Xu thế tài chính số đang mang đến cho Việt Nam cơ hội to lớn trong tăng khả năng cung cấp sản phẩm dịch vụ hiện đại cho khách hàng. Tuy nhiên, đi đôi với những đổi mới này là nguy cơ rủi ro công nghệ thông tin, rủi ro gian lận với mức độ tác động ngày càng lớn, đặc biệt đối với các lĩnh vực nhạy cảm như tài chính, ngân hàng. Việt Nam đang có tốc độ phát triển ngân hàng điện tử rất mạnh mẽ với số lượng giao dịch trực tuyến tăng trưởng liên tục. Tuy nhiên, chính sự tăng trưởng vượt bậc này lại là nguy cơ tiềm ẩn của tội phạm công nghệ cao nhằm vào các ngân hàng thương mại. Thực tế cho thấy, tình hình tội phạm sử dụng công nghệ cao trong lĩnh vực thanh toán không dùng tiền mặt ngày càng diễn biến phức tạp, gây ra những rủi ro, hệ lụy như đánh cắp thông tin khách hàng, lấy cắp tiền trong tài khoản ví điện tử... Thực trạng này đặt ra nhiều thách thức đối với việc quản lý và bảo đảm an ninh, an toàn trong lĩnh vực thanh toán.

Thuật ngữ “tội phạm công nghệ cao” được đề cập trong hệ thống pháp luật nhiều nước trên thế giới với tên gọi khác nhau như: Tội phạm công nghệ cao (high-tech crime); tội phạm máy tính (computer crime); tội phạm liên quan đến máy tính (computer-related crime); tội phạm mạng (cybercrime)[1]...

Khoản 1 Điều 3 Luật Công nghệ cao năm 2008 (sửa đổi, bổ sung năm 2014) quy định: “Công nghệ cao là công nghệ có hàm lượng cao về nghiên cứu khoa học và phát triển công nghệ; được tích hợp từ thành tựu khoa học và công nghệ hiện đại; tạo ra sản phẩm có chất lượng, tính năng vượt trội, giá trị gia tăng cao, thân thiện với môi trường; có vai trò quan trọng đối với việc hình thành ngành sản xuất, dịch vụ mới hoặc hiện đại hóa ngành sản xuất, dịch vụ hiện có”.

“Tội phạm mạng là hành vi sử dụng không gian mạng, công nghệ thông tin hoặc phương tiện điện tử để thực hiện tội phạm được quy định tại Bộ luật Hình sự” (khoản 7 Điều 2 Luật An ninh mạng năm 2018). Theo đó, từ Điều 285 đến Điều 294 Bộ luật Hình sự năm 2015 (sửa đổi, bổ sung năm 2017) quy định liên quan đến tội phạm trong lĩnh vực công nghệ thông tin. Trên cơ sở này, tội phạm công nghệ cao có thể được xem là các hành vi nguy hiểm cho xã hội do người có năng lực trách nhiệm hình sự hoặc pháp nhân thương mại thực hiện một cách cố ý hoặc vô ý, xâm phạm độc lập, chủ quyền, thống nhất, toàn vẹn lãnh thổ Tổ quốc, xâm phạm chế độ chính trị, chế độ kinh tế, nền văn hóa, quốc phòng, an ninh, trật tự, an toàn xã hội, quyền, lợi ích hợp pháp của tổ chức, xâm phạm quyền con người, quyền, lợi ích hợp pháp của công dân, xâm phạm trật tự pháp luật xã hội chủ nghĩa ở những lĩnh vực khác, tiêu biểu như tài chính - ngân hàng, điện tử - viễn thông[2].

Như vậy, những điểm chung trong nội hàm của khái niệm về “tội phạm công nghệ cao” đều hướng tới các hành vi liên quan đến việc sử dụng thiết bị số, khai thác máy tính, mạng viễn thông một cách bất hợp pháp để gây tổn hại cho lợi ích của các tổ chức, cá nhân và toàn xã hội. Từ đây, có thể rút ra một định nghĩa chung về tội phạm công nghệ cao như sau: Tội phạm công nghệ cao là một dạng thức tội phạm được tiến hành thông qua việc sử dụng công cụ, phương tiện, tri thức, kỹ năng và thành tựu của công nghệ thông tin ở trình độ cao, tác động một cách bất hợp pháp đến các dữ liệu điện tử được lưu trữ, xử lý, truyền tải trong hệ thống máy tính và các thiết bị công nghệ cao, xâm phạm đến trật tự an toàn thông tin, gây tổn hại nghiêm trọng đến quyền và lợi ích hợp pháp của chủ thể tham gia trong một lĩnh vực cụ thể cũng như của các quốc gia và cộng đồng quốc tế.

