Xác thực sinh trắc học ngân hàng có an toàn không?

Bắt đầu từ ngày 1-7-2024, khi thực hiện chuyển khoản trên 10 triệu đồng, bạn buộc phải thực hiện việc xác thực sinh trắc học ngân hàng để hạn chế rủi ro.

Khi nào cần xác thực sinh trắc học ngân hàng?

Theo Quyết định số 2345/QĐ-NHNN (hiệu lực từ ngày 1-7-2024), các giao dịch chuyển tiền trên 10 triệu đồng/lần hoặc tổng giá trị giao dịch trên 20 triệu đồng/ngày sẽ phải xác thực sinh trắc học, cụ thể:

- Nếu chuyển khoản dưới 10 triệu đồng/lần và tổng số tiền chuyển khoản trong ngày không quá 20 triệu đồng thì xác thực bằng OTP, không cần xác thực bằng khuôn mặt.

- Nếu chuyển khoản trên 10 triệu đồng/lần thì bắt buộc phải xác thực bằng khuôn mặt.

- Nếu chuyển khoản dưới 10 triệu đồng/lần nhưng tổng các giao dịch trong ngày đã chạm mốc 20 triệu thì đến lần chuyển tiếp theo trong ngày đó phải xác thực bằng khuôn mặt, vân tay, dù lần tiếp theo đó chỉ chuyển vài ngàn đồng.

Ví dụ, trong ngày 4-7-2024, ông A chuyển tiền lần một là 10 triệu đồng, chuyển tiền lần hai là 5 triệu đồng, chuyển tiền lần ba là 6 triệu đồng thì đến lần chuyển tiền thứ tư ông phải xác thực khuôn mặt, vân tay cho dù lần thứ tư ông có chuyển khoản bao nhiêu tiền đi chăng nữa.

Xác thực sinh trắc học ngân hàng có an toàn không?

Trước đây, nếu không may bị mất thông tin đăng nhập ngân hàng hoặc mất điện thoại , kẻ gian có thể thực hiện các giao dịch chuyển khoản trái phép. Tuy nhiên, kể từ ngày 1-7-2024, ngân hàng sẽ so khớp thông tin sinh trắc học (khuôn mặt) với cơ sở dữ liệu đã được xác thực khi người dùng chuyển tiền để hạn chế việc mất cắp.

Mặc dù vậy, nhiều người vẫn bày tỏ lo ngại rằng công nghệ deepfake có thể giả mạo khuôn mặt của một người bất kỳ, và bị lạm dụng để sử dụng vào mục đích xấu.

Tuy nhiên, các chuyên gia bảo mật cho rằng việc sử dụng deepfake để giả mạo khuôn mặt, và xác thực sinh trắc học khi chuyển khoản ngân hàng rất khó thực hiện. Bởi lẽ các ngân hàng thường sử dụng hệ thống phát hiện gian lận hiện đại, và công nghệ chống giả mạo để nhận diện các dấu hiệu bất thường trong hình ảnh hoặc video. Những hệ thống này có thể phát hiện ra deepfake qua các dấu hiệu vi phạm nhỏ.

Ngoài ra, nhiều ngân hàng còn kết hợp xác thực sinh trắc (khuôn mặt) với các yếu tố khác như mã OTP, vân tay hoặc nhận diện giọng nói. Điều này làm cho việc sử dụng deepfake trở nên khó khăn hơn.

Ông Nguyễn Văn Thứ, Tổng giám đốc An ninh mạng của Bkav khuyến cáo khách hàng cần hết sức cẩn trọng khi thực hiện các giao dịch tài chính. Người dùng cần thường xuyên kiểm tra lịch sử giao dịch, không chia sẻ thông tin cá nhân và đề cao cảnh giác. Việc nâng cao nhận thức và sự phối hợp chặt chẽ giữa ngân hàng và khách hàng là rất quan trọng để bảo vệ an toàn tài chính trong kỷ nguyên số.

Dr. Joseph Atick (đồng sáng lập ID4Africa, chuyên gia về nhận diện sinh trắc học) cho rằng nhận diện khuôn mặt là một công cụ mạnh mẽ để xác thực danh tính và tăng cường bảo mật, đặc biệt trong bối cảnh số hóa các dịch vụ tài chính.

Tương tự, ông Alan Gelb (chuyên gia tại Center for Global Development, tác giả các nghiên cứu về nhận diện sinh trắc học) cũng đồng tình với nhận định trên. Ông ủng hộ việc sử dụng công nghệ xác thực sinh trắc học để cải thiện bảo mật, nhưng cũng cảnh báo về các thách thức liên quan đến quyền riêng tư.

Nhìn chung, đa số các chuyên gia đều đồng ý rằng nhận diện khuôn mặt có thể cải thiện bảo mật trong các giao dịch tài chính, nhưng cũng cần phải cân nhắc và giải quyết các rủi ro về quyền riêng tư và bảo mật dữ liệu.

Ngân hàng nước ngoài có sử dụng xác thực sinh trắc học không?

Nhiều ngân hàng nước ngoài hiện đã áp dụng công nghệ nhận diện khuôn mặt để xác thực lại khi người dùng chuyển khoản, đặc biệt là các giao dịch có giá trị lớn. Điều này giúp tăng cường bảo mật và đảm bảo rằng người thực hiện giao dịch là người dùng hợp pháp.

Ví dụ, các ngân hàng như HSBC, Wells Fargo, và Bank of America đã bắt đầu triển khai công nghệ nhận diện khuôn mặt trong các ứng dụng của họ để tăng cường bảo mật. Tại Trung Quốc, các ngân hàng như ICBC và Bank of China cũng đã áp dụng công nghệ này rộng rãi.

Nhìn chung, việc sử dụng nhận diện khuôn mặt để xác thực lại khi chuyển khoản đang trở thành một xu hướng phổ biến, giúp tăng cường an ninh và đảm bảo tính toàn vẹn của các giao dịch ngân hàng.

Vừa qua, hệ thống nhận diện khuôn mặt - Viettel eKYC cũng đã nhận được chứng chỉ quốc tế ISO 30107-3 (do Tayllorcox cấp) về nhận diện khuôn mặt (FaceID) cấp độ 2, cũng là cấp độ cao nhất hiện nay.

Theo đánh giá, Viettel eKYC đạt độ chính xác tuyệt đối trước các hình thức giả mạo 2D và 3D, hoàn toàn không nhầm lẫn giữa khuôn mặt người dùng và các hình thức giả mạo, đảm bảo an toàn chống giả mạo sinh trắc khuôn mặt.

Ở cấp độ 1, các hệ thống sinh trắc học có thể phát hiện các trường hợp giả mạo dạng cơ bản 2D như chụp khuôn mặt gián tiếp qua màn hình, khuôn mặt in trên giấy, khuôn mặt in trên thẻ…

Trong khi đó, các hệ thống sinh trắc học đạt cấp độ 2 có khả năng phát hiện các trường hợp gian lận tinh vi hơn ở dạng 3D như mặt nạ silicon, khuôn mặt tái tạo bằng máy scan chuyên dụng, video deepfake (giả mạo)… và sẵn sàng đối phó với những trường hợp gian lận sinh trắc học có độ phức tạp cao.

Báo Pháp luật TP.HCM