Nhận diện rủi ro hoạt động định danh khách hàng điện tử hoạt động ngân hàng Định danh khách hàng điện tử (electronic Know Your Customer eKYC) hiểu việc thiết lập mối quan hệ định danh khách hàng phương tiện điện tử, bao gồm kênh trực tuyến kênh di động mà không cần phải gặp mặt trực tiếp Đặt vấn đề Định danh khách hàng ện tử (electronic Know Your Customer - eKYC) hiểu việc thiết lập mối quan hệ định danh khách hàng phương tiện điện tử, bao gồm kênh trực tuyến kênh di động mà không cần phải gặp mặt trực tiếp Theo đó, việc áp dụng công nghệ đại, tổ chức định danh khách hàng thu thập đặc điểm sinh trắc học khách hàng từ xa để xác thực với nguồn liệu sở thông tin giấy tờ tùy thân, sở liệu dân cư, sở nhận dạng Do đó, quy trình định danh điện tử có yếu tố đặc biệt quan trọng là: (i) Nguồn liệu tin cậy làm sở đối chiếu (ii) Công nghệ chuẩn xác để thu thập thông tin sinh trắc học khách hàng Để đảm bảo an toàn hiệu định danh điện tử, khung pháp lý cần điều chỉnh hai vấn đề Tại Việt Nam, trước sở pháp lý thức cho eKYC vi ệc mở tài khoản tốn đư ợc ban hành (Thơng tư số 16/2020/TT-NHNN ngày 04/12/2020 Thống đốc Ngân hàng Nhà nư ớc Việt Nam (NHNN) sửa đổi, bổ sung số điều Thông tư số 23/2014/TT-NHNN ngày 19/8/2014 Thống đốc NHNN hướng dẫn việc mở sử dụng tài khoản toán tổ chức cung ứng dịch vụ toán), ngành Ngân hàng ứng dụng eKYC vào quy trình nh ận biết khách hàng cung cấp sản phẩm dịch vụ tài Chỉ năm 2020, hàng loạt ngân hàng liên tiếp cơng bố hồn thiện quy trình cơng nghệ, sẵn sàng thực mở tài khoản không gặp mặt trực tiếp khách hàng Vi ệc triển khai e-KYC có ý nghĩa lớn khai thác lư ợng lớn khách hàng chưa tiếp cận dịch vụ tài chính, mở bước phát triển vượt bậc thúc đẩy tài toàn diện Việt Nam Tuy nhiên, vi ệc phát triển eKYC nhanh chóng lĩnh v ực nhạy cảm tài chính, ngân hàng đ ặt nhiều vấn đề khả kiểm sốt rủi ro, an tồn hệ thống bảo mật eKYC rủi ro cần nhận diện Theo Lực lượng đặc nhiệm tài quốc tế (FATF), quan hệ giao dịch không gặp mặt trực tiếp khách hàng đư ợc xếp vào nhóm tình có độ rủi ro cao vi ệc phòng, chống rửa tiền tài trợ khủng bố Do đó, biện pháp định danh khách hàng nâng cao c ần thực thi Trong đó, giao dịch eKYC hoạt động ngân hàng lần đầu thiết lập mối quan hệ nhận diện với nhiều rủi ro: - Rủi ro mạo danh (FATF, 2020) Mạo danh hiểu người giả vờ có danh tính người thật khác cách sử dụng tài liệu đánh cắp, kết hợp với chứng giả mạo, thay ảnh giấy tờ thức người hình ảnh kẻ mạo danh Trong quy trình định danh điện tử, thủ thuật tinh vi, đối tượng mạo nhận danh tính người để mở tài khoản đánh cắp mật khẩu, thông tin c người dùng nhằm thực giao dịch điện tử Hiện nay, chất lượng tinh vi công nghệ “Deepfake” để bỏ qua bước kiểm tra thực thể sống trình xác thực phát triển ngày nhanh, tr thành mối đe dọa lớn với quy trình eKYC (Holland & Marie, 2020) M ặt khác, việc gặp mặt khách hàng