Phương thức thực hiện của tội phạm công nghệ cao trong lĩnh vực tài chính - ngân hàng nói chung và hoạt động trung gian thanh toán (TGTT) thường là đồng phạm và có tổ chức chặt chẽ. Theo đó, tội phạm công nghệ cao trong hoạt động TGTT thường sử dụng các thủ đoạn sau: Tạo, phát tán vi rút tin học, phần mềm tin học độc hại; sử dụng thẻ ATM giả thanh toán dịch vụ, mua hàng hóa; mua thông tin thẻ tín dụng bị hacker chiếm đoạt rao bán trên các trang web, để sử dụng đặt mua hàng trực tuyến chuyển về Việt Nam tiêu thụ (ship hàng); nhằm ăn cắp cước phí viễn thông; sử dụng mạng máy tính, mạng viễn thông, mạng internet đưa thông tin lên mạng để thực hiện các hoạt động tống tiền; xâm phạm nhân phẩm, tự do cá nhân khác… Các phương thức, thủ đoạn của tội phạm công nghệ cao trong hoạt động TGTT, gồm:

Nhóm 1: Các đối tượng sử dụng công nghệ để thực hiện các hành vi tấn công vào hệ thống máy tính và cơ sở dữ liệu của các tổ chức cung ứng dịch vụ TGTT (ngân hàng, ví điện tử, các Fintech…). Cách thức chúng sử dụng bao gồm: Sử dụng các thiết bị mã hóa để ghi trộm thông tin thẻ ngân hàng, phát tán virus để kiểm soát máy tính và mạng máy tính của ngân hàng một cách bí mật, tấn công vào các trang web bán hàng trực tuyến hoặc thông qua email của khách hàng để lừa đảo, chiếm đoạt thông tin cá nhân và tài sản của họ.

Nhóm 2: Các đối tượng thường áp dụng các chiến thuật và thủ đoạn phổ biến nhưng cực kỳ hiệu quả để thực hiện các hoạt động phạm pháp đối với hệ thống của các tổ chức cung ứng dịch vụ TGTT. Một trong những phương pháp phổ biến nhất là tạo ra các lỗ hổng kỹ thuật trên hệ thống quản lý của các giao dịch thanh toán không dùng tiền mặt. Thông qua việc tạo ra và khai thác các lỗ hổng này, họ có thể tiếp cận và kiểm soát các giao dịch tài chính một cách trái phép, cho phép họ trộm cắp tài sản mà không cần phải tiếp xúc trực tiếp với các thiết bị. Ngoài ra, nhóm này cũng thường lợi dụng các tài khoản của người nước ngoài để thực hiện các hoạt động lừa đảo và chiếm đoạt tài sản của ngân hàng. Bằng cách này, họ có thể tạo ra các dấu vết giả mạo và gây ra sự nhầm lẫn trong việc thực hiện các giao dịch tài chính, từ đó, lợi dụng để trộm cắp tiền.

Nhóm 3: Các đối tượng giả mạo là nhân viên của tổ chức cung ứng dịch vụ TGTT để tiếp cận và lừa đảo khách hàng. Chúng thường liên hệ với khách hàng thông qua các mạng xã hội như: Zalo, Viber, Skype, Facebook…, sau đó mời khách hàng tham gia các tổ chức hoặc nhóm đầu tư tài chính, chứng khoán, trang thương mại điện tử để lừa đảo, chiếm đoạt thông tin cá nhân và tài sản của họ. Hoặc chúng cũng có thể sử dụng các quảng cáo trên Google Search để mạo danh ngân hàng và lừa đảo khách hàng để lấy được thông tin đăng nhập ngân hàng trực tuyến, mật khẩu, mã OTP để chiếm đoạt tài sản của họ.

