Theo Quyết định số 2345 của Ngân hàng Nhà nước, từ ngày 1/7/2024, khi chuyển tiền qua tài khoản, nạp tiền vào ví điện tử... trên 10 triệu đồng/lần; hoặc dưới 10 triệu đồng/lần nhưng tổng giá trị các giao dịch trong ngày từ 20 triệu đồng trở lên, thì phải áp dụng một trong các biện pháp xác thực bằng sinh trắc học. Quyết định này được đưa ra trong bối cảnh đã xảy ra nhiều vụ lừa đảo chiếm quyền sử dụng điện thoại của người dùng, từ đó dễ dàng truy cập các ứng dụng ngân hàng để thực hiện giao dịch chuyển tiền, chiếm đoạt tiền trong tài khoản ngân hàng của nạn nhân.
Một quyết định thiết thực, ảnh hưởng đến đời sống của hàng triệu người dân, nên trong những ngày này, chuyện làm xác thực sinh trắc học để giao dịch ngân hàng qua ứng dụng là chủ đề xôn xao khắp mọi diễn đàn, từ trên mạng xã hội, trong gia đình, đến ngoài xã hội. Những trục trặc ban đầu của hệ thống, khi ứng dụng một công cụ mới, nhiều người cùng thao tác, gây ra phiền phức cho người dân, là điều có thể thông cảm được. Điều đáng quan tâm ở đây là những lợi ích đặc biệt của xác thực sinh trắc học.
Xác thực sinh trắc học là một biện pháp bảo mật dựa trên các đặc điểm thể chất hoặc hành vi duy nhất để nhận dạng cá nhân. Hệ thống xác thực sinh trắc học có thể xác định các đặc điểm khuôn mặt, mống mắt, võng mạc, dấu vân tay, giọng nói và thậm chí cả DNA của một người. Với các ngân hàng Việt Nam, hiện nay công cụ xác thực sinh trắc học đang sử dụng nhận dạng khuôn mặt. Những đặc điểm sinh trắc học được lưu trữ trong cơ sở dữ liệu và khi một cá nhân muốn truy cập hệ thống giao dịch ngân hàng, thông tin sinh trắc học mà họ cung cấp ở thời điểm đó sẽ được so sánh với thông tin trong cơ sở dữ liệu của cơ quan chức năng.
Xác thực sinh trắc học cung cấp mức độ bảo mật cao hơn các phương thức xác thực truyền thống như mật khẩu, mã PIN hoặc mã OTP. Bước xác thực sinh trắc học có thể giúp ngăn chặn các loại lừa đảo, hack tài khoản ngân hàng qua việc chiếm quyền sử dụng thiết bị. Nghĩa là, dù hacker có mật khẩu, có mã OTP của ngân hàng, chúng cũng không thể chiếm đoạt được số tiền lớn hơn 10 triệu vì không cung cấp được dữ liệu sinh trắc học của chính chủ. Bên cạnh đó, sinh trắc học sẽ ngăn chặn được việc những kẻ lừa đảo, tội phạm công nghệ, dùng tài khoản ngân hàng mua, cho thuê, cho mượn để thực hiện giao dịch. Công nghệ này giúp siết chặt quản lý tài khoản ngân hàng để mọi người chỉ sử dụng tài khoản chính chủ và các giao dịch bất hợp pháp, lừa đảo, cờ bạc… đều sẽ khó khăn khi nhà chức trách truy được đầu cuối của dòng tiền.
Công nghệ sinh trắc học nằm trong xu hướng chuyển đổi số và những lợi ích của nó là rõ ràng, được ứng dụng ngày càng rộng rãi trên thế giới. Hiện nay, những ngân hàng và tập đoàn tài chính lớn của thế giới như Bank of America, Citibank, Wells Fargo, Ngân hàng Nhân dân Trung Quốc… cũng đã sử dụng công cụ này. Tuy nhiên, bên cạnh lợi ích, thì những nguy cơ rủi ro về tính riêng tư, bảo mật và sự an toàn của công nghệ xác thực sinh trắc học là không thể phủ nhận, cần được xem xét cẩn trọng và có những biện pháp phòng ngừa.
