NHẬN DIỆN RỦI RO ĐỐI VỚI HOẠT ĐỘNG ĐỊNH DANH KHÁCH HÀNG ĐIỆN TỬ (EKYC) TRONG HOẠT ĐỘNG NGÂN HÀNG Đặt vấn đề Định danh khách hàng ện tử (electronic Know Your Customer - eKYC) hiểu việc thiết lập mối quan hệ định danh khách hàng phương tiện điện tử, bao gồm kênh trực tuyến kênh di động, mà không cần phải gặp mặt trực tiếp Theo đó, việc áp dụng công nghệ đại, tổ chức định danh khách hàng thu thập đặc điểm sinh trắc học khách hàng từ xa để xác thực với nguồn liệu sở thông tin giấy tờ tùy thân, sở liệu dân cư, sở nhận dạng Do đó, quy trình định danh điện tử có hai yếu tố đặc biệt quan trọng là: (1) Nguồn liệu tin cậy làm sở đối chiếu (2) Công ngh ệ chuẩn xác để thu thập thông tin sinh trắc học khách hàng Để đảm bảo an toàn hiệu định danh điện tử, khung pháp lý cần điều chỉnh hai vấn đề Tại Việt Nam, trước sở pháp lý thức cho eKYC vi ệc mở tài khoản toán ban hành (Thông tư số 16/2020/TT-NHNN ngày 04/12/2020 Thống đốc Ngân hàng Nhà nư ớc (NHNN) sửa đổi, bổ sung số điều Thông tư số 23/2014/TT-NHNN ngày 19/8/2014 Thống đốc NHNN hướng dẫn việc mở sử dụng tài khoản toán tổ chức cung ứng dịch vụ toán), ngành Ngân hàng l ần lượt ứng dụng eKYC vào quy trình nhận biết khách hàng cung cấp sản phẩm, dịch vụ tài Chỉ năm 2020, hàng lo ạt ngân hàng liên tiếp cơng bố hồn thiện quy trình cơng nghệ, sẵn sàng thực mở tài khoản không gặp mặt trực tiếp khách hàng Đến cuối năm 2021, có 24 t ổ chức tín dụng thức triển khai mở tài khoản toán eKYC, v ới khoảng 3,37 triệu tài khoản toán mở phương thức hoạt động, coi giải pháp đột phá giúp thúc đẩy tài tồn diện, đưa ngân hàng đến gần với khách hàng, đ ồng thời góp phần thực q trình chuyển đổi số ngân hàng Đặc biệt bối cảnh dịch bệnh Covid-19, việc ban hành kịp thời sách giúp khách hàng ti ếp cận, sử dụng dịch vụ tốn mà khơng phải đến quầy giao dịch ngân hàng Ngày 16/11/2021, Th ống đốc NHNN ban hành Thơng tư s ố 17/2021/TTNHNN, có quy định việc phát hành thẻ phương thức điện tử (có hiệu lực từ 01/01/2022) nh ằm tạo điều kiện cho việc ứng dụng công nghệ nhằm đẩy mạnh tốn khơng dùng ti ền mặt chuyển đổi số hoạt động thẻ ngân hàng, tạo điều kiện cho người dân tiếp cận dịch vụ tốn đ ại dịch Covid-19 mà khơng cần đến ngân hàng mở thẻ Có thể thấy, hướng dẫn eKYC mà ngành Ngân hàng áp d ụng bắt kịp xu hướng công nghệ thay đổi thị trường hướng tới phát triển mô hình ngân hàng số, gia tăng tiện ích, trải nghiệm khách hàng thực mục tiêu tài tồn di ện, phát triển bền vững sở thúc đẩy ứng dụng công nghệ mới, tiên tiến quản trị điều hành cung ứng sản phẩm, dịch vụ theo hướng tự động hóa quy trình, tối ưu hóa hoạt động nghiệp vụ Việc ban hành sách cho th ngành Ngân hàng Việt Nam có chuẩn bị, nghiên cứu, phát triển sản phẩm, dịch vụ ngân hàng số giúp nâng cao trải nghiệm gia tăng hài lòng khách hàng chủ động tham gia Cách mạng công nghiệp lần thứ tư chương trình chuy ển đổi số quốc gia Việc triển khai eKYC có ý nghĩa l ớn khai thác lư ợng lớn khách hàng chưa tiếp cận dịch vụ tài chính, mở bước phát triển vượt bậc thúc đẩy tài toàn diện Việt Nam Tuy