Theo Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao, Bộ Công an, sáu tháng đầu năm năm 2024, tổng số tiền người dân bị các đối tượng lừa đảo chiếm đoạt trên mạng khoảng 8.000 - 10.000 tỷ đồng, tăng gấp rưỡi so với năm 2022. Đây là con số dựa trên những sự việc người dân đến trình báo với cơ quan công an. Bộ Công an cũng cho biết, trong năm 2024 đã khởi tố 1.500 vụ án về tội lừa đảo trên không gian mạng. Cũng trong thời gian này, Bộ Thông tin và Truyền thông nhận được gần 17.400 phản ánh về trường hợp lừa đảo trực tuyến hướng đến người dùng internet Việt Nam; trong đó, tổng số tiền người dân bị lừa đảo được ghi nhận là hơn 300 tỷ đồng[3]. Là đối tượng chịu sự tấn công nhiều nhất của tội phạm mạng, ngành ngân hàng nói chung và hoạt động thanh toán nói riêng đứng trước nhiều khó khăn trong việc duy trì, bảo đảm an toàn hoạt động của hệ thống và tài sản của khách hàng. Các thủ đoạn của tội phạm thường là lừa đảo chiếm đoạt trực tiếp tiền của khách hàng, lợi dụng các kênh truyền thông phổ biến để tấn công vào tâm lý của khách hàng, yêu cầu nạn nhân chuyển tiền cho tài khoản lừa đảo. Nguyên nhân dẫn đến sự gia tăng tội phạm công nghệ cao trong hoạt động TGTT có thể kể đến:

 Một là, việc sử dụng công nghệ thông tin và viễn thông trong hoạt động TGTT ngày càng phổ biến vì tiện lợi và tính minh bạch cao, thu hút đông đảo người dùng từ khắp nơi trên thế giới. Tuy nhiên, môi trường trực tuyến, mặc dù thuận lợi, nhưng cũng rất dễ bị xâm phạm bởi các kỹ thuật tấn công mới xuất hiện liên tục như: Lừa đảo qua email, tấn công giả mạo (phishing), các trang web giả mạo và virus malware là những phương thức phổ biến mà các tội phạm sử dụng để chiếm đoạt thông tin cá nhân, tài khoản ngân hàng hoặc thậm chí là tài sản của người dùng. 

Hai là, trong thời đại ngày nay, các tội phạm mạng không chỉ sử dụng các công cụ cơ bản, mà còn tận dụng các phần mềm và kỹ thuật tiên tiến như công nghệ blockchain và mã hóa dữ liệu để thực hiện các cuộc tấn công. Việc sử dụng công nghệ blockchain và mã hóa dữ liệu giúp cho các cuộc tấn công trở nên khó bị phát hiện hơn. Điều này tạo ra thách thức lớn đối với các tổ chức hoạt động TGTT trong việc bảo vệ thông tin và tài sản của khách hàng. Với sự tiến bộ không ngừng của công nghệ, việc ngăn chặn và đối phó với các cuộc tấn công mạng ngày càng trở nên khó khăn. Các tổ chức hoạt động TGTT phải liên tục cập nhật và nâng cấp các biện pháp bảo mật của mình để đối phó với sự tinh vi của tội phạm công nghệ cao và bảo đảm an toàn cho dữ liệu, tài sản của khách hàng.

Ba là, tổ chức hoạt động TGTT đã đầu tư đáng kể vào hệ thống bảo mật thông tin, nhưng vẫn tồn tại sự thiếu sót trong việc nâng cao nhận thức và kiến thức về an ninh mạng cho nhân viên và khách hàng. Đây là vấn đề nghiêm trọng, vì sự phát triển của công nghệ đòi hỏi người dùng phải luôn cập nhật kiến thức và kỹ năng để đối phó với các mối đe dọa mới. Thiếu hụt nhận thức này có thể tạo điều kiện thuận lợi cho các tội phạm tấn công và gây ra thiệt hại đáng kể cho hệ thống ngân hàng và khách hàng.

Bốn là, sự gia tăng đáng kể về sự chuyên nghiệp và tổ chức của các nhóm tội phạm sử dụng công nghệ cao trong lĩnh vực ngân hàng nói chung và hoạt động thanh toán nói riêng. Các nhóm này thường có cơ cấu tổ chức phức tạp, có các chuyên gia về công nghệ thông tin, tài chính và pháp lý. Họ thường hợp tác với nhau để thực hiện các cuộc tấn công mạng có quy mô lớn, đòi hỏi kế hoạch chi tiết và chuyên sâu. Sự tổ chức này tạo ra mối đe dọa nghiêm trọng cho các tổ chức ngân hàng, tổ chức cung ứng dịch vụ TGTT trong việc ngăn chặn và đối phó với các cuộc tấn công mạng.

