Fintech phải bảo mật cho khách hàng

	Dịch vụ tài chính số bùng nổ
	Thúc đẩy đổi mới sáng tạo Fintech
	Đưa dịch vụ tài chính lên màn hình điện thoại

Xu hướng hợp tác giữa ngân hàng và fintech đang mở ra cơ hội phát triển thanh toán không dùng tiền mặt, nhưng cũng cần xây dựng hành lang pháp lý cho fintech để đảm bảo an toàn thông tin tài chính ngân hàng.

Số liệu thống kê của NHNN cho biết, đến nay trên thị trường có hơn 150 công ty fintech chủ yếu hoạt động trung gian thanh toán, cung cấp sản phẩm ví điện tử. Ví điện tử hoạt động theo nguyên tắc: Người dùng ví mở tài khoản ngân hàng liên kết chuyển tiền qua lại thanh toán. Điều đó đã tạo ra mối quan hệ chặt chẽ giữa ngân hàng và fintech. Thời gian qua nhiều ngân hàng phát triển ngân hàng mở cho phép các ví điện tử “nhúng” vào hệ thống ngân hàng điện tử.

Ảnh minh họa

Tuy nhiên hiện có tình trạng tội phạm mạng tấn công vào người dùng ví điện tử lấy cắp thông tin. Đơn cử, vụ việc tại ví MoMo vừa qua, tội phạm công nghệ cao giả làm nhân viên chăm sóc khách hàng của ví điện tử, ngân hàng yêu cầu chủ ví điện tử soạn tin nhắn theo cú pháp **21*# hoặc DS gửi 901 để lấy mã xác nhận (OTP) cho phép thuê bao di động chuyển hướng cuộc gọi đến một số điện thoại nội mạng hoặc ngoại mạng. Sau khi người dùng gửi thành công tin nhắn đã soạn theo cú pháp do tội phạm hướng dẫn, mọi cuộc gọi đến thuê bao của người dùng lập tức được chuyển tiếp đến số điện thoại mà đối tượng lừa đảo cung cấp.

Đối tượng lừa đảo còn dùng thủ đoạn giả danh nhân viên các nhà mạng viễn thông hỗ trợ nâng cấp SIM lên SIM 4G, 5G để chiếm đoạt SIM điện thoại thì cú pháp DS gửi 901 là cú pháp đổi SIM điện thoại qua phôi SIM trắng theo phương thức nhắn tin SMS. Khi thao tác thành công, người dùng sẽ mất quyền kiểm soát SIM vì SIM của đối tượng lừa đảo trở thành SIM “chính chủ".

Qua hai thủ đoạn tinh vi trên, đối tượng lừa đảo dễ dàng chiếm đoạt tài khoản ngân hàng, ví điện tử của nạn nhân bằng cách đăng nhập và chọn tính năng “quên mật khẩu” để tạo lập mật khẩu mới. Khi đã có đủ các thông tin cá nhân kết hợp với cuộc gọi chuyển tiếp thông báo mã xác thực OTP hoặc có quyền kiểm soát SIM để nhận mã OTP, những kẻ lừa đảo dễ dàng kích hoạt mật khẩu mới để chiếm đoạt tiền của nạn nhân.

Ông Nguyễn Bá Diệp - đồng sáng lập kiêm Phó chủ tịch Ví MoMo cho biết, thủ đoạn phổ biến của các đối tượng lừa đảo là hứa hẹn với người dùng ví nếu làm theo hướng dẫn của chúng sẽ được tặng 10 triệu đồng vào tài khoản. Nhiều người dùng ví mất cảnh giác mà làm theo, có thể mất hết tiền trong tài khoản ví điện tử. “Kẽ hở lớn nhất tội phạm công nghệ cao tấn công vào hệ thống thanh toán điện tử hiện nay chính là từ người dùng”, ông Diệp nói.

Ông Phạm Thanh Ngọc - Phó vụ trưởng Vụ Pháp chế (NHNN) cho biết, trong thời đại số, ngân hàng hợp tác với các công ty fintech là xu hướng tất yếu để tạo ra các dịch vụ tài chính thuận lợi, hiệu quả, chi phí thấp cho khách hàng.

Tuy nhiên trong khi các công ty fintech ít nhiều được tiếp cận thông tin của các ngân hàng khi triển khai hoạt động hợp tác, nhưng vẫn chưa có quy định pháp lý trực tiếp điều chỉnh nghĩa vụ bảo mật thông tin của công ty fintech. Việc thiếu hụt về quy định như hiện nay cũng dễ hiểu do các công ty fintech (ngoại trừ các trung gian thanh toán) vẫn chưa được quản lý bởi pháp luật chuyên ngành và cơ quan quản lý chuyên ngành mà vẫn đang hoạt động dưới đăng ký kinh doanh gồm các ngành nghề kinh doanh không có điều kiện.

Bên cạnh đó, việc phát triển các sản phẩm, dịch vụ ngân hàng bán lẻ mới, trong đó Ngân hàng mở (Open banking) cho phép khách hàng có thể sử dụng dịch vụ tài chính ngân hàng không chỉ ở các kênh do ngân hàng cung cấp mà còn trên các kênh do đối tác thứ 3, công ty fintech, ứng dụng mobile app cung cấp để đáp ứng đa dạng các nhu cầu cuộc sống. Tuy nhiên, các quy định pháp luật điều chỉnh quan hệ này chưa đầy đủ. Chẳng hạn như hiện nay chưa có quy định hướng dẫn về ứng dụng Open API, những dịch vụ, dữ liệu nào của ngân hàng mà fintech được sử dụng (chuyển tiền, thanh toán, sao kê, truy vấn số dư,...).

Để khắc phục những bất cập này, ông Phạm Thanh Ngọc cho biết, hiện nay NHNN đang gấp rút hoàn thiện Dự thảo Nghị định về cơ chế thử nghiệm sandbox đối với hoạt động fintech. Nghị định này dự kiến điều chỉnh các hoạt động gồm: cho vay ngang hàng (P2P Lending), hỗ trợ định danh khách hàng, giao diện lập trình ứng dụng mở (Open API), các giải pháp ứng dụng công nghệ đổi mới sáng tạo như Blockchain...; trong đó có điều kiện về xây dựng hệ thống công nghệ thông tin đáp ứng yêu cầu an toàn thông tin và bảo mật thông tin.

Bên cạnh đó, Bộ Công an cũng đang xây dựng Nghị định về bảo vệ dữ liệu cá nhân quy định về xử lý dữ liệu cá nhân, biện pháp bảo vệ dữ liệu cá nhân, xử lý vi phạm về dữ liệu cá nhân, trách nhiệm bảo vệ dữ liệu cá nhân của cơ quan, tổ chức, cá nhân có liên quan.

Tuy nhiên, ông Ngọc cho rằng, cho đến khi Nghị định này được ban hành, các TCTD cần chủ động giám sát, ràng buộc các công ty fintech trong việc sử dụng đúng mục đích thông tin ngân hàng, đồng thời phải có chính sách bảo mật nội bộ phù hợp. Các công ty fintech cũng cần quan tâm đến khía cạnh bảo mật khi đưa ra ý tưởng và triển khai hợp tác cung ứng các dịch vụ trên thực tế.