nhiên, việc phát triển eKYC nhanh chóng lĩnh v ực nhạy cảm tài chính, ngân hàng đ ặt nhiều vấn đề khả kiểm sốt rủi ro, an tồn h ệ thống bảo mật eKYC rủi ro cần nhận diện Theo Lực lượng đặc nhiệm tài quốc tế (FATF), quan hệ giao dịch không gặp mặt trực tiếp khách hàng đư ợc xếp vào nhóm tình có độ rủi ro cao vi ệc phòng, chống rửa tiền tài trợ khủng bố Do đó, biện pháp định danh khách hàng nâng cao c ần thực thi Trong đó, giao dịch eKYC hoạt động ngân hàng lần đầu thiết lập mối quan hệ nhận diện với nhiều rủi ro: Rủi ro mạo danh Mạo danh hiểu người giả vờ có danh tính người thật khác cách sử dụng tài liệu bị đánh cắp, kết hợp với chứng giả mạo, thay ảnh giấy tờ thức người hình ảnh kẻ mạo danh Trong quy trình định danh điện tử, thủ thuật tinh vi đối tượng mạo nhận danh tính người để mở tài khoản đánh cắp mật khẩu, thông tin người dùng nhằm thực giao dịch điện tử Hiện nay, chất lượng tinh vi công nghệ “deepfake” để bỏ qua bước kiểm tra thực thể sống trình xác th ực phát triển ngày nhanh, tr thành mối đe dọa lớn với quy trình eKYC (Holland & Marie, 2020) Mặt khác, vi ệc gặp mặt khách hàng trực tiếp tạo điều kiện thuận lợi cho xem xét gốc giấy tờ tùy thân nh ận diện trực tiếp cử chỉ, đặc điểm sinh trắc chữ ký khách hàng eKYC lại nhận dạng giấy tờ qua phiên điện tử, dễ làm giả sử dụng cơng nghệ cắt ghép ảnh Theo đó, rủi ro mô tả trường hợp, tài liệu làm sở đối chiếu, nhận dạng giả mạo thay đổi để khớp với thông tin nhận dạng đặc điểm vật lý kẻ lừa đảo nhằm mục đích đánh bại việc so sánh sinh trắc học công nghệ phẫu thuật thẩm mỹ làm thay đổi đặc điểm nhận dạng tội phạm rửa tiền, khủng bố (European Union, 2019) Rủi ro bảo mật thông tin quy ền riêng tư khách hàng Thông tin khách hàng đư ợc cung cấp, xử lý lưu trữ mơi trường mạng có nguy bị rò rỉ, đánh cắp Hacker hay loại mã độc, virus xâm nhập vào quy trình định danh lấy cắp thông tin khách hàng sử dụng cho mục đích bất hợp pháp Ngồi ra, vi ệc thu thập chia sẻ liệu định danh tổ chức mà khơng có đồng ý khách hàng dẫn đến xâm phạm quyền riêng tư khách hàng, liệu bị khai thác cho mục đích thương mại khác mà không riêng dịch vụ khách hàng yêu cầu Rủi ro xảy q trình ngân hàng t ự làm dày thơng tin cách chủ động kết nối chia sẻ thông tin với nhà mạng viễn thông hay tổ chức khác thu thập thông tin khách hàng Do đó, cần có đánh giá tác động quyền riêng tư (PIA) theo m ột tiêu chuẩn chung, điển tiêu chuẩn thuộc Quy chế bảo vệ liệu toàn cầu (Global Data Protection Regulation - GDPR) quy trình định danh điện tử Đặc biệt, việc trao đổi liệu với nhà cung cấp bên thứ ba phải thực thông qua giao th ức đảm bảo tính bảo mật liệu (European Union, 2019) Rủi ro rửa tiền, tài trợ khủng bố Rửa tiền hiểu đối tượng lợi dụng việc không gặp mặt trực tiếp để mở tài khoản kênh đưa nguồn tiền bất hợp pháp vào giao dịch nhận nguồn tiền bất hợp pháp từ đối tượng phạm tội Lợi dụng giao dịch hồn tồn mơi trư ờng mạng mà khơng phải diện trực tiếp, đối tượng mở sử dụng tài khoản nhằm cung cấp tài cho cá nhân, nhóm kh ủng bố nư ớc Đối tượng thuộc