Dự thảo Nghị định về chữ ký điện tử và dịch vụ tin cậy có thể làm tăng rủi ro cũng như chi phí và giảm trải nghiệm của khách hàng

Phóng viên: Dưới góc nhìn của tổ chức tài chính quốc tế đang hoạt động tại Việt Nam, bà đánh giá như thế nào về tác động của dự thảo Nghị định về chữ ký điện tử và dịch vụ tin cậy đối với hoạt động ngân hàng?

Bà Phan Thị Hồng Thúy: Thực tiễn triển khai hoạt động ngân hàng điện tử hiện nay trên thị trường cho thấy, các ngân hàng chủ yếu cấp cho khách hàng tài khoản định danh, mật khẩu, mã xác thực OTP để khách hàng thực hiện giao dịch trên nền tảng điện tử do các ngân hàng cung cấp.

So với Luật Giao dịch điện tử 2005, Luật Giao dịch điện tử 2024 đã giới thiệu thêm 2 khái niệm mới: (i) Chữ ký chuyên dùng đảm bảo an toàn (Điều 22.2); (ii) hình thức xác nhận khác bằng phương tiện điện tử để thể hiện sự chấp thuận của chủ thể ký đối với thông điệp dữ liệu mà không phải là chữ ký điện tử (Điều 22.4).

Trong hoạt động ngân hàng điện tử, từ trước đến nay, các ngân hàng vẫn luôn hướng tới và ưu tiên áp dụng chữ ký điện tử. Vì vậy, tham chiếu những thay đổi trong quy định của Luật Giao dịch điện tử 2024, các ngân hàng sẽ ưu tiên áp dụng chữ ký chuyên dùng đảm bảo an toàn và sẽ tiến hành các thủ tục đăng ký với Bộ Thông tin và Truyền thông vì Chữ ký điện tử chuyên dùng đảm bảo an toàn là một loại chữ ký điện tử, do vậy sẽ phù hợp với quy định pháp luật hiện hành trong lĩnh vực ngân hàng, kế toán, thuế,… đặc biệt là các quy định liên quan đến sử dụng con dấu.

Quy định trong dự thảo nghị định này có ảnh hưởng rất lớn với ngành Ngân hàng. Cụ thể, nếu theo quy định của dự thảo Nghị định (khoản 2, Điều 10), chúng tôi hiểu rằng chữ ký điện tử chuyên dùng đảm bảo an toàn chỉ được sử dụng cho chính tổ chức tạo lập, mà không được sử dụng từ phía khách hàng, đối tác của tổ chức tạo lập.

Với quy định này, trong trường hợp sử dụng chữ ký điện tử, tất cả các khách hàng và đối tác của các doanh nghiệp cung cấp hàng hóa, dịch vụ qua kênh điện tử, dù là cá nhân hay tổ chức, đều sẽ phải sử dụng chữ ký số trong giao dịch điện tử, thay vì chữ ký điện tử bảo đảm an toàn do doanh nghiệp tự tạo lập. Điều này dẫn đến những ảnh hưởng sau:

Thứ nhất, không khả thi về mặt kỹ thuật: việc 2 bên trong cùng một giao dịch sử dụng 2 loại chữ ký điện tử khác nhau (cụ thể, một bên sử dụng chữ ký điện tử chuyên dùng đảm bảo an toàn và một bên sử dụng chữ ký số) trên cùng một nền tảng giao dịch là không khả thi, do vậy các doanh nghiệp cũng sẽ buộc phải sử dụng cùng loại chữ ký số với các khách hàng và đối tác.

Ngoài ra, đối với các ngân hàng nước ngoài sử dụng hệ thống ngân hàng lõi toàn cầu, việc gắn thêm chữ ký số của bên thứ ba có thể gây ra rủi ro về tính không tương thích trong hệ thống nội bộ của ngân hàng.

