Xác thực sinh trắc học không phải để an toàn cho việc chuyển tiền, đây mới là lý do chính!
Nhận định trên được nêu trong tham luận của Luật sư Trương Thanh Đức tại Hội thảo Giải pháp bảo vệ khách hàng sử dụng dịch vụ ngân hàng do Ngân hàng Nhà nước tổ chức ngày 04/7/2024.
Liên quan đến việc triển khai các giải pháp an toàn, bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng từ ngày 1/7/2024, Ngân hàng Nhà nước đã ban hành Quyết định số 2345/QĐ-NHNN, đặt ra yêu cầu nhận dạng sinh trắc học của khách hàng (như khuôn mặt, tĩnh mạch ngón tay hoặc bàn tay, vân tay, mống mắt, giọng nói) để xác thực giao dịch, tuỳ theo giao dịch được phân thành 04 loại A, B, C và D, dựa theo giá trị giao dịch. Trong đó có việc chuyển tiền trên 10 triệu đồng trong 1 lần hoặc trên 20 triệu đồng trong 1 ngày phải được xác thực sinh trắc học. Các ngân hàng mới triển khai sinh trắc học khuôn mặt.
Quyết định số 2345/QĐ-NHNN ngày 18-12-2023 của Thống đốc Ngân hàng Nhà nước về “giải pháp an toàn, bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng”. Quyết định số 2345/QĐ-NHNN chỉ căn cứ vào văn bản quy phạm pháp luật duy nhất là Thông tư số 35/2016/TT-NHNN ngày 29-12-2016 của Thống đốc Ngân hàng Nhà nước “Quy định an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet” (sửa đổi, bổ sung theo Thông tư số 35/2018/TT-NHNN ngày 24-12-2018).
Tuy nhiên, theo Luật sư Trương Thanh Đức, thực chất còn nhiều quy định làm cơ sở và liên quan như:
– Điều 140 về “Yêu cầu bảo đảm an toàn giao dịch điện tử trong hoạt động ngân hàng”, Luật Các tổ chức tín dụng năm 2024 (sửa đổi, bổ sung năm 2024):
“Tổ chức tín dụng, chi nhánh ngân hàng nước ngoài phải bảo đảm an toàn và bảo mật giao dịch điện tử trong hoạt động ngân hàng theo quy định của Thống đốc Ngân hàng Nhà nước và quy định của pháp luật về giao dịch điện tử”.
– Nghị định số 69/2024/NĐ-CP ngày 25-6-2024 của Chính phủ “Quy định về định danh và xác thực điện tử”;
– Nghị định số 52/2024/NĐ-CP ngày 15-5-2024 của Chính phủ “Quy định về thanh toán không dùng tiền mặt”;
– Thông tư số 23/2014/TT-NHNN ngày 19-8-2014 của Thống đốc Ngân hàng Nhà nước “Hướng dẫn việc mở và sử dụng tài khoản thanh toán tại tổ chức cung ứng dịch vụ thanh toán” (sửa đổi, bổ sung theo Thông tư số 02/2019/TT-NHNN ngày 28-02-2019 và số 16/2020/TT-NHNN ngày 04-12-2020).
Do đó, theo luật sư này, vì quy định xác thực sinh trắc học để giao dịch chuyển tiền online trên 10 triệu đồng chưa được quy định trong văn bản quy phạm pháp luật, nên chưa phải là bắt buộc, mà là sự lựa chọn và thoả thuận với ngân hàng để sử dụng dịch vụ. Đầu tiên chỉ cần bảo vệ 2 lớp, sau đó là phải bảo vệ 2 lớp là bắt buộc đối với 100% giao dịch, nay là bảo vệ lớp thứ 3, chỉ bắt buộc đối với khoảng 11% tổng số giao dịch.
Đối với người chỉ có dưới 10 triệu trong tài khoản hay người không có nhu cầu chuyển trên 10 triệu/lần hoặc 20 triệu/ngày, theo luật sư, về yêu cầu giao dịch thì không bắt buộc. Người sử dụng tài khoản chỉ cân nhắc giữa tiện ích và rủi ro, chứ không bị xử lý khi không xác thực. Khách hàng sử dụng tài khoản không muốn xác thực thì vẫn có thể đến ngân hàng giao dịch như cũ.
Tuy nhiên, về sự an toàn, bảo mật thì rất cần, vì xác thực không phải chỉ để chủ tài khoản chuyển tiền đi an toàn, mà quan trọng hơn là để người khác, đặc biệt là tội phạm lừa đảo, không chuyển được tiền trong tài khoản của mình. Không xác thực, thì tội phạm chiếm đoạt quyền điều khiển có thể dễ dàng chuyển tiền tự động mỗi lần dưới 500 triệu ngay lập tức và không có giới hạn như đã xảy ra quá nhiều trong thời gian qua.
Khi giao dịch với số tiền trên 10 triệu đồng, bằng phương thức online rủi ro cao và cần độ an toàn cao, thì phải do chính chủ tài khoản thực hiện bằng nhận dạng khuôn mặt mình. Nếu muốn uỷ quyền cho người khác thì vẫn không bị hạn chế, nhưng chỉ giao dịch trực tiếp tại ngân hàng. Theo ông Đức, đó là điều hoàn toàn hợp lý.
Cuối cùng, luật sư Trương Thanh Đức đưa ra các khuyến cáo:
Người giao dịch dưới 10 triệu cũng nên tự nguyện đề nghị ngân hàng áp dụng chế độ xác thực khuôn mặt. Tất nhiên việc này còn phụ thuộc vào khả năng cung cấp dịch vụ của ngân hàng, để tránh nguy cơ mất 10 – 20 triệu đồng/ngày.
Không vô tình hay cố ý tạo ra thuê bao rác, tài khoản tài khống và tài khoản mạng ảo để tội phạm lợi dụng.
Vẫn phải bảo mật thông tin, mật khẩu điện thoại và mật khẩu giao dịch.
Hết sức cảnh giác phòng tránh trước các hành vi lừa đảo, trong đó rất cần phải theo dõi, cập nhật kịp thời những thủ đoạn phạm tội mới.
Liên hệ kịp thời với ngân hàng hướng dẫn, ngăn chặn, xử lý sự cố ngay sau khi phát hiện dấu hiệu bất thường.
"Tóm lại, việc xác thực chỉ cần thực hiện 1 lần và chỉ mang lại sự thuận tiện, an toàn hơn, chứ không hề có rủi ro hơn. Và vấn đề mấu chốt, xác thực sinh trắc học, thêm lớp bảo vệ thứ 3, không phải là để an toàn cho việc chuyển tiền, mà là bảo vệ an toàn tài khoản, ngăn chặn tội phạm công nghệ cao và phòng ngừa người khác chuyển, rút chiếm đoạt tiền trong tài khoản" - Luật sư Trương Thanh Đức kết luận.