Bốn cấp xác thực giao dịch trực tuyến ngân hàng từ 1/7

Quyết định 2345 của Ngân hàng Nhà nước về giải pháp an toàn, bảo mật trong thanh toán trực tuyến và thẻ ngân hàng sẽ được áp dụng sau một tuần nữa, từ đầu tháng 7. Trong đó, xác thực trong thanh toán trực tuyến ngân hàng trên Internet (gồm Internet Banking và Mobile Banking) sẽ chia làm bốn cấp độ, từ đơn giản tới phức tạp.

Đơn giản nhất là giao dịch loại A, khách hàng chỉ cần xác thực bằng tên đăng nhập, mật khẩu hoặc mã PIN, và không bắt buộc xác thực tại bước thực hiện giao dịch nếu đã đăng nhập trước đó. Cách thức này tương tự việc thanh toán, chuyển tiền nhanh, thường áp dụng với khoản tiền dưới 1 hoặc 5 triệu đồng tại một số ngân hàng trước đây.

Tuy nhiên, sau 1/7, hình thức này chỉ được áp dụng với các giao dịch tra cứu thông tin; chuyển tiền trong cùng ngân hàng, cùng chủ tài khoản hoặc giao dịch thanh toán hàng hóa, dịch vụ dưới 5 triệu đồng.

Chuyển tiền cho người khác, cho dù cùng hay khác ngân hàng; chuyển tiền, nạp, rút tiền với ví điện tử dưới 10 triệu đồng mỗi lần và dưới 20 triệu đồng mỗi ngày phải áp dụng giao dịch loại B.

Xác thực cấp độ này bằng các hình thức OTP, nhận dạng sinh trắc học gắn với thiết bị cầm tay, hoặc bằng chữ ký điện tử an toàn. Giao dịch thanh toán hàng hóa, dịch vụ có giá trị 5-100 triệu đồng trong một lần hoặc một ngày giao dịch cũng phải áp dụng cấp độ này.

Sinh trắc học (vân tay, nhận diện khuôn mặt) khớp với dữ liệu trên căn cước công dân (CCCD) gắn chip hoặc tài khoản định danh điện tử thuộc về hai cấp độ giao dịch C và D.

Yêu cầu xác thực này áp dụng với việc chuyển từ 10 triệu đồng trở lên hoặc tổng số tiền chuyển các lần trong ngày quá 20 triệu, giao dịch hàng hóa - dịch vụ trên 100 triệu đồng.

Sự khác biệt giữa cấp độ C và D là việc kết hợp thêm các biện pháp xác thực khác. Trong đó, cấp độ C chỉ yêu cầu xác thực bằng sinh trắc học khớp với các nguồn dữ liệu đã định danh, còn cấp D yêu cầu kết hợp sinh trắc học với một biện pháp khác như OTP (One Time Password - xác thực qua mật khẩu một lần) cấp độ cao, FIDO (Fast IDentity Online) không dùng mật khẩu mà dùng kết hợp thiết bị phần cứng và phần mềm hoặc chữ ký điện tử an toàn.

Sự khác biệt về yêu cầu xuất phát từ quy mô thanh toán. Như cấp C áp dụng cho việc chuyển tiền một lần từ 10 đến 500 triệu đồng, nếu cao hơn khách hàng phải áp dụng cấp D. Tổng số tiền chuyển khoản, nạp ví điện tử trên 1,5 tỷ đồng, chuyển tiền ra nước ngoài trên 200 triệu mỗi lần hoặc trên 1 tỷ đồng mỗi ngày cũng phải xác thực cấp độ cao nhất.

Ngoài trường hợp giao dịch, khách hàng cá nhân trước khi giao dịch lần đầu bằng ứng dụng ngân hàng (mobile banking) hoặc giao dịch trên điện thoại, máy tính khác với thiết bị đang giao dịch lần gần nhất cũng phải được nhận dạng sinh trắc học.

Việc đăng ký sinh trắc học, theo thông báo từ các ngân hàng, thực hiện trực tiếp qua ứng dụng trực tuyến. Thiết bị này phải có chức năng quét khuôn mặt hoặc vân tay và có tính năng đọc NFC (Near- Field Communications - kết nối không dây trong phạm vi ngắn). Trường hợp thiết bị của khách hàng không đủ chức năng, họ có thể tới chi nhánh, phòng giao dịch ngân hàng gần nhất để được hỗ trợ.

Quy định mới được nhà chức trách đưa ra trong bối cảnh các vụ lừa tiền, lừa đảo trên mạng xảy ra liên tục gần đây. Nạn nhân bị lừa tăng, dù các ngân hàng, cơ quan quản lý cảnh báo qua nhiều kênh thông tin.

"Lâu nay, kẻ gian thường che giấu danh tính thật và xóa dấu vết dòng tiền lừa đảo bằng cách mua, thuê các tài khoản 'rác' để chuyển tiền qua lại", Phó tổng giám đốc một ngân hàng cho hay, thêm rằng việc áp dụng xác thực sinh trắc học sẽ hạn chế tài khoản không chính chủ chuyển tiền, ngăn chặn luân chuyển của dòng tiền lừa đảo.

Một tuần trước khi quyết định có hiệu lực vào đầu tháng sau, các ngân hàng, ví điện tử và người dùng đang chạy đua xác thực tài khoản. Đa số cho biết quá trình này diễn ra đơn giản, nhanh chóng. Tuy nhiên, trên các hội nhóm công nghệ, nhiều người phản ánh tình trạng gặp khó khăn, phần lớn ở khâu quét NFC trên CCCD.