Trước tình trạng tội phạm công nghệ cao diễn biến phức tạp, Ngân hàng Nhà nước Việt Nam (NHNN) đã thường xuyên có các văn bản chỉ đạo toàn ngành trong việc tăng cường phòng, chống, ngăn ngừa hành vi gian lận liên quan đến mở và sử dụng tài khoản thanh toán (TKTT), yêu cầu các ngân hàng tăng cường các biện pháp quản lý rủi ro, đặc biệt là công tác hậu kiểm để kịp thời phát hiện các sai lệch thông tin định danh và dấu hiệu bất thường trong quá trình khách hàng mở và sử dụng TKTT bằng phương thức xác thực nhận diện khách hàng (KYC). Ngoài ra, NHNN cũng thường xuyên chỉ đạo toàn ngành về việc bảo đảm an ninh, an toàn hệ thống thanh toán, ban hành các văn bản chỉ đạo về bảo đảm an ninh an toàn thông tin trong hoạt động ngân hàng, đồng thời ban hành các văn bản thông báo, cảnh báo, phòng ngừa, phát hiện các hành vi, thủ đoạn gian lận trong hoạt động ngân hàng nói chung và hoạt động thanh toán nói riêng[4]…

Quyết định số 2345/QĐ-NHNN ngày 18/12/2023 của Thống đốc NHNN về triển khai các giải pháp an toàn, bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng quy định từ ngày 01/7/2024, các giao dịch chuyển tiền điện tử của cá nhân có giá trị trên 10 triệu đồng hoặc tổng giá trị giao dịch chuyển tiền điện tử trong ngày vượt 20 triệu đồng phải áp dụng một trong các biện pháp xác thực sinh trắc học. Ngoài ra, trước khi giao dịch lần đầu bằng ứng dụng ngân hàng điện tử hoặc trước khi giao dịch trên thiết bị khác với thiết bị đang giao dịch lần gần nhất, người dân cũng phải được nhận dạng xác thực sinh trắc học. Tiếp đó, ngày 28/6/2024, Thống đốc NHNN đã ban hành hai Thông tư gồm: Thông tư số 17/2024/TT-NHNN quy định việc mở và sử dụng TKTT tại tổ chức cung ứng dịch vụ thanh toán và Thông tư số 18/2024/TT-NHNN quy định về hoạt động thẻ ngân hàng. Đáng chú ý, căn cứ theo quy định tại hai thông tư nói trên thì từ ngày 01/01/2025, nếu không xác thực sinh trắc học sẽ không thể giao dịch online. Bên cạnh đó, tại khoản 6 Điều 16 Thông tư số 18/2024/TT-NHNN cũng nêu rõ, thẻ chỉ được sử dụng để thực hiện giao dịch bằng phương tiện điện tử khi đã hoàn thành việc đối chiếu thông tin khớp đúng với giấy tờ tùy thân và thông tin sinh trắc học của chủ thẻ. Như vậy, kể từ ngày 01/01/2025 nếu khách hàng không thực hiện cung cấp dữ liệu sinh trắc học, đồng thời chưa được kiểm tra đối chiếu thì sẽ bị dừng toàn bộ các giao dịch trực tuyến. Trường hợp có nhu cầu thì chỉ có thể trực tiếp đến ngân hàng để thực hiện giao dịch. Những quy định mới tại hai thông tư này sẽ góp phần tăng cường an ninh, an toàn tài khoản cho khách hàng và trong hoạt động thẻ ngân hàng, bảo đảm phù hợp với các quy định pháp luật có liên quan.

Nghị định số 52/2024/NĐ-CP ngày 15/5/2024 của Chính phủ quy định về thanh toán không dùng tiền mặt, có hiệu lực từ ngày 01/7/2024 (thay thế Nghị định số 101/2012/NĐ-CP), trong đó bổ sung quy định về hành vi bị cấm tại khoản 3, 5 Điều 8 gồm: Cung cấp không trung thực thông tin có liên quan đến việc cung ứng hoặc sử dụng dịch vụ thanh toán, dịch vụ TGTT; mở hoặc duy trì TKTT, ví điện tử nặc danh, mạo danh; mua, bán, thuê, cho thuê, mượn, cho mượn TKTT, ví điện tử; thuê, cho thuê, mua, bán, mở hộ thẻ ngân hàng (trừ trường hợp thẻ trả trước vô danh); lấy cắp, thông đồng để lấy cắp, mua, bán thông tin TKTT, thông tin thẻ ngân hàng, thông tin ví điện tử.