trực tiếp tạo điều kiện thuận lợi cho xem xét gốc giấy tờ tùy thân nhận diện trực tiếp cử chỉ, đặc điểm sinh trắc chữ ký khách hàng eKYC l ại nhận dạng giấy tờ qua phiên điện tử, dễ làm giả sử dụng cơng nghệ cắt ghép ảnh Theo đó, rủi ro mơ tả trường hợp tài liệu làm sở đối chiếu, nhận dạng giả mạo thay đổi để khớp với thông tin nhận dạng đặc điểm vật lý kẻ lừa đảo nhằm mục đích đánh bại việc so sánh sinh tr ắc học công nghệ phẫu thuật thẩm mỹ làm thay đổi đặc điểm nhận dạng tội phạm rửa tiền, khủng bố (European Union, 2019) - Rủi ro bảo mật thông tin quyền riêng tư khách hàng: Thông tin khách hàng cung cấp, xử lý lưu trữ mơi trường mạng có nguy bị rò rỉ, đánh cắp Hacker hay loại mã độc, virus xâm nhập vào quy trình định danh lấy cắp thông tin khách hàng s dụng cho mục đích bất hợp pháp Ngồi ra, vi ệc thu thập chia sẻ liệu định danh tổ chức mà khơng có đồng ý khách hàng dẫn đến xâm phạm quyền riêng tư khách hàng, liệu bị khai thác cho mục đích thương mại khác mà khơng ch ỉ riêng dịch vụ khách hàng yêu cầu Rủi ro xảy q trình ngân hàng t ự làm dày thông tin b ằng cách chủ động kết nối chia sẻ thông tin với nhà mạng viễn thông hay t ổ chức khác thu thập thơng tin khách hàng Do đó, cần có đánh giá tác động quyền riêng tư (PIA) theo tiêu chuẩn chung, điển tiêu chuẩn thuộc Quy chế bảo vệ liệu toàn cầu (Global Data Protection Regulation - GDPR) quy trình định danh điện tử Đặc biệt, việc trao đổi liệu với nhà cung c ấp bên thứ ba phải thực thông qua giao thức đảm bảo tính bảo mật liệu (European Union, 2019) - Rủi ro rửa tiền, tài trợ khủng bố: Rửa tiền hiểu đối tượng lợi dụng việc không gặp mặt trực tiếp để mở tài khoản kênh đưa nguồn tiền bất hợp pháp vào giao dịch nhận nguồn tiền bất hợp pháp từ đối tượng phạm tội Lợi dụng giao dịch hoàn toàn môi trư ờng mạng mà diện trực tiếp, đối tượng mở sử dụng tài khoản nhằm cung cấp tài cho cá nhân, nhóm kh ủng bố ngồi nước Đối tượng thuộc danh sách rửa tiền, tài trợ khủng bố trang bị công nghệ vượt qua bước định danh điện tử ngân hàng sử dụng thông tin giả mạo, sử dụng chủ thể trung gian để phạm tội Nếu hệ thống định danh điện tử ngân hàng không đủ khả nhận diện, kiểm soát đặt giới hạn giao dịch việc khơng phải gặp mặt trực tiếp giao dịch ngân hàng trở thành kênh thuận lợi cho tội phạm - Rủi ro công nghệ: Công nghệ yếu tố cốt lõi triển khai eKYC, đó, cơng nghệ phải thiết kế đảm bảo khả nhận dạng xác thực xác thơng tin Tùy tính hi ệu mà giải pháp công nghệ cung cấp mức độ nhận dạng xác thực xác khác Các cơng nghệ thường ứng dụng quy trình eKYC như: Máy h ọc (Machine Learning), trí tu ệ nhân tạo (AI), cơng nghệ nhận dạng ký tự quang học (OCR), công ngh ệ nhận diện khuôn mặt (Face Recognition), công nghệ nhận diện người sống (Liveness Check), công ngh ệ nhận diện khách hàng giả mạo, lừa đảo (Fraud detection) Nếu giải pháp công nghệ tự sử dụng mà khơng có