Là lĩnh vực đi đầu trong việc số hóa tại Việt Nam, vấn đề đảm bảo an toàn trong các giao dịch đặc biệt là GDĐT, thanh toán điện tử của khách hàng và các nhà đầu tư trong ngành tài chính ngân hàng, bảo hiểm, chứng khoán vẫn luôn được đặt lên ưu tiên hàng đầu. Tuy nhiên, theo nhận định của Thứ trưởng Bộ Thông tin và Truyền thông (TTTT) Nguyễn Huy Dũng, phương thức xác thực đơn thuần bằng tên đăng nhập, mật khẩu, OTP tiềm ẩn nhiều rủi ro, do OTP thực chất vẫn là một dạng mật khẩu (One Time Password) và có thể bị đánh cắp.
Theo báo cáo về hoạt động xác thực trong ngành tài chính toàn cầu 2022, 80% tổ chức tài chính, ngân hàng bị lộ lọt dữ liệu với nguyên nhân liên quan đến xác thực yếu, gây thiệt hại trung bình hàng triệu USD mỗi năm. Ngoài ra, 99% người tham gia khảo sát đồng ý rằng các phương pháp xác thực truyền thống, chỉ dựa vào mật khẩu và xác thực một lần (OTP) không còn đủ mạnh để bảo vệ tài khoản trước các cuộc tấn công mạng hiện đại, tinh vi như hiện nay.
Thực tế thời gian qua, phương thức này vẫn bị vượt qua bằng nhiều cách, ví dụ tin tặc (hacker) tạo trang web mạo danh để lừa người dùng nhập OTP, mã độc đọc trộm OTP trên SMS hoặc email.
Trước những khó khăn, thách thức này, Thứ trưởng Nguyễn Huy Dũng cho biết để đạt mục tiêu nhanh chóng rời khỏi vùng trũng về xác thực, tránh trở thành mục tiêu vừa có giá trị cao vừa dễ tấn công của tội phạm mạng, cần có kế hoạch hành động cụ thể, với sự tham gia đóng vai trò dẫn dắt của các cơ quan nhà nước và sự tham gia tích cực của hiệp hội các ngân hàng và doanh nghiệp (DN) công nghệ.
Thứ trưởng nhấn mạnh: “Chữ ký số (CKS) là giải pháp được quốc tế và Việt Nam công nhận về tính pháp lý, có thể giải quyết các nguy cơ an ninh trong giao dịch trực tuyến đặc biệt là giao dịch ngân hàng điện tử”.
CKS tương đương chữ ký tay, có các thuộc tính định danh, xác thực đúng nguồn gốc, đảm bảo được tính toàn vẹn của dữ liệu nhận được và chống chối bỏ. Như vậy, theo Thứ trưởng, “CKS giúp các ngân hàng giảm thiểu chi phí đầu tư trong triển khai và mở rộng dịch vụ, tăng cường khả năng quản lý rủi ro hiệu quả. Bên cạnh đó, ứng dụng phương thức bảo mật này giúp xây dựng hình ảnh ngân hàng hiện đại, tin cậy và an toàn hơn. Đặc biệt, Luật GDĐT 2023 mới đây có nhiều quy định quan trọng về CKS, tạo điều kiện thuận lợi cho việc ứng dụng CKS vào mọi hoạt động của người dân trên môi trường mạng. CKS được xem là một trong những tài sản số quan trọng nhất, một mắt xích không thể thiếu trong thời đại CĐS”.
Trước tình hình tội phạm mạng gia tăng một cách nhanh chóng với các thủ đoạn tinh vị hơn, công nghệ cao hơn, do đó, Ngân hàng Nhà nước (NHNN) đã trình Thống đốc và được đồng ý sẽ sửa Quyết định 630/QĐ-NHNN về kế hoạch áp dụng các giải pháp về an toàn bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng, theo đó sẽ quy định về các biện pháp xác thực theo từng loại giao dịch trong đó có xác thực sinh trắc học và CKS.
Theo Thứ trưởng, “Đây là một quyết định rất căn cơ để xác định chính chủ. Có nghĩa, người mở tài khoản và người thực hiện giao dịch đó phải là một. Trong đó biện pháp xác thực sử dụng số được đặt ở mức cao nhất. CKS được xếp trên các tiêu chí an toàn khác vì có sự thừa nhận và giá trị pháp lý vững vàng nhất”.
Ông Nguyễn Quốc Hùng, Phó Chủ tịch kiêm Tổng thư ký Hiệp hội Ngân hàng Việt Nam (VNBA) chia sẻ trên thực tế chữ ký điện tử (CKĐT) đã được sử dụng phổ biến trong lĩnh vực tài chính ngân hàng để ký kết và xác thực hợp đồng điện tử; ký số cho hoá đơn điện tử; xác minh danh tính của khách hàng khi thực hiện các giao dịch trực tuyến, mở tài khoản mới hoặc truy cập vào dịch vụ trực tuyến.
Ngoài việc sử dụng CKĐT trong hoạt động ngân hàng, các ngân hàng còn thỏa thuận với khách hàng sử dụng phương thức xác thực là mật khẩu đăng nhập kết hợp với mã xác thực được ngân hàng gửi tới khách hàng để xác thực khách hàng như mã OTP, Token OTP… trong các giao dịch ngân hàng trực tuyến.
Tuy nhiên, theo quy định tại Luật GDĐT năm 2023 có hiệu lực từ 1/7/2024, CKĐT có giá trị pháp lý chỉ gồm CKĐT chuyên dùng đảm bảo an toàn và CKS. Để có cơ sở triển khai việc đăng ký cấp giấy chứng nhận và sử dụng CKĐT chuyên dùng đảm bảo an toàn, các ngân hàng phải chờ Chính phủ ban hành hướng dẫn về hồ sơ, trình tự, thủ tục đăng ký cấp chứng nhận CKĐT chuyên dùng bảo đảm an toàn, hơn nữa việc tiến hành đăng ký và được cấp giấy chứng nhận cần mất một khoảng thời gian nhất định.
Để không gián đoạn các GDĐT trong hoạt động của các ngân hàng vào thời điểm Luật GDĐT năm 2023 có hiệu lực (ngày 1/7/2024), ngoài việc sử dụng các hình thức xác nhận khác bằng phương tiện điện tử để thể hiện sự chấp thuận của chủ thể ký đối với thông điệp dữ liệu (mà các ngân hàng hiện nay đang thực hiện theo các quy định chuyên ngành) thì việc sử dụng CKS cũng là một lựa chọn.
Song, theo Phó Chủ tịch VNBA, hiện tại hầu hết CKS mới chỉ được sử dụng trong các giao dịch nội bộ ngân hàng hoặc giao dịch của các doanh nghiệp (DN) mà chưa áp dụng rộng rãi đến với khách hàng cá nhân - vốn chiếm đa số trong các giao dịch của ngành ngân hàng. Theo báo cáo sơ bộ của các ngân hàng thì chỉ ghi nhận 5% tổng số khách hàng giao dịch là đã có và đang sử dụng CKS.
Nguyên nhân chính dẫn tới việc CKS mới chỉ chiếm 5% khách hàng cá nhân của ngân hàng, chi phí cho CKS cá nhân vẫn còn khá lớn nên đa phần người dân chưa có CKS cá nhân; ngân hàng cũng cần chi phí đầu tư để tích hợp hệ thống, mua CKS cho cán bộ nhân viên, chi phí hạ tầng cho các nền tảng ký số, xác thực CKS...