Ngoài ra, ngành Ngân hàng đã và đang triển khai các giải pháp về mặt quy trình, công nghệ nhằm phòng, chống lừa đảo, gian lận trong lĩnh vực ngân hàng, trong đó có: Làm sạch dữ liệu khách hàng, loại bỏ các tài khoản ngân hàng không chính chủ; tăng cường triển khai các biện pháp xác thực đa thành tố, xác thực mạnh nhằm giảm thiểu rủi ro trong giao dịch thanh toán trực tuyến của khách hàng như OTP cơ bản, OTP nâng cao, chữ ký số, các biện pháp xác thực bằng sinh trắc học (qua dữ liệu căn cước công dân hoặc căn cước gắn chíp, VNeID); tích hợp các biện pháp bảo vệ tăng cường (như: Áp dụng các cơ chế giám sát, phòng chống giao dịch bất thường, giao dịch gian lận đối với kênh ngân hàng điện tử để có cảnh báo sớm và biện pháp ngăn chặn kịp thời với các giao dịch đáng ngờ của khách hàng; thực hiện nhận diện khách hàng (KYC) đối với các giao dịch nhạy cảm như chuyển tiền số lượng lớn, kích hoạt lại thiết bị mới; tăng cường sử dụng dịch vụ, công nghệ mới để sớm phát hiện các vụ việc lộ, lọt thông tin tài khoản, xác thực của khách hàng trên mạng internet...).

Về sử dụng TKTT, tại khoản 5 Điều 17 Thông tư số 17/2024/TT-NHNN có bổ sung quy định: chỉ được thực hiện rút tiền, giao dịch thanh toán bằng phương tiện điện tử trên TKTT khi đã hoàn thành việc đối chiếu khớp đúng giấy tờ tùy thân và thông tin sinh trắc học của chủ tài khoản hoặc người đại diện (đối với khách hàng cá nhân) hoặc người đại diện hợp pháp (đối với khách hàng tổ chức) với: (i) Dữ liệu sinh trắc học được lưu trong bộ phận lưu trữ thông tin được mã hóa của thẻ căn cước công dân hoặc thẻ căn cước của người đó đã được xác thực chính xác là do cơ quan Công an cấp hoặc thông qua xác thực tài khoản định danh điện tử của người đó do hệ thống định danh và xác thực điện tử tạo lập; hoặc (ii) Dữ liệu sinh trắc học được thu thập thông qua gặp mặt trực tiếp người đó đối với trường hợp là người nước ngoài không sử dụng danh tính điện tử, người gốc Việt Nam chưa xác định được quốc tịch; hoặc (iii) Dữ liệu sinh trắc học đã được thu thập và kiểm tra (bảo đảm sự khớp đúng giữa dữ liệu sinh trắc học của người đó với dữ liệu sinh trắc học trong bộ phận lưu trữ thông tin được mã hóa của thẻ căn cước công dân hoặc thẻ căn cước đã được xác thực chính xác là do cơ quan Công an cấp hoặc với dữ liệu sinh trắc học của người đó thông qua xác thực tài khoản định danh điện tử do hệ thống định danh và xác thực điện tử tạo lập); hoặc (iv) Dữ liệu sinh trắc học của người đó được lưu trong Cơ sở dữ liệu quốc gia về dân cư trong trường hợp sử dụng thẻ căn cước công dân không có bộ phận lưu trữ thông tin được mã hóa. Bên cạnh đó, khoản 6 Điều 16 Thông tư số 18/2024/TT-NHNN cũng nêu rõ, thẻ chỉ được sử dụng để thực hiện giao dịch bằng phương tiện điện tử khi đã hoàn thành việc đối chiếu thông tin khớp đúng với giấy tờ tùy thân và thông tin sinh trắc học của chủ thẻ.