Trên thực tế, vừa qua đã xuất hiện những băn khoăn về việc có giao dịch qua ứng dụng ngân hàng được xác thực sinh trắc học chỉ bằng ảnh người dùng. Đại diện Ngân hàng Nhà nước đã giải thích, hiện tượng này là do một số ngân hàng tạm tắt tính năng “phát hiện sự sống” (Liveness Detection) khi xác thực khuôn mặt để đảm bảo giao dịch thông suốt trong những ngày đầu. Hơn nữa, thủ tục quét nhận diện mặt chỉ là một lớp trong quy trình bảo mật, để trong trường hợp không may bị lộ cả mật khẩu và OTP, đây sẽ là lớp ngăn chặn. Công nghệ định danh điện tử của các ngân hàng cũng được yêu cầu phải có các chức năng như chống giả mạo, chống deepfake, chống sử dụng ảnh tĩnh…
Tuy nhiên, một vấn đề cần được quan tâm là với những dữ liệu sinh trắc học được quản lý bởi cơ quan chức năng của nhà nước thì hành lang pháp lý, chính sách bảo mật thông tin, bảo mật dữ liệu được đảm bảo ở mức cao, với tính trách nhiệm cao. Nhưng khi công nghệ sinh trắc học được các thực thể thương mại như ngân hàng sử dụng thì một câu hỏi không thể không đặt ra là liệu đến một ngày nào đó, dữ liệu sinh trắc học của người dân có bị rò rỉ, tương tự như với trường hợp của số điện thoại cá nhân hay không. Những kịch bản rủi ro cũng cần được đánh giá và có phương án ngăn chặn, đối phó, chẳng hạn như nguy cơ những kho dữ liệu lớn lưu trữ các dữ liệu sinh trắc nhằm đối sánh bị tấn công, bị truy cập và khai thác trái phép. Trong một thời đại mà các công cụ AI ngày càng mạnh, thì những “bức tường” xác thực sinh trắc học dù được nâng cao hơn, cũng vẫn có thể đối mặt với những biện pháp khắc chế của các đối tượng hoạt động bất hợp pháp.
Phải khẳng định rằng việc một sản phẩm công nghệ mới ra đời đi kèm với những nỗi lo và các vấn đề mới phát sinh là điều bình thường. Sản phẩm công nghệ nào cũng tồn tại những mặt tích cực và hạn chế, điều quan trọng là phải đánh giá được rủi ro tiềm tàng và có biện pháp phòng ngừa ngăn chặn thích hợp. Hiện nay, việc đảm bảo an ninh, an toàn cho dữ liệu sinh trắc học đang đối mặt với những thách thức, trong đó có việc thiếu các quy định chi tiết cho việc ứng dụng, quản lý công nghệ mới này.
Trong quá trình xây dựng hành lang pháp lý liên quan đến quản lý thông tin sinh trắc học, Việt Nam có thể tham khảo kinh nghiệm của các nước trên thế giới, chú ý đến các quy chuẩn, phương án kỹ thuật để bảo mật dữ liệu phù hợp với đặc thù trong nước, đồng thời phải tăng cường trách nhiệm của các cơ quan, doanh nghiệp nắm giữ, sử dụng dữ liệu sinh trắc học. Với một hành lang pháp lý mạnh cùng những quy chuẩn tiên tiến, luôn được cập nhật, tất cả các đơn vị nắm giữ, sử dụng dữ liệu sinh trắc học sẽ phải nghiêm túc triển khai các phương án kỹ thuật bảo vệ ở mức cao nhất, nhằm bảo đảm quyền lợi của người dân, và cả an ninh quốc gia khi công nghệ này được ứng dụng rộng rãi trong nhiều lĩnh vực hơn nữa.
