Cùng với sự phát triển của công nghệ và để đơn giản hóa các thủ tục, giấy tờ, tạo thuận lợi cho khách hàng, hiện nay các tổ chức tài chính/ngân hàng ở nhiều quốc gia với sự chấp thuận của cơ quan quản lý có thẩm quyền, đã áp dụng một số phương thức định danh khách hàng điện tử (eKYC), phương thức định danh không cần gặp mặt trực tiếp.
Tại Việt Nam, trước đây, theo quy định, để phòng chống rửa tiền, khách hàng muốn lập tài khoản phải trực tiếp đến ngân hàng để xác thực danh tính, sau đó mới được sử dụng các dịch vụ trực tuyến, bởi Ngân hàng Nhà nước (NHNN) không cho phép áp dụng định danh điện tử.
Nhiều năm nay, để mở rộng khách hàng và cung ứng các dịch vụ ngân hàng số, các ngân hàng đã đề nghị NHNN cho phép áp dụng eKYC để đăng ký khách hàng mới (Digital Onboarding). Mới đây, Chính phủ đã ban hành Nghị định số 87/2019/NĐ-CP sửa đổi, bổ sung một số điều của Nghị định 116/2013/NĐ-CP hướng dẫn Luật Phòng, chống rửa tiền, cụ thể tại Điểm a – Khoản 8 – Điều 8: “Yêu cầu khách hàng cung cấp thông tin theo quy định tại Điều 4 Nghị định này và được quyết định gặp mặt trực tiếp hoặc không gặp mặt trực tiếp khách hàng khi lần đầu thiết lập mối quan hệ. Trường hợp không gặp mặt trực tiếp khách hàng, đối tượng báo cáo phải đảm bảo có các biện pháp, hình thức và công nghệ để nhận biết và xác minh khách hàng.”
Thực tế, để hạn chế rủi ro khi định danh khách hàng điện tử, các ngân hàng cần có quy trình kết hợp bằng cả công nghệ và quan trọng nhất vẫn là yếu tố con người, nếu chỉ phụ thuộc hoàn toàn vào công nghệ, thì khó chống được kẻ gian với mức độ giả mạo tinh vi.
Trường hợp FaceID của Apple là một ví dụ điển hình, khi cách đây không lâu, các nhà nghiên cứu bảo mật của Tencent đã phát hiện ra rằng hệ thống bảo mật xác thực sinh trắc học FaceID của Apple hoàn toàn có thể bị đánh lừa bằng cách sử dụng một cặp kính dán băng dính đen, và một miếng băng dính trắng ở chính giữa hai tròng kính. Theo các chuyên gia, phương pháp này có thể đánh lừa FaceID bằng cách khiến công cụ bảo mật này nghĩ rằng người dùng đang mở mắt, từ đó có thể cho phép kẻ gian truy cập vào iPhone bị khóa trong khi chủ nhân vẫn đang ngủ và không hề hay biết. Công nghệ nhận diện khuôn mặt được xây dựng trên nền tảng Trí tuệ nhân tạo, là môn khoa học có tính gần đúng, hiện nay không khó để qua mặt FaceID, tại Trung Quốc, người ta đã cho một người đeo chiếc mặt nạ 3D qua mặt hệ thống quét để thanh toán AliPay và đăng nhập WeChat.
Đầu năm 2018, Hiệp hội Ngân hàng Việt Nam tổ chức tọa đàm về e-KYC, trong cuộc tọa đàm này các chuyên gia trên thế giới có chia sẻ nhiều thông tin về cách thức các nước thực hiện e-KYC. Tuỳ thuộc vào bối cảnh luật pháp, môi trường văn hoá xã hội tại từng nước, mà các công ty tài chính nước ngoài áp dụng nhiều biện pháp bổ trợ khách nhau thay vì chỉ dùng một phương thức đơn lẻ để xác thực khách hàng.
Ví dụ như tại Hàn Quốc, việc định danh khách hàng tại các ngân hàng có thể bao gồm các phương thức:
- Nộp bản sao chứng minh thư – ID (xác nhận tính xác thực);
- Kiểm tra ID qua bên thứ ba (xác thực qua điện thoại/OTP/ARS);
- Gọi điện thoại có hình ảnh trực tiếp (video call), sau đó chụp ảnh, kiểm tra danh tính sử dụng công nghệ nhận dạng khuôn mặt;
- Xác nhận bằng một tài khoản ngân hàng sẵn có (không bắt buộc);
- Sử dụng quy trình giao nhận của việc tiếp cận trung gian (Ví dụ khi phát hành thẻ ghi nợ, sử dụng người phát thẻ để xác nhận danh tính người xin mở thẻ);
- Sử dụng sinh trắc học, các thông tin khác (địa chỉ, email…) để kiểm tra.
Hay như tại Đức, cơ quan giám sát tài chính liên bang Đức đã cho phép sử dụng hình thức xác thực khách hàng bằng video call từ năm 2014.
Ủy ban Basel trong bản hướng dẫn vào tháng 2/2016 cũng đã nêu rõ: “Ngân hàng nên xác minh thông tin bằng việc sử dụng ít nhất một trong các phương pháp sau: tiếp xúc với khách hàng qua điện thoại, thư tín hoặc bằng email để xác nhận thông tin được cung cấp sau khi một tài khoản được mở (trong trường hợp điện thoại ngưng kết nối, thư bị trả lại hoặc địa chỉ email sai, cần tiến hành điều tra thêm).”