Ngày 17/7/2024, Thống đốc NHNN ban hành Thông tư số 41/2024/TT-NHNN quy định về giám sát và thực hiện giám sát các hệ thống thanh toán quan trọng, hoạt động cung ứng dịch vụ TGTT. Tại Điều 4 Thông tư này quy định về biện pháp giám sát: “Đơn vị giám sát thực hiện giám sát hệ thống thanh toán quan trọng, hoạt động cung ứng dịch vụ TGTT thông qua các biện pháp: Theo dõi hoạt động của hệ thống thanh toán quan trọng, hoạt động cung ứng dịch vụ TGTT; kiểm tra tại chỗ đối với hệ thống thanh toán quan trọng, hoạt động cung ứng dịch vụ TGTT; đánh giá hệ thống thanh toán quan trọng, hoạt động cung ứng dịch vụ TGTT; cảnh báo, khuyến nghị trong giám sát hệ thống thanh toán quan trọng, hoạt động cung ứng dịch vụ TGTT”. Do đó, các tổ chức cung ứng dịch vụ TGTT cần áp dụng các cơ chế giám sát, phòng chống giao dịch bất thường, giao dịch gian lận đối với kênh ngân hàng điện tử để có cảnh báo sớm và biện pháp ngăn chặn kịp thời với các giao dịch đáng ngờ của khách hàng. Thực hiện nhận diện khách hàng (KYC) đối với các giao dịch nhạy cảm như chuyển tiền số lượng lớn, kích hoạt lại thiết bị mới. Nghiên cứu áp dụng cơ chế phát hiện, cảnh báo và ngăn chặn sử dụng ứng dụng Mobile Banking đối với các thiết bị bị phá khóa hoặc thiết bị đã kích hoạt quyền trợ năng. Áp dụng các cơ chế phát hiện đăng nhập trên thiết bị lạ. Việc kích hoạt thiết bị điện tử giao dịch Internet Banking cũng được áp dụng các biện pháp xác thực mạnh với quy trình xác thực lại chặt chẽ đòi hỏi sự tương tác chủ động của khách hàng thay vì các yếu tố xác thực tĩnh…

Thông tư số 50/2024/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành ngân hàng được Thống đốc NHNN ban hành ngày 31/10/2024. Thông tư này quy định các yêu cầu về an toàn, bảo mật cho dịch vụ ngân hàng trực tuyến như dịch vụ Internet Banking, Mobile Banking, thanh toán trực tuyến và các dịch vụ TGTT khác. Đối tượng áp dụng của Thông tư số 50/2024/TT-NHNN bao gồm các tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ TGTT, công ty thông tin tín dụng (sau đây gọi chung là đơn vị). Theo đó, nhằm bảo đảm an toàn trong hoạt động TGTT, khoản 5 Điều 8 Thông tư số 50/2024/TT-NHNN quy định về phần mềm ứng dụng Mobile Banking, yêu cầu các ứng dụng không được phép có chức năng ghi nhớ mã khóa bí mật (password) truy cập. Đối với nhóm khách hàng cá nhân, ứng dụng của ngân hàng trên các thiết bị còn có chức năng kiểm tra khách hàng truy cập lần đầu hoặc truy cập trên thiết bị khác. Việc kiểm tra bao gồm: khớp đúng SMS OTP hoặc Voice OTP thông qua số điện thoại đã đăng ký hoặc khớp đúng thông tin sinh trắc học. Tại Điều 11 Thông tư số 50/2024/TT-NHNN cũng quy định rõ về các hình thức xác nhận như: password, mã PIN, OTP, xác thực hai kênh hay sinh trắc học, FIDO, chữ ký điện tử, chữ ký điện tử an toàn, EMV EDS… Ngoài ra, Điều 19 Thông tư số 50/2024/TT-NHNN có quy định về bảo mật thông tin khách hàng, trong đó, có nêu rõ, đơn vị phải áp dụng các biện pháp bảo đảm an toàn, bảo mật dữ liệu khách hàng, tối thiểu bao gồm: Dữ liệu của khách hàng phải được bảo đảm an toàn, bảo mật theo quy định của pháp luật; thông tin sử dụng để xác nhận giao dịch của khách hàng bao gồm mã khóa bí mật, mã PIN, thông tin sinh trắc học khi lưu trữ phải áp dụng các biện pháp mã hóa hoặc che dấu để bảo đảm tính bí mật; thiết lập quyền truy cập đúng chức năng, nhiệm vụ cho nhân sự thực hiện nhiệm vụ truy cập dữ liệu khách hàng; có biện pháp giám sát mỗi lần truy cập; có biện pháp quản lý truy cập, tiếp cận các thiết bị, phương tiện lưu trữ dữ liệu của khách hàng để phòng, chống nguy cơ lộ, lọt dữ liệu; thông báo cho khách hàng khi xảy ra sự cố làm lộ, lọt dữ liệu của khách hàng và báo cáo kịp thời về Cục Công nghệ thông tin thuộc NHNN. Việc NHNN yêu cầu triển khai xác thực sinh trắc học trong các giao dịch ngân hàng góp phần bảo đảm các giao dịch thanh toán trực tuyến được thực hiện bởi chính chủ tài khoản, qua đó sẽ nâng cao an ninh, an toàn, bảo mật cho các giao dịch thanh toán trực tuyến, giảm thiểu rủi ro, gian lận, lừa đảo trong giao dịch thanh toán trực tuyến. Bên cạnh đó, NHNN cũng chỉ đạo các tổ chức tín dụng, các tổ chức cung ứng dịch vụ TGTT triển khai giải pháp phát hiện, cảnh báo và ngăn chặn sử dụng ứng dụng Mobile Banking đối với các thiết bị bị phá khóa (jailbreak) hoặc thiết bị đã kích hoạt quyền trợ năng.  