danh sách rửa tiền, tài trợ khủng bố trang bị công nghệ vượt qua bước định danh điện tử ngân hàng sử dụng thông tin giả mạo, sử dụng chủ thể trung gian để phạm tội Nếu hệ thống định danh điện tử ngân hàng khơng đủ khả nhận diện, kiểm sốt đặt giới hạn giao dịch việc khơng phải gặp mặt trực tiếp giao dịch ngân hàng trở thành kênh thuận lợi cho tội phạm Rủi ro công nghệ Công nghệ yếu tố cốt lõi triển khai eKYC, cơng ngh ệ phải thiết kế đảm bảo khả nhận dạng xác thực xác thơng tin Tùy tính hiệu mà giải pháp công nghệ cung cấp mức độ nhận dạng xác thực xác khác Các công nghệ thường ứng dụng quy trình eKYC như: Máy h ọc (ML), trí tuệ nhân tạo (AI), công nghệ nhận dạng ký tự quang học (OCR), công nghệ nhận diện khuôn mặt (Face Recognition), công ngh ệ nhận diện người sống (Liveness Check), công nghệ nhận diện khách hàng giả mạo, lừa đảo (Fraud detection) Nếu giải pháp công nghệ tự sử dụng mà khơng có quy chuẩn đánh giá, kiểm tra tính hiệu dẫn đến nguy sai sót thơng tin lớn nhận dạng, trở thành lỗ hổng để tội phạm công nghệ cao tận dụng Khuyến nghị Ủy ban châu Âu rằng, quan quản lý châu Âu đưa điều kiện đánh giá công ngh ệ, giải pháp kỹ thuật với tiêu chí khách quan tiêu chu ẩn kỹ thuật định Mặt khác, tổ chức định danh cần xây dựng quy trình tự đánh giá giải pháp kỹ thuật, rủi ro liên quan công nghệ, tác động đến quyền riêng tư khách hàng, hiệu việc định danh (European Union, 2019) Rủi ro an ninh mạng, an tồn hệ thống Rủi ro hiểu hệ thống máy chủ, thiết bị di động, hệ thống điện tử, mạng liệu ứng dụng điện tử bị xâm nhập công mối đe dọa hacker, tội phạm công nghệ cao Các mối đe dọa khai thác lỗ hổng quy trình th ủ tục định danh điện tử bao gồm lỗ hổng công nghệ, nguồn liệu, cẩn trọng khách hàng để thực hành vi cài mã đ ộc vào website, ứng dụng ngân hàng điện tử, email khách hàng nhằm theo dõi, đánh cắp mã OTP, giả mạo ngân hàng gửi tin nhắn, thông báo yêu cầu giao dịch, phá hủy sở liệu khách hàng Đây m ột rủi ro mang tính h ệ thống bao trùm rủi ro đề cập mức độ tác động diện rộng nó, gây nên gián đoạn quy trình định danh th ời gian dài, so kh ớp sai lệch, giao dịch khơng theo thời gian thực, tồn liệu khách hàng bị đánh cắp xóa bỏ mã hóa Theo Liên minh châu Âu, quy trình đ ịnh danh điện tử, sở liệu định danh đối tượng công mạng, vơ hiệu hóa cấp độ quốc gia (European Union, 2019) R ủi ro an ninh mạng tồn hoạt động ngân hàng, nhiên, v ới quy trình eKYC cho phép giao dịch hồn tồn mơi trư ờng mạng người dùng hồn tồn tin tưởng vào tương tác tr ực tuyến với ngân hàng lại tạo nên nhiều lỗ hổng cho xâm nhập mối đe dọa Kinh nghiệm quốc tế nhìn từ Singapore Thái Lan 3.1 Kinh nghiệm Singapore Trong nỗ lực khuyến khích tăng trưởng Fintech đồng thời trì mơi trường pháp lý nghiêm ng ặt, Đảo quốc Sư tử phải đảm bảo quy định hướng dẫn thực thi ban hành cách nhanh chóng (Holland & Marie, 2020) Năm 2018, Ngân hàng Trung ương Singapore (Monetary Authority of Singapore - MAS) ban hành Thông tư s ố AMLD 01/2018 hướng dẫn biện pháp định danh, đảm bảo an toàn không gặp mặt trực tiếp