Bộ Thông tin và Truyền thông cũng đã xây dựng và trình chính phủ dự thảo Nghị định về Định danh và Xác thực điện tử, trong đó có một số điểm lưu ý:
- Điều 10: Dự thảo định nghĩa 3 mức độ đảm bảo an toàn thông tin định danh điện tử như sau
- Mức độ 1: Hoàn toàn do cá nhân tự cấp, các thông tin này không được xác minh hay kiểm tra.
- Mức độ 2: Thông tin định danh điện tử được xác minh để đảm bảo đúng với thông tin của cá nhân, tổ chức trong đời thực. Việc kiểm tra có thể được thực hiện từ xa hoặc trực tiếp gặp mặt. Ví dụ như đã qua phương tiện điện tử (Mạng Internet và máy di động) Kiểm tra giấy tờ tùy thân, Kiểm tra so sánh khuôn mặt với giấy tờ tùy thân, Định vị vị trí, Kiểm tra số điện thoại qua OTP, Kiểm tra qua Video Call, Kết hợp các nhà mạng viễn thông kiểm tra thông tin qua số điện thoại, Kiểm tra thông tin căn cước công dân qua hệ thống dữ liệu chính phủ (Bộ Công an).
- Mức độ 3: Là khi thông tin định danh điện tử được kiểm tra bằng việc gặp mặt trực tiếp cá nhân, tổ chức trong đời thực. Ví dụ như Gặp và kiểm tra giấy tờ tùy thân tại ngân hàng, Gặp mặt trực tiếp tại chỗ khách hàng và kiểm tra giấy tờ tùy thân, Kết hợp với bưu chính chuyển phát yêu cầu kiểm tra giấy tờ tùy thân và chữ ký trực tiếp.
- Điều 19: Định nghĩa 3 mức độ đảm bảo an toàn xác thực điện tử
- Mức độ 1: Sử dụng 1 yếu tố xác thực. Ví dụ như dùng Mật khẩu, Đặc điểm sinh trắc học,….
- Mức độ 2: Sử dụng 2 yếu tố xác thực. Ví dụ như Kết hợp điện thoại và OTP, Kết hợp mật khẩu và Sinh trắc học,…
- Mức độ 3: Sử dụng yếu tố xác thực dựa trên phần cứng sử dụng các giao thức mật mã để chống lại sự giả mạo. Ví dụ như Chữ ký điện tử.
Từ đó có thể xây dựng một số qui trình liên quan đến định danh phục vụ mở mới tài khoản ngân hàng cũng như xác thực giao dịch chuyển tiền điện tử. Ví dụ:
- Đối với việc mở tài khoản mới: Căn cứ vào mức độ đảm bảo an toàn thông tin định danh điện tử mà Ngân hàng có thể cho khách hàng mở tài khoản ở chế độ khác nhau. Ví dụ ở Mức 2 thì cho mở tài khoản chưa định danh, Mức 3 cho mở tài khoản định danh.
- Đối với giao dịch trực tuyến: Tuỳ theo giá trị giao dịch mà áp dụng các biện pháp xác thực khác nhau, chẳng hạn với giao dịch có giá trị nhỏ hơn 1 triệu đồng thì chỉ cần xác thực với độ an toàn mức độ 1, xác thực an toàn mức độ 2 cho giao dịch từ 1 triệu đến dưới 100 triệu, xác thực an toàn mức độ 3 cho các giao dịch lớn hơn 100 triệu.
Như vậy, vừa đáp ứng được mục tiêu Tối ưu hoá trải nghiệm của khách hàng mới trong ngành công nghiệp dịch vụ tài chính, vừa Định danh được khách hàng mà vẫn tuân thủ theo các quy định nghiêm ngặt của ngành và không gây thêm phiền hà cho khách hàng.
(Các nguồn: Chính phủ, Hiệp hội ngân hàng Việt Nam, BizTech, The Verge)
Digital Onboarding cho Ngân hàng/Tài chính tại Việt Nam
Hyperlogy đã có kinh nghiệm xây dựng và triển khai giải pháp Digital Onboarding ứng dụng nhiều phương thức xác thực kết hợp, trong đó có sử dụng eKYC,…. cho các ngân hàng, công ty tài chính.
Nhanh chóng nắm bắt nhu cầu chuyển đổi số của các ngành tài chính – ngân hàng – chứng khoán – bảo hiểm, mong muốn tiếp cận nhanh chóng tới những đối tượng khách hàng trẻ, yêu thích công nghệ và có nhu cầu các món tài chính tiêu dùng nhỏ, Hyperlogy đã ứng dụng Sinh trắc học để phát triển nên giải pháp MOBILE eKYC. Khách hàng sẽ không phải đến phòng giao dịch, mà chỉ cần xác thực bằng nhận dạng khuôn mặt, vân tay kết hợp với quét thông tin trên giấy tờ tuỳ thân như CCCD, Bằng lái xe hay Hộ chiếu… trên thiết bị di động cá nhân, dữ liệu trùng khớp, là họ có thể dễ dàng tiếp cận với những món vay tài chính/giao dịch ngân hàng có giá trị nhỏ. MOBILE eKYC có tính ứng dụng cao, xác thực nhanh, nâng cao trải nghiệm người dùng.
Bên cạnh đó, Sinh trắc học cũng là một trong những yếu tố công nghệ nòng cốt được chúng tôi phát triển để xây dựng nên SMART eKYC PLATFORM – nền tảng lõi hình thành lên các hệ sinh thái SMART DIGITAL BANK phục vụ ngành ngân hàng hay SMART DIGITAL GOVERNEMENT phục vụ khối dịch vụ công, và còn rất nhiều hệ sinh thái nữa đang hình thành có thể ứng dụng trong nhiều lĩnh vực khác: Bán lẻ, Bảo hiểm, Chứng khoán, Du lịch,…