Xác thực sinh trắc học (Biometric) là cách thức nhận diện và xác minh cá nhân thông qua các đặc điểm sinh học như hình ảnh khuôn mặt, dấu vân tay, mẫu mống mắt, giọng nói... Công nghệ này được xem là hạn chế tối đa khả năng làm giả và có tính bảo mật cao nhất. Hiện nay, các ngân hàng đa phần xác thực sinh trắc qua nhận diện khuôn mặt, bởi các dữ liệu mống mắt giọng nói hiện chưa được thu thập và lưu trữ.
Từ ngày 1/7/2024, Ngân hàng Nhà nước đã ban hành Quyết định số 2345/QĐ-NHNN, đặt ra yêu cầu nhận dạng sinh trắc học của khách hàng (như khuôn mặt, tĩnh mạch ngón tay hoặc bàn tay, vân tay, mống mắt, giọng nói) để xác thực giao dịch, tuỳ theo giao dịch được phân thành 04 loại A, B, C và D, dựa theo giá trị giao dịch. Trong đó có việc chuyển tiền trên 10 triệu đồng trong 1 lần hoặc trên 20 triệu đồng trong 1 ngày phải được xác thực sinh trắc học. Các ngân hàng mới triển khai sinh trắc học khuôn mặt.
Xác thực sinh trắc học để làm gì?
Quyết định số 2345/QĐ-NHNN ngày 18-12-2023 của Thống đốc Ngân hàng Nhà nước về “giải pháp an toàn, bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng”. Quyết định số 2345/QĐ-NHNN chỉ căn cứ vào văn bản quy phạm pháp luật duy nhất là Thông tư số 35/2016/TT-NHNN ngày 29-12-2016 của Thống đốc Ngân hàng Nhà nước “Quy định an toàn, bảo mật cho việc cung cấp dịch vụ ngân hàng trên Internet” (sửa đổi, bổ sung theo Thông tư số 35/2018/TT-NHNN ngày 24-12-2018).
Tuy nhiên, theo Luật sư Trương Thanh Đức, thực chất còn nhiều quy định làm cơ sở và liên quan như:
Điều 140 về “Yêu cầu bảo đảm an toàn giao dịch điện tử trong hoạt động ngân hàng”, Luật Các tổ chức tín dụng năm 2024 (sửa đổi, bổ sung năm 2024):
“Tổ chức tín dụng, chi nhánh ngân hàng nước ngoài phải bảo đảm an toàn và bảo mật giao dịch điện tử trong hoạt động ngân hàng theo quy định của Thống đốc Ngân hàng Nhà nước và quy định của pháp luật về giao dịch điện tử”.
Nghị định số 69/2024/NĐ-CP ngày 25-6-2024 của Chính phủ “Quy định về định danh và xác thực điện tử”;
Nghị định số 52/2024/NĐ-CP ngày 15-5-2024 của Chính phủ “Quy định về thanh toán không dùng tiền mặt”;
Thông tư số 23/2014/TT-NHNN ngày 19-8-2014 của Thống đốc Ngân hàng Nhà nước “Hướng dẫn việc mở và sử dụng tài khoản thanh toán tại tổ chức cung ứng dịch vụ thanh toán” (sửa đổi, bổ sung theo Thông tư số 02/2019/TT-NHNN ngày 28-02-2019 và số 16/2020/TT-NHNN ngày 04-12-2020).
Xác thực sinh trắc học có bắt buộc hay không?
Theo luật sư này, vì quy định xác thực sinh trắc học để giao dịch chuyển tiền online trên 10 triệu đồng chưa được quy định trong văn bản quy phạm pháp luật, nên chưa phải là bắt buộc, mà là sự lựa chọn và thoả thuận với ngân hàng để sử dụng dịch vụ. Đầu tiên chỉ cần bảo vệ 2 lớp, sau đó là phải bảo vệ 2 lớp là bắt buộc đối với 100% giao dịch, nay là bảo vệ lớp thứ 3, chỉ bắt buộc đối với khoảng 11% tổng số giao dịch.
Đối với người chỉ có dưới 10 triệu trong tài khoản hay người không có nhu cầu chuyển trên 10 triệu/lần hoặc 20 triệu/ngày, theo luật sư, về yêu cầu giao dịch thì không bắt buộc. Người sử dụng tài khoản chỉ cân nhắc giữa tiện ích và rủi ro, chứ không bị xử lý khi không xác thực. Khách hàng sử dụng tài khoản không muốn xác thực thì vẫn có thể đến ngân hàng giao dịch như cũ.
Tuy nhiên, về sự an toàn, bảo mật thì rất cần, vì xác thực không phải chỉ để chủ tài khoản chuyển tiền đi an toàn, mà quan trọng hơn là để người khác, đặc biệt là tội phạm lừa đảo, không chuyển được tiền trong tài khoản của mình. Không xác thực, thì tội phạm chiếm đoạt quyền điều khiển có thể dễ dàng chuyển tiền tự động mỗi lần dưới 500 triệu ngay lập tức và không có giới hạn như đã xảy ra quá nhiều trong thời gian qua.
Khi giao dịch với số tiền trên 10 triệu đồng, bằng phương thức online rủi ro cao và cần độ an toàn cao, thì phải do chính chủ tài khoản thực hiện bằng nhận dạng khuôn mặt mình. Nếu muốn uỷ quyền cho người khác thì vẫn không bị hạn chế, nhưng chỉ giao dịch trực tiếp tại ngân hàng. Theo ông Đức, đó là điều hoàn toàn hợp lý.
Cuối cùng, luật sư Trương Thanh Đức đưa ra lời khuyên: "Tóm lại, việc xác thực chỉ cần thực hiện 1 lần và chỉ mang lại sự thuận tiện, an toàn hơn, chứ không hề có rủi ro hơn. Và vấn đề mấu chốt, xác thực sinh trắc học, thêm lớp bảo vệ thứ 3, không phải là để an toàn cho việc chuyển tiền, mà là bảo vệ an toàn tài khoản, ngăn chặn tội phạm công nghệ cao và phòng ngừa người khác chuyển, rút chiếm đoạt tiền trong tài khoản".