khách hàng lần đầu thiết lập mối quan hệ Theo đó, Thơng tư cung c ấp hướng dẫn việc sử dụng tảng MyInfo nguồn thông tin nh ận dạng xác minh Hệ thống MyInfo dùng làm nguồn liệu thức cho việc định danh khách hàng Dữ liệu định danh MyInfo đư ợc Chính phủ xác thực Người dùng khơng cịn cần phải điền vào biểu mẫu vật lý hay quét tài liệu nhận dạng họ thơng tin đ ịnh danh tự động truy xuất tảng Dựa đồng ý người dùng, liệu chuyển đến tổ chức cần định danh người dùng nhận cảnh báo dịch vụ điện tử sử dụng liệu cá nhân họ (JX Low, 2018) Thông tư nêu bật cân nhắc liên quan đến việc sử dụng biện pháp xác minh không gặp mặt trực tiếp (NFTF) cung c ấp thêm ví dụ biện pháp NFTF mà tổ chức tài (FI) có th ể sử dụng kiểm tra bổ sung để quản lý rủi ro mạo danh Ngoài ra, MAS yêu c ầu thực đánh giá tiêu chuẩn công nghệ thực định danh lưu giữ hồ sơ để báo cáo kiểm tra Cụ thể, hiệu giải pháp công nghệ việc quản lý rủi ro mạo danh NFTF phải đánh giá độc lập từ chuyên gia sau 01 năm tri ển khai Báo cáo đánh giá ph ải lưu trữ tối thiểu 05 năm sau công n ghệ khơng cịn sử dụng MAS có quyền kiểm tra báo cáo đánh giá đ ộc lập để thực chức giám sát hoạt động tài Đối với rủi ro eKYC, MAS đưa lựa chọn để tổ chức tài áp dụng giải rủi ro eKYC thực gọi video trực tuyến thời gian thực; cung cấp tài liệu nhận dạng công chứng, chứng thực (MAS, 2020) 3.2 Kinh nghiệm Thái Lan Tại Thái Lan, trư ớc áp dụng eKYC rộng rãi d ịch vụ tài chính, Ngân hàng Trung ương Thái Lan (BOT) xây d ựng khung pháp lý thử nghiệm có kiểm sốt (Sandbox) v ới dịch vụ mở tài khoản tiết kiệm ví điện tử Theo Báo cáo hệ thống toán c BOT năm 2019, hàng lo ạt tổ chức thử nghiệm dịch vụ mở tài khoản ngân hàng định danh điện tử hoàn toàn đáp ứng yêu cầu Sandbox để cung cấp dịch vụ rộng rãi công chúng BOT h ỗ trợ tích cực cho hoạt động eKYC thơng qua việc ban hành hướng dẫn sử dụng công nghệ sinh trắc học dịch vụ tài nhằm cung cấp thơng lệ tốt cho nhà cung cấp dịch vụ tài để sử dụng cơng nghệ sinh trắc học theo cách thức phù hợp, an toàn tuân thủ tiêu chuẩn quốc tế Về phát triển sở liệu định danh, BOT hỗ trợ phát triển tảng Định danh số quốc gia (NDID), đóng vai trò s hạ tầng cho việc xác minh xác thực danh tính số Đây tảng kết hợp hoạt động tổ chức gồm: Nhà cung cấp dịch vụ, đơn vị định danh, đơn vị cung cấp thông tin khách hàng phục vụ việc định danh an tồn, cung c ấp thơng tin cần thiết cho giao dịch đảm bảo quyền riêng tư thông tin chia s ẻ tảng phải có đồng ý khách hàng (BOT, 2019) V ới NDID, việc định danh điện tử đảm bảo hai yếu tố công nghệ xác thực sở liệu đối chiếu mà tất các bên tham gia n ền tảng phải trải qua quy trình ki ếm sốt cấp phép hoạt động tảng từ quan quản lý Nhờ đó, rủi ro mạo danh, an toàn bảo mật, quyền riêng tư khách hàng phòng, ch ống rửa tiền, tài trợ khủng bố kiểm soát chặt chẽ Quản lý rủi ro liên quan đến eKYC Việt Nam số khuyến nghị Thực tế việc định danh điện tử Việt Nam bật đèn xanh từ Chính phủ ban hành Nghị định số 87/2019/NĐ-CP cho phép tổ chức tài định gặp mặt trực tiếp khơng gặp mặt trực