Định danh khách hàng điện tử trong ngân hàng của Liên minh Châu Âu và giải pháp cho Việt Nam
Sự kiện: AN TOÀN THÔNG TIN
Cảnh báo trang Facebook lừa đảo mạo danh Bộ Giáo dục và Đào tạo
Chiêu thức lừa đảo mới: Mạo danh dịch vụ bảo mật Window và công ty dịch vụ bưu chính
Cảnh báo lừa đảo dưới phương thức dịch vụ mạo danh cho vay tiền và thông qua ứng dụng Signal
Nhằm đối phó với các hành vi lừa đảo, gian lận trên không gian mạng liên quan đến hoạt động ngân hàng, Liên minh châu Âu (EU) đã ban hành hàng hoạt các văn bản pháp luật về định danh khách hàng điện tử với mục tiêu tăng cường bảo mật và minh bạch hóa thông tin trong các hoạt động của các Tổ chức tín dụng (TCTD). Trong đó, Quy định 910/2014 của EU về nhận dạng điện tử (eIDAS), Chỉ thị 2018/1673 về chống rửa tiền (AMLD), Chỉ thị 2015/2366 về Dịch vụ thanh toán (PSD2) Quy định 2016/679 của EU về bảo vệ dữ liệu chung (GDPR) và Quy định 2024/1183 về khung nhận dạng kỹ thuật số (eIDAS 2.0) là những cơ sở pháp lý quan trọng nhất trong quá trình triển khai eKYC thông qua quá trình áp dụng các công nghệ và quy trình bảo mật mới trong các hoạt động ngân hàng (Costa, 2017).
Về đối tượng áp dụng eKYC, khoản 1, Điều 2 GDPR quy định áp dụng cho việc xử lý dữ liệu cá nhân tự động và không tự động trong khu vực EU, bất kể công ty đó đặt trụ sở tại đâu, miễn là dịch vụ của họ nhắm đến người dân EU. Trong khi đó, eIDAS quy định đối tượng áp dụng rộng hơn, bao gồm tất cả các dịch vụ nhận dạng và ký số điện tử được thực hiện trong EU (Omarini, 2018). Theo đó, Điều 3 của eIDAS quy định các dịch vụ định danh điện tử phải đảm bảo tính tương thích xuyên biên giới trong toàn EU, cho phép các công ty sử dụng công nghệ eKYC để cung cấp dịch vụ cho người dùng tại nhiều quốc gia thành viên. Điều này đảm bảo các hệ thống định danh điện tử quốc gia có thể liên kết với nhau, hỗ trợ chuyển đổi số trong khu vực.
Về việc áp dụng eKYC trong mở và sử dụng tài khoản thanh toán, khoản 1 Điều 6 GDPR quy định việc xử lý dữ liệu cá nhân là hợp pháp khi cần thiết để thực hiện hợp đồng, tiêu biểu như mở tài khoản thanh toán. Bên cạnh GDPR, Điều 24 eIDAS đồng thời quy định các nhà cung cấp dịch vụ nhà nước và tư nhân có thể dựa vào các cơ chế định danh điện tử được xác thực để xác minh danh tính khách hàng. Điều này giúp giảm thiểu rủi ro gian lận và nâng cao hiệu quả trong việc mở tài khoản thanh toán trực tuyến; đồng thời khuyến khích sự tương thích xuyên biên giới giữa các quốc gia EU trong việc sử dụng eKYC.
Về hạn mức giao dịch qua tài khoản eKYC, Điều 63 PSD2 nêu các giao dịch thanh toán không cần xác thực mạnh của khách hàng (Strong Customer Authentication - SCA) có thể bị giới hạn về giá trị, tùy thuộc vào mức độ rủi ro và các biện pháp bảo mật được áp dụng (Bundesbank, 2019). Điều 95 quy định các tổ chức phải xây dựng và duy trì khung quản lý rủi ro nhằm phát hiện và ngăn chặn các giao dịch đáng ngờ, đặc biệt khi tài khoản được mở và sử dụng qua quy trình eKYC.
Các quy trình định danh khách hàng điện tử (eKYC) là biện pháp cần thiết nhằm bảo vệ quyền lợi của khách hàng. Ảnh minh họa
Về chuyển đổi số và ngân hàng số, Điều 25 GDPR yêu cầu áp dụng nguyên tắc bảo vệ dữ liệu theo thiết kế và theo mặc định (Privacy by Design and Default), đảm bảo các hệ thống ngân hàng số được phát triển phải bảo vệ quyền riêng tư của khách hàng từ giai đoạn thiết kế đến vận hành.
Về ứng dụng công nghệ trong xác minh danh tính khách hàng, Điều 22 GDPR quy định về việc xử lý dữ liệu tự động, đặc biệt là trong các quyết định có tác động pháp lý hoặc tương tự (Leonard, 2014). Quy định này yêu cầu mọi công nghệ, chẳng hạn như trí tuệ nhân tạo (AI) hoặc nhận dạng sinh trắc học, phải đảm bảo quyền của khách hàng và cung cấp cơ chế kiểm tra, minh bạch trong quy trình xác minh danh tính, đặc biệt khi áp dụng cho việc chống rửa tiền (Kylmänen, 2018). Điều này giúp tăng cường độ chính xác và tính xác thực trong xác minh danh tính, giảm thiểu gian lận trong các giao dịch tài chính liên quan đến rửa tiền. Ngoài ra, Điều 97 PSD2 yêu cầu sử dụng ít nhất hai yếu tố bảo mật khác nhau, chẳng hạn như sinh trắc học hoặc mã OTP, trong quy trình xác minh danh tính và giao dịch tài chính (Bundesbank, 2019).