quy chu ẩn đánh giá, kiểm tra tính hiệu dẫn đến nguy sai sót thông tin l ớn nhận dạng, trở thành lỗ hổng để tội phạm công nghệ cao tận dụng Khuyến nghị Ủy ban châu Âu (EC) rằng, quan quản lý Liên minh châu Âu (EU) đưa điều kiện đánh giá công ngh ệ, giải pháp kỹ thuật với tiêu chí khách quan tiêu chuẩn kỹ thuật định Mặt khác, tổ chức định danh cần xây dựng quy trình tự đánh giá giải pháp kỹ thuật, rủi ro liên quan công ngh ệ, tác động đến quyền riêng tư khách hàng, hiệu việc định danh (European Union, 2019) - Rủi ro an ninh mạng, an toàn hệ thống: Rủi ro hiểu hệ thống máy chủ, thiết bị di động, hệ thống điện tử, mạng, liệu, ứng dụng điện tử bị xâm nhập công mối đe dọa hacker, tội phạm công nghệ cao Các mối đe dọa khai thác lỗ hổng quy trình thủ tục định danh điện tử bao gồm lỗ hổng công nghệ, nguồn liệu, thiếu cẩn trọng khách hàng để thực hành vi cài mã độc vào website, ứng dụng ngân hàng điện tử, email khách hàng nhằm theo dõi, đánh cắp mã OTP, giả mạo ngân hàng gửi tin nhắn, thông báo yêu c ầu giao dịch, phá hủy sở liệu khách hàng Đây rủi ro mang tính hệ thống bao trùm rủi ro đề cập mức độ tác động diện rộng nó, gây nên gián đoạn quy trình định danh thời gian dài, so khớp sai lệch, giao dịch khơng theo th ời gian thực, tồn liệu khách hàng bị đánh cắp, xóa bỏ mã hóa Theo EC, quy trình định danh điện tử, sở liệu định danh đối tượng cơng mạng, vơ hiệu hóa cấp độ quốc gia (European Union, 2019) Rủi ro an ninh mạng tồn hoạt động ngân hàng, nhiên, với quy trình eKYC cho phép giao d ịch hồn tồn mơi trường mạng người dùng hoàn toàn tin tưởng vào tương tác trực tuyến với ngân hàng lại tạo nên nhiều lỗ hổng cho xâm nhập mối đe dọa Kinh nghiệm Singapore Thái Lan 3.1 Singapore Trong nỗ lực khuyến khích tăng trưởng cơng ty cơng ngh ệ tài (Fintech), đồng thời trì mơi trư ờng pháp lý nghiêm ng ặt, Đảo quốc Sư tử phải đảm bảo quy định hướng dẫn thực thi ban hành cách nhanh chóng (Holland & Marie, 2020) Năm 2018, Ngân hàng Trung ương nước (Monetary Authority of Singapore - MAS) ban hành Thông tư số AMLD 01/2018 hướng dẫn biện pháp định danh, đảm bảo an tồn khơng gặp mặt trực tiếp khách hàng l ần đầu thiết lập mối quan hệ Theo đó, Thơng tư hư ớng dẫn việc sử dụng tảng MyInfo nguồn thông tin nhận dạng xác minh Hệ thống MyInfo đư ợc dùng làm nguồn liệu thức cho việc định danh khách hàng Dữ liệu định danh MyInfo đư ợc Chính phủ xác thực Người dùng khơng c ần phải điền vào biểu mẫu vật lý hay quét tài liệu nhận dạng họ thơng tin định danh tự động truy xuất tảng Dựa đồng ý người dùng, liệu chuyển đến tổ chức cần định danh người dùng nhận cảnh báo dịch vụ điện tử sử dụng liệu cá nhân họ (JX Low, 2018) Thông tư nêu bật cân nhắc liên quan đến việc sử dụng biện pháp xác minh không gặp mặt trực tiếp (NFTF) cung c ấp thêm ví dụ biện pháp NFTF mà tổ chức tài sử dụng kiểm tra bổ sung để quản lý rủi ro mạo danh Ngoài