tiếp khách hàng lần đầu thiết lập mối quan hệ Tuy nhiên, Ngh ị định đề cập đến nguyên tắc việc đặt yêu cầu tổ chức tài phải đảm bảo có biện pháp, hình thức cơng nghệ để nhận biết xác minh khách hàng không gặp mặt trực tiếp Mãi đến Thông tư số 16/2020/TT-NHNN gần đây, Thông tư s ố 17/2021/TT-NHNN ban hành thị trường có hướng dẫn tương đối rõ ràng Việc ban hành thông tư xác lập chế pháp lý giải rủi ro việc mở tài khoản tốn hồn tồn b ằng phương thức điện tử Thứ nhất, nhằm giải rủi ro mạo danh, Thông tư yêu cầu ngân hàng phải có giải pháp cơng ngh ệ để thu thập, kiểm tra, đối chiếu, đảm bảo khớp thông tin nhận biết khách hàng, liệu sinh trắc học khách hàng với thông tin, yếu tố sinh trắc học tương ứng giấy tờ tùy thân với liệu định danh cá nhân đư ợc xác thực quan nhà nước có thẩm quyền tổ chức tín dụng khác tổ chức cung ứng dịch vụ định danh xác thực điện tử Quy trình ngân hàng phải đảm bảo khách hàng thực giao dịch tài khoản toán mở phương thức điện tử chủ tài khoản tốn đó, ngăn chặn hành vi mạo danh, can thiệp, chỉnh sửa, làm sai lệch việc xác minh thơng tin Trư ờng hợp có dấu hiệu mạo danh, ngân hàng phải xây dựng giải pháp tự động để từ chối dừng giao dịch, tạm khóa phong tỏa tài khoản tốn tiến hành xác minh lại thông tin nh ận biết khách hàng Để giải rủi ro eKYC, đặc biệt rủi ro mạo danh, hai yếu tố tảng quan trọng công nghệ thu thập liệu, xác minh sở liệu đối chiếu thông tin thu thập Về mặt này, NHNN trao quyền chủ động cho ngân hàng tự lựa chọn áp dụng giải pháp công nghệ sở liệu đối chiếu tự chịu trách nhiệm rủi ro phát sinh Bên cạnh đó, để kiểm soát nguồn liệu định danh, NHNN giới hạn đối tượng khách hàng Theo đó, khơng áp d ụng mở tài khoản toán phương thức điện tử khách hàng cá nhân ngư ời nước ngoài, người chưa đủ 18 tuổi, người bị hạn chế lực hành vi dân sự, người có khó khăn nh ận thức, làm chủ hành vi Thứ hai, nhằm bảo mật thông tin khách hàng đảm bảo quyền riêng tư, NHNN yêu cầu thơng tin, liệu q trình đ ịnh danh giao dịch phải lưu trữ an toàn, bảo mật, lưu dự phòng Thứ ba, để giảm thiểu rủi ro rửa tiền tài trợ khủng bố, NHNN đặt biện pháp giới hạn khả sử dụng tài khoản Theo đó, ngân hàng phải điều kiện công nghệ để đánh giá rủi ro xác định hạn mức giao dịch phạm vi sử dụng tài khoản Mỗi ngân hàng có sách khác đ ảm bảo tổng hạn mức giá trị giao dịch (ghi Nợ) qua tài kho ản toán khách hàng Chúng kỳ vọng phát triển mạnh mẽ giải pháp eKYC Việt Nam từ mở đường Thông tư số 16/2020/TT-NHNN Thông tư số 17/2021/TT-NHNN Hướng dẫn Thông tư 17/2021/ TT-NHNN phù hợp với bối cảnh tại, vừa tạo sở pháp lý cho việc áp dụng eKYC, vừa tạo nhiều không gian cho giải pháp công ngh ệ phát triển ứng dụng Thực tế cho thấy, việc triển khai eKYC Việt Nam có phát triển nhanh số lượng, nhiên, chưa có đánh giá th ức rủi ro chất lượng giải pháp eKYC lĩnh vực ngân hàng áp dụng Về mặt sở liệu, cho r ằng, thời gian tới, NHNN cần nhanh chóng thúc đ ẩy lộ trình xây dựng sở liệu phục vụ cho hoạt động eKYC hệ thống ngân hàng Cơ s liệu cần xây dựng song song mang tính k ết nối, liên