Thứ hai, chi phí và tác động gia tăng đối với nỗ lực chuyển đổi số quốc gia: Mặc dù chúng tôi ủng hộ mục tiêu thúc đẩy chữ ký số của Việt Nam nhưng quy định tại dự thảo nghị định có thể làm giảm động lực chuyển đổi số. Nhu cầu mua chứng thư số cho các giao dịch ngân hàng trực tuyến liên tục sẽ làm tăng chi phí và làm giảm trải nghiệm của khách hàng. Những chi phí này sẽ được chuyển sang người dùng thông qua phí dịch vụ, ảnh hưởng đến từng người dân và doanh nghiệp tại Việt Nam.

Thứ ba, rủi ro hoạt động đối với ngành Ngân hàng do phụ thuộc vào bên thứ ba: Ngành Ngân hàng là huyết mạch của nền kinh tế. Mỗi phút có hàng triệu giao dịch được thực hiện thông qua hệ thống ngân hàng điện tử. Việc yêu cầu sử dụng chữ ký số và dịch vụ của nhà cung cấp dịch vụ xác thực chữ ký số bên thứ ba cho mỗi giao dịch trước khi thực hiện có thể dẫn đến những rủi ro hoạt động sau:

Rủi ro về sự liên tục của hoạt động kinh doanh: Các ngân hàng trở nên phụ thuộc hoàn toàn vào một hoặc một số nhà cung cấp dịch vụ bên thứ ba, làm cho hoạt động giao dịch của ngân hàng trở nên hạn chế. Sự gián đoạn trong hệ thống ngân hàng sẽ ảnh hưởng đến mọi mặt của đời sống. Hiện nay, Việt Nam chỉ có khoảng 10 nhà cung cấp dịch vụ chứng thực được cấp phép để thực hiện ký số từ xa. Điều này có nghĩa một nhà cung cấp có thể sẽ phải xử lý cùng lúc một số lượng rất lớn giao dịch từ nhiều doanh nghiệp, ngân hàng, tạo ra một tình trạng rủi ro không chỉ đối với một doanh nghiệp, ngân hàng mà còn rủi ro hệ thống.

Rủi ro về chất lượng dịch vụ: Các ngân hàng xử lý hàng tỷ giao dịch mỗi năm, trong khi năng lực của hệ thống cấp và ký chứng thư số từ các nhà cung cấp dịch vụ chưa được chứng minh là có thể xử lý được khối lượng giao dịch lớn như vậy.

Rủi ro bảo mật: Chưa có đánh giá cụ thể về tính tương thích của hệ thống bảo mật và xác thực của nhà cung cấp chứng thư số với hệ thống của từng ngân hàng.

Phóng viên: Với các giao dịch ngân hàng, yếu tố bảo mật được đặt lên hàng đầu. Vậy với quy định thực hiện chữ ký điện tử chuyên dùng đảm bảo an toàn, yếu tố này liệu có được đảm bảo, thưa bà?

Bà Phan Thị Hồng Thúy: Với quy định về thực hiện chữ ký điện tử chuyên dùng đảm bảo an toàn, tôi cho rằng, yếu tố này sẽ được đảm bảo vì dự thảo nghị định hiện tại về chữ ký điện tử và dịch vụ tin cậy có đưa ra những điều kiện kỹ thuật đối với chữ ký chuyên dùng đảm bảo an toàn chặt chẽ như chữ ký số.

Cụ thể, chữ ký điện tử chuyên dùng đảm bảo an toàn phải đáp ứng các điều kiện khắt khe tại Điều 22 của Luật Giao dịch điện tử 2023 như: xác nhận chủ thể ký và khẳng định sự chấp thuận của chủ thể ký đối với thông điệp dữ liệu; dữ liệu tạo chữ ký điện tử chuyên dùng chỉ gắn duy nhất với nội dung của thông điệp dữ liệu được chấp thuận; dữ liệu tạo chữ ký điện tử chuyên dùng chỉ thuộc sự kiểm soát của chủ thể ký tại thời điểm ký; hiệu lực của chữ ký điện tử chuyên dùng có thể được kiểm tra theo điều kiện do các bên tham gia thỏa thuận.