Về sử dụng cơ sở dữ liệu quốc gia trong xác minh khách hàng, Điều 6 GDPR quy định dữ liệu cá nhân có thể được xử lý và sử dụng từ các cơ sở dữ liệu quốc gia khi có sự đồng ý của chủ thể dữ liệu hoặc khi việc xử lý là cần thiết để thực hiện hợp đồng, thực hiện nghĩa vụ pháp lý, hoặc vì lợi ích hợp pháp của các tổ chức liên quan (Leonard, 2014). Bên cạnh đó, Điều 13, Điều 14 eIDAS yêu cầu các quốc gia thành viên thiết lập cơ sở dữ liệu định danh điện tử quốc gia và cho phép sử dụng những cơ sở dữ liệu này trong các dịch vụ nhận dạng điện tử, nhằm tăng cường tính chính xác và bảo mật khi thực hiện các giao dịch điện tử xuyên biên giới.
Giải pháp hoàn thiện pháp luật về định danh khách hàng điện tử trong hoạt động ngân hàng tại Việt Nam
Từ những quy định về pháp luật EU liên quan đến vấn đề định danh khách hàng điện tử trong hoạt động ngân hàng, nhóm tác giả rút ra một số đề xuất đề giải quyết những khó khăn mà Việt Nam đang gặp phải trong việc triển khai eKYC:
Thứ nhất, Việt Nam có thể tham khảo các quy định của EU, đặc biệt là Quy định eIDAS và Chỉ thị PSD2 để ban hành các văn bản pháp luật quy định rõ về yêu cầu và tiêu chuẩn đối với các tổ chức thực hiện eKYC, đặc biệt là các tổ chức tài chính. Các quy định này yêu cầu các tổ chức tín dụng phải áp dụng các công nghệ và quy trình bảo mật tiên tiến trong xác minh danh tính, đồng thời bảo vệ quyền riêng tư và đảm bảo tính minh bạch trong quá trình xử lý dữ liệu khách hàng. Điều này sẽ giúp đảm bảo tính hợp pháp và hiệu quả của quá trình xác minh danh tính khách hàng điện tử.
Thứ hai, các cơ quan chức năng nên ban hành các văn bản pháp lý yêu cầu các tổ chức tín dụng áp dụng công nghệ bảo mật tiên tiến và bảo vệ quyền riêng tư của khách hàng. Việt Nam cần tăng cường ứng dụng công nghệ hiện đại trong eKYC để nâng cao hiệu quả và độ tin cậy của hệ thống. Đồng thời, việc phát triển và áp dụng AI cùng công nghệ blockchain có thể hỗ trợ giám sát, phát hiện gian lận và cải thiện khả năng bảo mật, từ đó giảm thiểu rủi ro và nâng cao niềm tin trong các giao dịch tài chính.
Thứ ba, Việt Nam cũng cần phát triển cơ sở dữ liệu quốc gia về dân cư để liên kết và sử dụng trong việc xác minh khách hàng, qua đó bảo đảm tính chính xác và bảo mật cao trong các giao dịch tài chính. Để sử dụng cơ sở dữ liệu quốc gia một cách an toàn và hiệu quả, cần xây dựng một hành lang pháp lý rõ ràng, cho phép các ngân hàng và tổ chức tài chính truy cập dữ liệu từ cơ sở dữ liệu dân cư quốc gia phục vụ mục đích xác minh khách hàng. Tuy nhiên, việc này cần được đi kèm với các biện pháp bảo mật nghiêm ngặt để bảo vệ quyền riêng tư của khách hàng, ngăn chặn nguy cơ lạm dụng dữ liệu. Đồng thời, cần quy định rõ ràng về trách nhiệm giải trình và minh bạch trong việc sử dụng dữ liệu khách hàng, học hỏi từ Điều 6 GDPR, đảm bảo rằng mọi hành động xử lý dữ liệu đều được thực hiện một cách hợp pháp, có sự đồng ý của khách hàng và có thể được kiểm tra, giám sát một cách minh bạch.
Thứ tư, Việt Nam cần đẩy mạnh phòng chống gian lận và bảo vệ quyền riêng tư là nhiệm vụ cấp thiết trong việc triển khai eKYC. Có thể áp dụng bài học từ Điều 4 AMLD của EU, yêu cầu các tổ chức tài chính thực hiện quy trình kiểm tra khách hàng nghiêm ngặt (Customer Due Diligence - CDD) nhằm nhận diện và đánh giá rủi ro trong giao dịch tài chính. Đồng thời, nguyên tắc "Privacy by Design and Default" (Điều 25 GDPR) cần được áp dụng, đảm bảo rằng quyền riêng tư của khách hàng được ưu tiên từ khâu thiết kế đến vận hành hệ thống. Những biện pháp này không chỉ tăng cường bảo mật mà còn nâng cao sự tin tưởng của người dùng đối với các dịch vụ tài chính trực tuyến.
Thứ năm, một giải pháp quan trọng để triển khai eKYC hiệu quả là nâng cao năng lực của các ngân hàng thông qua việc đào tạo và phát triển kỹ năng cho đội ngũ nhân viên. Việc trang bị kiến thức vững vàng về các quy trình kỹ thuật, quy định pháp lý và tiêu chuẩn bảo mật là yếu tố cốt lõi giúp đảm bảo hệ thống eKYC vận hành đúng đắn và an toàn. Các chương trình đào tạo cần tập trung vào việc sử dụng các công nghệ tiên tiến như nhận diện sinh trắc học, trí tuệ nhân tạo và các giải pháp chống gian lận.
Theo Consosukien.vn