thông v ới liệu quốc gia dân cư liệu Trung tâm Thông tin tín d ụng Quốc gia Việt Nam (CIC) Bên cạnh đó, cần phải có hướng dẫn cụ thể quyền cách thức truy cập sử dụng sở liệu ngân hàng t ổ chức cung cấp giải pháp eKYC Về giải pháp công nghệ, ủng hộ chế khuyến khích quyền tự lựa chọn tự chịu trách nhiệm ngân hàng Tuy nhiên, NHNN cần thiết lập tiêu chí đánh giá chất lượng giải pháp việc thực thi eKYC ngân hàng Cơ chế báo cáo giải trình cần thiết lập để phục vụ cho hoạt động giám sát, điều chỉnh can thiệp kịp thời NHNN rủi ro xảy Có thể khẳng định rằng, eKYC tảng để phát triển ngân hàng số Việt Nam, vậy, việc ngân hàng thương mại áp dụng eKYC có xu hướng ngày tr nên phổ biến Tuy nhiên, kèm với lợi ích tính ưu v iệt, rủi ro eKYC ln thư ờng trực Điều địi hỏi ngân hàng thương mại cần có thận trọng việc lựa chọn công nghệ triển khai song song h ệ thống bảo mật, nhận diện, quản lý rủi ro quản trị liệu hhttps://www.thesaigon times.vn/308312/dinh -danh-khach-hang-dien-tutai-viet-nam-thi-truong-da-san-sang-chi-con-thieu-khung-phap-ly.html; truy cập ngày 20/01/2020 http://www.fatfgafi.org/media/fatf/documents/recommendations/pdfs/FATF%20Recommend ations%202012.pdf https://www.mas.gov.sg/-/media/MAS/Regulations -and-FinancialStability/Regulatory-and-Supervisory-Framework/Anti_MoneyLaundering_Countering-the-Financing-of-Terrorism/Circular-on-MyInfoand-CDD-on-NFTF-business-relations.pdf https://vnba.org.vn/index.php?option= com_k2&view=item&id= 12772:ekyc-cua-da-mo-nhung-khong-nen-voi&lang=vi https://www.mas.gov.sg/ -/media/MAS/Regulations -and-FinancialStability/Regulatory-and-Supervisory-Framework/Anti_MoneyLaundering_Countering-the-Financing-of-Terrorism/Circular-on-MyInfoand-CDD-on-NFTF-business-relations.pdf Tài liệu tham khảo: Bank of Thailand (2019), The First Step of the Payment Systems Roadmap No.4, Payment systems Report 2019, https://www.bot.or.th/English/PaymentSystems/Publication/PS_Annually_R eport/Documents/Payment_2019_E.pdf, truy c ập ngày 20/01/2021 Holland & Marie (2020), The payment service act and non -face-to-face KYC, Holland & Marie and Maven Diligence, http://hollandandmarie.com/wp -content/uploads/2020/03/NFTF2020.pdf, truy cập ngày 20/01/2021 European Union (2019), Report on existing remote on -boarding solutions in the banking sector: Assessment of risks and associated mitigating controls, including interoperability of the remote solutions December 2019 ... động ngân hàng lần đầu thiết lập mối quan hệ nhận diện với nhiều rủi ro: Rủi ro mạo danh Mạo danh hiểu người giả vờ có danh tính người thật khác cách sử dụng tài liệu bị đánh cắp, kết hợp với. .. tiếp khách hàng đư ợc xếp vào nhóm tình có độ rủi ro cao vi ệc phòng, chống rửa tiền tài trợ khủng bố Do đó, biện pháp định danh khách hàng nâng cao c ần thực thi Trong đó, giao dịch eKYC hoạt động. .. ảnh kẻ mạo danh Trong quy trình định danh điện tử, thủ thuật tinh vi đối tượng mạo nhận danh tính người để mở tài khoản đánh cắp mật khẩu, thông tin người dùng nhằm thực giao dịch điện tử Hiện