Một là, cần có những quy định rõ ràng, cụ thể về các chính sách, biện pháp trong phát triển các lĩnh vực khoa học - công nghệ nhằm phòng, chống tội phạm công nghệ cao trong lĩnh vực TGTT chẳng hạn như việc thu thập, đánh giá, kiểm tra chứng từ điện tử cũng như ban hành văn bản hướng dẫn về đường lối xử lý đối với các tội phạm công nghệ cao trong hoạt động TGTT. Đặc biệt, hiện nay, cùng sự phát triển của công nghệ thông tin và đáp ứng nhu cầu khách hàng ngày càng phức tạp, khác biệt rõ rệt về các nghiệp vụ truyền thống, cách thức vận hành và mức độ rủi ro thì dịch vụ TGTT tại một số công ty không phải là ngân hàng đã được thí điểm thực hiện[5]. Tuy nhiên, toàn bộ các dịch vụ cung ứng hạ tầng thanh toán điện tử và một số dịch vụ hỗ trợ thanh toán vẫn nằm ngoài phạm vi hoạt động được cấp phép của các tổ chức cung ứng dịch vụ TGTT. Do vậy, các quy định pháp luật trong lĩnh vực này vẫn cần phải được hoàn thiện để bảo đảm môi trường kinh doanh an toàn và bảo vệ quyền lợi của khách hàng.

Hai là, việc điều chỉnh pháp luật liên quan đến phòng, chống tội phạm công nghệ cao trong hoạt động TGTT còn thiếu đồng bộ. Mặc dù đã có một số văn bản quy phạm pháp luật đề cập đến việc bảo đảm an toàn thông tin và phòng, chống tội phạm công nghệ cao, nhưng hiện nay vẫn chưa đầy đủ và còn thiếu đồng bộ. Các quy định thường tập trung vào từng lĩnh vực cụ thể như Luật Viễn thông, Luật Giao dịch điện tử, Luật Công nghệ thông tin mà không có văn bản tổng thể điều chỉnh toàn bộ công tác phòng, chống tội phạm công nghệ cao. Để khắc phục tình trạng này, cần tiếp tục nghiên cứu và hoàn thiện các văn bản quy phạm pháp luật liên quan đến tội phạm công nghệ cao để thích ứng kịp thời trước sự thay đổi nhanh chóng của công nghệ cũng như sự phức tạp của tội phạm công nghệ cao ngày nay. 

Ba là, áp dụng công nghệ vào phòng, chống tội phạm công nghệ cao trong hoạt động TGTT. Sử dụng các công nghệ tiên tiến giúp các tổ chức cung ứng dịch vụ TGTT phát hiện các rủi ro an ninh mạng và nhanh chóng phản ứng với các rủi ro đó. Một số công nghệ như trí tuệ nhân tạo (AI) còn có thể cải thiện tri thức an ninh mạng, cải thiện khả năng dự đoán nguy cơ và bảo đảm an ninh mạng. Với sự giúp đỡ từ công nghệ, các tổ chức cung ứng dịch vụ TGTT có thể giảm áp lực do thiếu hụt nguồn nhân lực là những chuyên gia về an ninh mạng trong thời gian gần đây. Tuy nhiên, để đầu tư vào công nghệ tiên tiến đòi hỏi các tổ chức cung ứng dịch vụ TGTT phải dành một khoản tài chính rất lớn và thực hiện một cách đồng bộ, có như thế mới bảo đảm an toàn, an ninh mạng một cách hiệu quả./.

---