ra, MAS yêu c ầu thực đánh giá tiêu chuẩn công nghệ thực định danh lưu giữ hồ sơ để báo cáo kiểm tra Cụ thể, hiệu giải pháp công nghệ việc quản lý rủi ro mạo danh NFTF phải đánh giá độc lập từ chuyên gia sau 01 năm tri ển khai Báo cáo đánh giá ph ải lưu trữ tối thiểu 05 năm sau cơng ngh ệ khơng cịn đư ợc sử dụng MAS có quy ền kiểm tra báo cáo đánh giá đ ộc lập để thực chức giám sát hoạt động tài Đối với rủi ro eKYC, MAS đưa l ựa chọn để tổ chức tài áp dụng giải rủi ro eKYC thực gọi video trực tuyến thời gian thực; cung cấp tài liệu nhận dạng công chứng, chứng thực (MAS, 2020) 3.2 Thái Lan Tại Thái Lan, trư ớc áp dụng eKYC rộng rãi d ịch vụ tài chính, Ngân hàng Trung ương Thái Lan (BOT) xây d ựng khung pháp lý thử nghiệm có kiểm soát (Sandbox) v ới dịch vụ mở tài khoản tiết kiệm ví điện tử Theo Báo cáo hệ thống toán c BOT năm 2019, hàng lo ạt tổ chức thử nghiệm dịch vụ mở tài khoản ngân hàng định danh điện tử hoàn toàn đáp ứng yêu cầu Sandbox để cung cấp dịch vụ rộng rãi công chúng BOT h ỗ trợ tích cực cho hoạt động định danh khách hàng điện tử thông qua việc ban hành hướng dẫn sử dụng công nghệ sinh trắc học dịch vụ tài nhằm cung cấp thơng lệ tốt cho nhà cung cấp dịch vụ tài để sử dụng công nghệ sinh trắc học theo cách thức phù hợp, an toàn tuân th ủ tiêu chuẩn quốc tế Về phát triển sở liệu định danh, BOT hỗ trợ phát triển tảng Định danh số quốc gia (NDID), đóng vai trị s hạ tầng cho việc xác minh xác thực danh tính số Đây tảng kết hợp hoạt động tổ chức gồm: Nhà cung cấp dịch vụ, đơn vị định danh, đơn vị cung cấp thông tin khách hàng phục vụ việc định danh an tồn, cung c ấp thơng tin cần thiết cho giao dịch đảm bảo quyền riêng tư thông tin chia s ẻ tảng phải có đồng ý khách hàng (Bank of Thailand, 2019) Với NDID, việc định danh điện tử đảm bảo 02 yếu tố công nghệ xác thực sở liệu đối chiếu mà tất bên tham gia tảng phải trải qua quy trình kiểm sốt cấp phép hoạt động tảng từ quan quản lý Nhờ đó, rủi ro mạo danh, an toàn bảo mật, quyền riêng tư khách hàng phòng ch ống rửa tiền, tài trợ khủng bố kiểm soát chặt chẽ Quản lý rủi ro liên quan đến eKYC Việt Nam số khuyến nghị Thực tế, việc định danh điện tử Việt Nam bật đèn xanh từ Nghị định số 87/2019/NĐ-CP ngày 14/11/2019 c Chính phủ sửa đổi, bổ sung số điều Nghị định số 116/2013/NĐ-CP ngày 04/10/2013 Chính phủ quy định chi tiết thi hành số điều Luật Phòng, chống rửa tiền cho phép tổ chức tài định gặp mặt trực tiếp không gặp mặt trực tiếp khách hàng l ần đầu thiết lập mối quan hệ Tuy nhiên, Nghị định đề cập đến nguyên tắc việc đặt yêu cầu tổ chức tài phải đảm bảo có biện pháp, hình thức cơng nghệ để nhận biết xác minh khách hàng không g ặp mặt trực tiếp Mãi đến Thông tư s ố 16/2020/TT-NHNN ban hành m ới có hướng dẫn tương đối rõ ràng Việc ban hành thông tư bước đầu xác lập chế pháp lý giải rủi ro việc mở tài khoản tốn hồn tồn phương thức