Ngân hàng Nhà nước đang lấy ý kiến đối với Dự thảo Thông tư thay thế Thông tư 35/2016/TT-NHNN quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành ngân hàng.
Trong đó đề xuất khách hàng sử dụng Mobile Banking phải xác thực sinh trắc học khi giao dịch lần đầu là vấn đề được đông đảo người dân quan tâm.
Với sự bùng nổ của công nghệ thông tin và xu hướng số hóa trong lĩnh vực ngân hàng, ứng dụng Mobile Banking đã trở thành công cụ không thể thiếu đối với nhiều người dùng. Tuy nhiên, đi kèm với tiện ích là những thách thức về an toàn thông tin và bảo mật dữ liệu.
Trước tình hình đó, việc đề xuất quy định ứng dụng Mobile Banking phải xác thực sinh trắc học khi lần đầu giao dịch điện tử là biện pháp cần thiết và hợp lý.
Lợi ích của việc áp dụng xác thực sinh trắc học:
- Nâng cao tính bảo mật: Xác thực sinh trắc học giúp ngăn chặn các hành vi gian lận và đánh cắp tài khoản, bảo vệ thông tin cá nhân và tài sản của người dùng.
- Tiện lợi cho người dùng: Người dùng không cần phải nhớ nhiều mật khẩu phức tạp, việc đăng nhập và xác thực trở nên nhanh chóng và thuận tiện hơn.
(1) Đề xuất khách hàng sử dụng Mobile Banking phải xác thực sinh trắc học khi giao dịch lần đầu
Dấu hiệu nhận dạng sinh trắc học là những thuộc tính vật lý, đặc điểm sinh học cá biệt và ổn định của một người để nhận diện, phân biệt người này với người khác như khuôn mặt, vân tay, mống mắt, ADN, giọng nói theo khoản 15 Điều 2 dự thảo Thông tư mới.
So với Thông tư 35/2016/TT-NHNN, theo Điều 8 dự thảo Thông tư mới đề cập đến phần mềm Mobile Banking như sau:
- Đối với khách hàng cá nhân, phần mềm ứng dụng Mobile Banking phải xác thực khách hàng trước khi cho phép khách hàng thực hiện giao dịch lần đầu hoặc trước khi khách hàng thực hiện giao dịch trên thiết bị khác với thiết bị thực hiện giao dịch tại ứng dụng Mobile Banking lần gần nhất:
+ Bằng dấu hiệu nhận dạng sinh trắc học của khách hàng: khớp đúng với dữ liệu sinh trắc học được lưu trong chip CCCD của khách hàng do cơ quan Công an cấp; hoặc khớp đúng thông qua xác thực tài khoản định danh điện tử của khách hàng trong do hệ thống định danh và xác thực điện tử tạo lập; hoặc khớp đúng thông qua gặp mặt trực tiếp với khách hàng cá nhân là người nước ngoài hoặc khách hàng cá nhân không phải làm CCCD gắn chíp theo quy định của pháp luật.
+ Hoặc bằng dấu hiệu nhận dạng sinh trắc học của khách hàng khớp đúng với dữ liệu sinh trắc học được lưu trong cơ sở dữ liệu sinh trắc học về khách hàng đã thu thập và kiểm tra (kiểm tra theo các biện pháp được đề cập ở trên hoặc kiểm tra khớp đúng với dấu hiệu sinh trắc học trong cơ sở dữ liệu quốc gia về dân cư), kết hợp với hình thức xác thực SMS OTP hoặc Voice OTP hoặc Soft OTP hoặc Token OTP
Như vậy, dự thảo Thông tư trên mới đề xuất khi sử dụng ứng dụng Mobile Banking phải xác thực khách hàng bằng dấu hiệu nhận dạng sinh trắc học khớp với dữ liệu sinh trắc học được lưu trong chip CCCD của khách hàng do cơ quan Công an cấp, hoặc khớp đúng thông qua xác thực tài khoản định danh điện tử của khách hàng trong do hệ thống định danh và xác thực điện tử tạo lập.
Bài được viết theo Dự thảo Thông tư quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng ( lần 01):https://cdn.thuvienphapluat.vn/uploads/danluatfile/2024/06/18/du-thao-tt-thay-the-tt-35.docx
(2) Yêu cầu đối với hình thức xác thực giao dịch điện tử bằng nhận dạng sinh trắc học
Theo khoản 9 Điều 11 dự thảo Thông tư mới đề cập hình thức xác thực bằng dấu hiệu nhận dạng sinh trắc học phải đáp ứng yêu cầu:
- Trường hợp xác thực bằng dấu hiệu nhận dạng sinh trắc học gắn liền với thiết bị di động: chỉ cho phép kích hoạt sử dụng sau khi có sự đồng ý của khách hàng và khách hàng đã thực hiện một số lần (do đơn vị quy định) giao dịch thành công bằng hình thức xác thực khác.
- Trường hợp xác thực bằng dấu hiệu nhận dạng sinh trắc học thông qua CCCD gắn chíp của khách hàng do cơ quan Công an cấp; hoặc thông qua xác thực tài khoản định danh điện tử của khách hàng do hệ thống định danh và xác thực điện tử tạo lập; hoặc thông qua cơ sở dữ liệu sinh trắc học về khách hàng đã thu thập và kiểm tra (kiểm tra theo các biện pháp tại điểm a khoản 4 Điều 8 dự thảo hoặc kiểm tra khớp đúng với dấu hiệu sinh trắc học trong cơ sở dữ liệu quốc gia về dân cư) phải tuân thủ tối thiểu các quy định sau:
Đơn vị lựa chọn công nghệ xác thực sinh trắc học có độ chính xác được xác định theo tiêu chuẩn quốc tế như sau (hoặc tương đương):
- Có tỷ lệ chấp nhận sai (FAR) < 0.01% theo tiêu chuẩn FIDO Biometric Requirement.
- Có tỷ lệ từ chối sai (FRR) < 5% theo tiêu chuẩn FIDO Biometric Requirement.
Có khả năng phát hiện các cuộc tấn công giả mạo dấu hiệu sinh trắc học của vật thể sống (Presentation Attack Detection - PAD) dựa trên các tiêu chuẩn quốc tế (như NIST Special Publication 800-63B Digital Identity Guidelines: Authentication and Lifecycle Management hoặc ISO 30107 - Biometric presentation attack detection hoặc FIDO Biometric Requirements) để phòng chống gian lận, giả mạo khách hàng qua hình ảnh, video, mặt nạ 3D.
- Vô hiệu hóa hình thức xác thực bằng sinh trắc học trong trường hợp xác thực sai liên tiếp quá số lần do đơn vị quy định (nhưng không quá 10 lần). Đơn vị chỉ mở lại khi khách hàng yêu cầu và phải xác thực khách hàng trước khi thực hiện, bảo đảm chống gian lận, giả mạo.
Tóm lại, dự thảo Thông tư trên mới đề xuất khi sử dụng ứng dụng Mobile Banking lần đầu phải xác thực bằng dấu hiệu nhận dạng sinh trắc học.
Bên cạnh đó, hình thức nhận dạng sinh trắc học phải đảm bảo các yêu cầu theo quy định tại dự thảo. Dự kiến Thông tư mới có hiệu lực vào ngày ngày 01/01/2025.
Bài được viết theo Dự thảo Thông tư quy định về an toàn, bảo mật cho việc cung cấp dịch vụ trực tuyến trong ngành Ngân hàng ( lần 01):https://cdn.thuvienphapluat.vn/uploads/danluatfile/2024/06/18/du-thao-tt-thay-the-tt-35.docx
