đăng nhập tài khoản ngân hàng trên điện thoại cũng đã kích hoạt tính năng mở khóa bằng khuôn mặt (hay còn gọi là Face ID) thay vì gõ lại mật khẩu, thậm chí cho phép dùng khuôn mặt để xác thực khi chuyển tiền. Vậy thì cần gì phải xác thực sinh trắc học cho thêm phức tạp?
Theo ông Nguyễn Hưng - Tổng Giám đốc Ngân hàng Tiên Phong (TPBank), điều này là chưa đủ bởi đó chỉ là đăng ký khuôn mặt với chiếc điện thoại, tức là bất cứ ai được cho phép truy cập điện thoại như vợ, chồng, con cái..., đều có quyền vào tài khoản ngân hàng của người dùng. Đây là một trong những nguyên nhân khiến người dùng có thể mất tiền khi bị chiếm đoạt quyền trên điện thoại hay nhấn vào các đường dẫn lạ.
"Vẫn cần phải làm lại xác thực sinh trắc học vì chúng ta cần phải phân biệt rằng Face ID là dữ liệu về khuôn mặt được lưu trữ ở trong chiếc điện thoại đó còn ở đây là dấu hiệu sinh trắc học bằng khuôn mặt (Face Biometric) và khuôn mặt đó được so khớp với dữ liệu trong CCCD hoặc với dữ liệu dân cư quốc gia của Bộ Công an, xác định được đúng người công dân có cái CCCD đó là chủ cái tài khoản trong thực hiện giao dịch với ngân hàng. Như vậy sẽ an toàn hơn rất nhiều. Còn nếu chỉ là Face ID thì chỉ xác minh rằng đó là chủ chiếc điện thoại chứ chưa chắc đã là người chủ tài khoản", ông Nguyễn Hưng nêu rõ.
Trong thời gian vừa qua có rất nhiều khách hàng bị lừa bằng cách là lừa để click và đường link nào đó, ví dụ như lừa để hoàn thiện thủ tục cấp CCCD hay một số thủ tục thuế,... và khi họ nhấn vào đường link thì họ bị chiếm quyền điểu khiển điện thoại để sau đó chuyển tiền đi, hoặc cũng có khi đối tượng lừa đảo giả cơ quan chức năng để yêu cầu người dân chuyển tiền để làm rõ nguồn gốc dòng tiền,... và sau đó dùng mã OPT hay ID, mật khẩu trên điện thoại đó để chuyển tiền đi.
"Với việc xác thực sinh trắc học thì việc chuyển tiền nếu không phải là chủ tài khoản thì khó khăn hơn rất nhiều bởi vì mỗi lần không được chuyển quá 10 triệu đồng và mỗi ngày không quá 20 triệu đồng. Và những lần chuyển tiền kế tiếp cần bắt buộc xác định đúng người chủ tài khoản theo đúng dữ liệu trên CCCD gắn chip hoặc dữ liệu dân cư quốc gia thì mới chuyển được tiền. Do đó, việc đảm bảo an toàn cho chủ tài khoản tốt hơn và hạn chế được việc chuyển tiền liên tục", Tổng Giám đốc TPBank khẳng định.
Ông Nguyễn Hưng cũng cho hay, trong các vụ chiếm đoạt tiền qua chuyển khoản ngân hàng, thông thường các đối tượng lừa đảo thực hiện các giao dịch trong vòng dưới 1 phút và chuyển tiền qua hàng chục ngân hàng chỉ trong vòng 10 -15 phút. Như vậy việc dò theo vết dòng tiền rất khó và khó thu hồi lại tiền.
Về việc xác thực sinh trắc học có liên thông được giữa các ngân hàng với nhau không? Tổng Giám đốc TPBank cho biết, hiện nay mới chỉ xác thực tại từng ngân hàng. Khách hàng có tài khoản ở ngân hàng nào thì vào xác thực bằng tài khoản tại ngân hàng đó bằng cách dùng CCCD và điện thoại của mình, và sau đó ngân hàng sẽ thu thập dữ liệu về khuôn mặt, các dấu hiệu sinh trắc học và mã trên CCCD để lưu trữ vào dữ liệu ngân hàng và so với dữ liệu của công an. "Tôi kỳ vọng rằng, sắp tới Bộ Công an, Ngân hàng Nhà nước, Công ty thanh toán quốc gia NAPAS liên thông thì sẽ có thể cho phép khách hàng xác thực 1 lần nhưng dùng cho nhiều tài khoản ngân hàng", ông Hưng nói.
Xác thực sinh trắc học "chặn" dòng tiền lừa đảo
Trong năm 2023, đã có gần 16.000 phản ánh lừa đảo qua mạng, gần 10.000 tỷ đồng đã bị chiếm đoạt. Khi nạn nhân chuyển tiền cho đối tượng lừa đảo, dòng tiền ngay lập tức chạy liên tục giữa các tài khoản ngân hàng, do đó, rất khó truy vết dòng tiền. Khi xác thực sinh trắc học, dòng tiền lừa đảo sẽ bị chặn lại.
Theo ông Triệu Mạnh Tùng - Phó Cục trưởng Cục An ninh mạng và phòng chống tội phạm công nghệ cao, Bộ Công an: "Nếu anh không phải là người mở tài khoản thì sẽ không thể chuyển được tiền đi, cũng sẽ giảm được việc sử dụng tài khoản không chính chủ. Nhờ vậy, chúng ta cũng ngăn chặn được tình trạng những đối tượng lừa đảo thu mua tài khoản ngân hàng của người khác dùng để luân chuyển dòng tiền lừa đảo".
Hiện nay, đã có 60 tổ chức tín dụng triển khai xác thực khách hàng thông qua CCCD gắn chip tại quầy, 49 tổ chức tín dụng thực hiện xác thực CCCD gắn chip qua ứng dụng trên thiết bị di động.
Ngân hàng Nhà nước đã có hướng dẫn triển khai Quyết định 2345 gửi các Tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán. Do đó, nếu không tự xác thực được trên điện thoại, người dân có thể đến ngân hàng để được hỗ trợ. Những trường hợp bất khả kháng sẽ được nhân viên ngân hàng đến trợ giúp tại nhà. Người dân cần hết sức cẩn trọng với các cuộc gọi đề nghị hỗ trợ từ người lạ vì đó có thể là lừa đảo.
Chia sẻ trên PLO, TS. Nguyễn Hữu Huân, chuyên gia tài chính ngân hàng nêu quan điểm: Mục tiêu cao nhất của Quyết định 2345/2023 của NHNN chính là để bảo vệ tiền trong tài khoản thanh toán của người dân. Song điều đáng nói ở đây chính là thời điểm để thực hiện quyết định này không trùng khớp với thời điểm cuối việc thực hiện chuyển đổi CCCD gắn chip.
Đáng lẽ lộ trình chuyển đổi CCCD gắn chip phải hoàn tất trước khi NHNN ban hành quy định về việc xác thực sinh trắc học. Tức là khi 100% người dân có CCCD gắn chip thì việc xác thực khuôn mặt khi chuyển khoản trực tuyến mới diễn ra. Nhưng giờ đây người dân thực hiện chuyển đổi sang CCCD gắn chip chưa đạt tỉ lệ 100% và không thể ép buộc họ khi thời hạn cuối vẫn chưa kết thúc.
"Nếu NHNN và Bộ Công an đưa ra thời điểm thực hiện chuyển đổi CCCD gắn chip và xác thực sinh trắc học trùng khớp sẽ giúp người dân giảm thiểu khó khăn không đáng có trong quá trình xác thực sinh trắc học", ông Huân nói.