Ngoài ra, việc đáp ứng các điều kiện trên của chữ ký điện tử chuyên dùng đảm bảo an toàn còn được Bộ Thông tin và Truyền thông xác nhận thông qua thủ tục đăng ký để được công nhận là chữ ký điện tử chuyên dùng đảm bảo an toàn.

Phóng viên: Việc sử dụng chữ ký điện tử trong các giao dịch ngân hàng trên thế giới như nào? Bà có thể chia sẻ một kinh nghiệm điển hình không?

Bà Phan Thị Hồng Thúy: Các chi nhánh của các ngân hàng toàn cầu ở các nước cũng sử dụng biện pháp xác thực OTP trong giao dịch ngân hàng. Các nước này công nhận OTP này là chữ ký điện tử và OTP có giá trị như chữ ký điện tử trong giao dịch ngân hàng.

Ví như, theo Đạo Luật giao dịch điện tử của Singapore, chữ ký điện tử thỏa mãn các yêu cầu pháp lý để được ký trên văn bản nếu: có biện pháp được thực hiện nhằm định danh người ký và thể hiện ý chí của người đó; phương pháp được sử dụng đó là đủ tin cậy và phù hợp với mục đích khởi tạo hoặc truyền tải dữ liệu điện tử hoặc, trên cơ sở xem xét toàn bộ hoàn cảnh, bao gồm cả hợp đồng liên quan, hoặc được chứng minh là có biện pháp được thực hiện nhằm định danh người ký và thể hiện ý chí của người đó.

Ngoài ra, Đạo Luật giao dịch điện tử của Singapore cũng cho phép các bên trong giao dịch có thể thỏa thuận về một quy trình an toàn hợp lý về mặt thương mại để kiểm tra xem chữ ký điện tử có đáp ứng các yêu cầu để trở thành chữ ký điện tử an toàn hay không.

Phóng viên: Từ những phân tích nêu trên, theo bà, dự thảo Nghị định nên được điều chỉnh như thế nào để giảm chi phí, thủ tục cho người dân và doanh nghiệp nhưng đồng thời cũng góp phần thúc đẩy chuyển đổi số trong các ngành, lĩnh vực tại Việt Nam?

Bà Phan Thị Hồng Thúy: Dựa trên kinh nghiệm thực tiễn, tôi cho rằng để đạt được hai mục tiêu: (i) giảm chi phí, thủ tục cho người dân và doanh nghiệp; và (ii) góp phần thúc đẩy chuyển đổi số trong các ngành, lĩnh vực của Việt Nam, Khoản 2, Điều 10 của Dự thảo Nghị định nên được cân nhắc sửa lại như sau:

“Điều 10. Chữ ký điện tử chuyên dùng bảo đảm an toàn

1. Chữ ký điện tử chuyên dùng bảo đảm an toàn là chữ ký điện tử do cơ quan, tổ chức tạo lập, sử dụng riêng cho hoạt động của cơ quan, tổ chức đó phù hợp với chức năng, nhiệm vụ; đáp ứng đủ các yêu cầu quy định tại Điều 11 Nghị định này và được Bộ Thông tin và Truyền thông cấp chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn.

2. Việc sử dụng chữ ký điện tử đảm bảo an toàn cho hoạt động của cơ quan, tổ chức đó bao gồm: (i) các hoạt động nội bộ; (ii) hoạt động đại diện cho tổ chức đó giao dịch với tổ chức, cá nhân khác và tạo lập, cung cấp chữ ký điện tử cho tổ chức, cá nhân khác để sử dụng trong giao dịch với chính cơ quan, tổ chức đó phù hợp với chức năng, nhiệm vụ theo quy định của pháp luật.

3. Tổ chức tạo lập chữ ký điện tử chuyên dùng bảo đảm an toàn chịu trách nhiệm trước pháp luật đối với chữ ký điện tử chuyên dùng bảo đảm an toàn cấp cho cá nhân thuộc tổ chức.”

Phóng viên: Xin trân trọng cảm ơn bà!