điện tử Thứ nhất, nhằm giải rủi ro mạo danh, Thông tư u cầu ngân hàng phải có giải pháp, cơng ngh ệ để thu thập, kiểm tra, đối chiếu, đảm bảo khớp thông tin nhận biết khách hàng, liệu sinh trắc học khách hàng với thông tin, yếu tố sinh trắc học tương ứng giấy tờ tùy thân với liệu định danh cá nhân đư ợc xác thực quan nhà nước có thẩm quyền; tổ chức tín dụng khác tổ chức cung ứng dịch vụ định danh xác th ực điện tử Quy trình ngân hàng phải đảm bảo khách hàng thực giao dịch tài khoản toán mở phương thức điện tử chủ tài khoản toán đó, ngăn ch ặn hành vi mạo danh, can thi ệp, chỉnh sửa, làm sai lệch việc xác minh thơng tin Trường hợp có dấu hiệu mạo danh, ngân hàng ph ải xây dựng giải pháp tự động để từ chối dừng giao dịch, tạm khóa phong tỏa tài khoản toán tiến hành xác minh l ại thông tin nhận biết khách hàng Để giải rủi ro eKYC, đặc biệt rủi ro mạo danh, hai yếu tố tảng quan trọng công nghệ thu thập liệu, xác minh sở liệu đối chiếu thông tin thu thập Về mặt này, NHNN trao quyền chủ động cho ngân hàng tự lựa chọn áp dụng giải pháp công nghệ sở liệu đối chiếu tự chịu trách nhiệm rủi ro phát sinh Bên cạnh đó, để kiểm sốt nguồn liệu định danh, NHNN giới hạn đối tượng khách hàng Theo đó, khơng áp d ụng mở tài khoản toán phương thức điện tử khách hàng cá nhân ngư ời nước ngoài, người chưa đủ 18 tuổi, người bị hạn chế lực hành vi dân sự, người có khó khăn nh ận thức, làm chủ hành vi Thứ hai, nhằm bảo mật thông tin khách hàng đ ảm bảo quyền riêng tư, NHNN yêu cầu thông tin, liệu trình đ ịnh danh giao dịch phải lưu trữ an toàn, bảo mật, lưu dự phòng Thứ ba, để giảm thiểu rủi ro rửa tiền tài trợ khủng bố, NHNN đặt biện pháp giới hạn khả sử dụng tài khoản Theo đó, ngân hàng phải điều kiện công nghệ để đánh giá rủi ro xác định hạn mức giao dịch phạm vi sử dụng tài khoản Mỗi ngân hàng có sách khác đ ảm bảo tổng hạn mức giá trị giao dịch (ghi Nợ) qua tài kho ản toán khách hàng không vư ợt 100 triệu đồng/tháng/khách hàng Trên th ực tế, trước Thông tư ban hành, ngân hàng gi ới hạn hạn mức giao dịch dịch vụ sử dụng mức toán, chuyển tiền, việc thực giao dịch liên kết với ví điện tử hay liên kết sử dụng dịch vụ khác ngân hàng điện tử (gửi tiết kiệm, vay vốn) khách hàng b buộc phải định danh trực tiếp Chúng bày tỏ kỳ vọng phát triển mạnh mẽ giải pháp eKYC Việt Nam từ mở đường Thông tư số 16/2020/TT-NHNN Hướng dẫn Thông tư số 16/2020/TT-NHNN phù hợp với bối cảnh tại, vừa tạo sở pháp lý cho việc áp dụng eKYC, vừa tạo nhiều không gian cho giải pháp công nghệ phát triển ứng dụng Thực tế cho thấy, việc triển khai eKYC Việt Nam có phát triển nhanh số lượng, nhiên, chưa có đánh giá th ức rủi ro chất lượng giải pháp eKYC lĩnh v ực ngân hàng đư ợc áp dụng Về mặt sở liệu, cho r ằng, thời gian tới, NHNN cần nhanh chóng thúc đ ẩy lộ trình xây dựng sở liệu phục vụ cho hoạt động eKYC hệ thống ngân hàng Cơ s liệu cần xây dựng song song mang tính kết nối, liên thông v ới liệu quốc gia dân cư liệu Trung tâm Thông tin tín d ụng quốc gia Việt Nam (CIC) Bên cạnh đó, cần phải có hướng dẫn cụ thể quyền cách thức truy cập sử dụng sở liệu ngân hàng tổ chức cung cấp giải pháp eKYC Việt Nam tham khảo Thái Lan vi ệc cho phép ngân hàng s dụng chung sở liệu eKYC, từ ngân hàng sử dụng liệu khách hàng để tiết giảm chi phí khơng lãng phí ngu ồn nhân lực Việc Singapore thành l ập trung tâm sáng tạo Thụy Sỹ thúc đẩy việc công nhận kết định danh khách hàng trực tuyến ngân hàng Singapore với ngân hàng nư ớc khác Kinh nghi ệm việc thúc đẩy hợp tác quốc tế lĩnh vực eKYC giúp ngân hàng Vi ệt Nam tuân thủ tốt quy định quốc tế phòng chống rửa tiền phòng chống tài trợ tài cho hoạt động khủng bố Về giải pháp công nghệ, ủng hộ chế khuyến khích quyền tự lựa chọn tự chịu trách nhiệm ngân hàng Tuy nhiên, NHNN cần thiết lập tiêu chí đánh giá chất lượng giải pháp việc thực thi eKYC ngân hàng Cơ chế báo cáo giải trình cần thiết lập để phục vụ cho hoạt động giám sát, điều chỉnh can thiệp kịp thời NHNN rủi ro xảy Có thể khẳng định rằng, eKYC tảng để phát triển ngân hàng số Việt Nam, vậy, việc ngân hàng thương mại áp dụng eKYC có xu hướng ngày tr nên phổ biến Tuy nhiên, kèm với lợi ích tính ưu việt, rủi ro eKYC thư ờng trực Điều địi hỏi ngân hàng thương mại cần có thận trọng việc lựa chọn công nghệ triển khai song song h ệ thống bảo mật, nhận diện, quản lý rủi ro quản trị liệu 1 https://www.thesaigontimes.vn/308312/dinh -danh-khach-hang-dien-tutai-viet-nam-thi-truong-da-san-sang-chi-con-thieu-khung-phap-ly.html http://www.fatfgafi.org/media/fatf/documents/recommendations/pdfs/FATF%20Recommen dations%202012.pdf https://www.mas.gov.sg/-/media/MAS/Regulations -and-FinancialStability/Regulatory-andSupervisory-Framework/Anti_Money -Laundering_Countering -theFinancing-of-Terrorism/Circular -on-MyInfo-and-CDD-on-NFTF-businessrelations.pdf https://vnba.org.vn/index.php?option=com_k2&view=item&id=12772:eky c-cua-da-mo-nhung-khong-nen-voi&lang=vi https://www.mas.gov.sg/ -/media/MAS/Regulations -and-FinancialStability/Regulatory-andSupervisory-Framework/Anti_Money -Laundering_Countering -theFinancing-of-Terrorism/Circular -on-MyInfo-and-CDD-on-NFTF-businessrelations.pdf ... nghệ vượt qua bước định danh điện tử ngân hàng sử dụng thông tin giả mạo, sử dụng chủ thể trung gian để phạm tội Nếu hệ thống định danh điện tử ngân hàng khơng đủ khả nhận diện, kiểm sốt đặt... vụ mở tài khoản ngân hàng định danh điện tử hoàn toàn đáp ứng yêu cầu Sandbox để cung cấp dịch vụ rộng rãi cơng chúng BOT h ỗ trợ tích cực cho hoạt động định danh khách hàng điện tử thông qua việc... khách hàng, hiệu việc định danh (European Union, 2019) - Rủi ro an ninh mạng, an tồn hệ thống: Rủi ro hiểu hệ thống máy chủ, thiết bị di động, hệ thống điện tử, mạng, liệu, ứng dụng điện tử bị