Kinh nghiệm triển khai định danh khách hàng trực tuyến eKYC và bài học cho Việt Nam

(BANKER.VN) Bài viết cung cấp kinh nghiệm về phát triển eKYC tại một số quốc gia trên thế giới, tìm hiểu thực tiễn áp dụng tại Việt Nam, qua đó đề xuất một số giải pháp để phát triển eKYC ở Việt Nam.

Kinh nghiệm triển khai định danh khách hàng trực tuyến eKYC và bài học cho Việt Nam

Tóm tắt: Thế giới thời gian qua chứng kiến sự phát triển của eKYC trong mọi hoạt động kinh tế, đặc biệt trong lĩnh vực ngân hàng. Giải pháp định danh khách hàng trực tuyến – eKYC (electronic Know Your Customer) – được cho là viên gạch nền móng đầu tiên cho tiến trình chuyển đổi số của các ngân hàng. Bài viết cung cấp kinh nghiệm về phát triển eKYC tại một số quốc gia trên thế giới, tìm hiểu thực tiễn áp dụng tại Việt Nam, qua đó đề xuất một số giải pháp để phát triển eKYC ở Việt Nam.

Experience in eKYC application and lessons for Vietnam

Abstract: We have  witnessed the fast development of eKYC in all economic activities, especially in the banking sector. Electronic Know Your Customer - eKYC - is considered the first foundation block for digital transformation in banks. This article shows experience on eKYC development in some countries around the world as well as the practical application in Vietnam, thereby proposing some solutions to develop the application of eKYC in Vietnam.

Về cơ bản, có 4 mô hình phát triển eKYC phổ biến. Mỗi mô hình có những ưu và nhược điểm riêng. Những quốc gia và vùng lãnh thổ đã có chuẩn hóa và phát triển mạnh về eKYC có thể kể đến như Ấn Độ, Thụy Điển, Đức, Hồng Kông và Singapore. Việc áp dụng eKYC trong hoạt động ngân hàng tại các nước này bên cạnh những thuận lợi cũng có nhiều thách thức và khó khăn, đặt ra nhiều vấn đề liên quan đến quyền riêng tư, tính bảo mật thông tin cá nhân, và đặc biệt là việc cân bằng giữa sự thuận tiện cho khách hàng và việc tuân thủ các quy định quốc tế về Chống rửa tiền (Anti-Money Laundering – AML) và Chống Tài trợ cho khủng bố (Counter Terrorism Financing – CTF).

Tại Việt Nam, sau một thời gian cho thực hiện thí điểm eKYC ở một số ngân hàng, ngày 3/12/2020, Ngân hàng Nhà nước đã ban hành Thông tư 16/2020/TT-NHNN, chính thức cho phép thực hiện eKYC. Mô hình phát triển eKYC ở Việt Nam theo quy định mới có xu hướng theo mô hình Hồng Kông, theo đó Nhà nước chỉ đưa ra các hướng dẫn thực hiện, còn chi tiết triển khai và lựa chọn công nghệ sẽ do các ngân hàng tự quyết định.

Triển vọng phát triển của eKYC tại Việt Nam là rất lớn trong bối cảnh các ngân hàng Việt Nam rất tích cực chuyển đổi số và nhận được sự khuyến khích và hỗ trợ từ phía Chính phủ. Tuy nhiên, việc thực hiện eKYC tại Việt Nam cũng giống như các nước khác trên thế giới có cả thuận lợi và thách thức, ví dụ sự thiếu hụt về nhân sự chất lượng cao, Nhà nước chưa có hệ thống cơ sở dữ liệu dân cư quốc gia, khung pháp lý còn chưa hoàn thiện…

Để eKYC thực sự là bệ phóng cho sự phát triển của chuyển đổi ngân hàng số ở Việt Nam, các ngân hàng và cơ quan quản lý trong thời gian tới cần tập trung vào một số nhiệm vụ trọng điểm như phát triển nguồn nhân lực eKYC trong nội bộ các ngân hàng, xây dựng một cơ sở dữ liệu dân cư quốc gia số, áp dụng công nghệ RegTech và SupTech song song với Fintech nhằm cân bằng và đảm bảo tính tuân thủ, tăng cường hợp tác quốc tế trong lĩnh vực eKYC.

1. KHÁI NIỆM CƠ BẢN VỀ ĐỊNH DANH KHÁCH HÀNG TRỰC TUYẾN – EKYC VÀ KINH NGHIỆM PHÁT TRIỂN TRÊN THẾ GIỚI

1.1. Khái niệm cơ bản về eKYC

“Know Your Customer” (KYC) - Định danh khách hàng là một thủ tục để xác định và xác nhận danh tính khách hàng đúng với những gì họ đã khai báo. Quá trình này bao gồm các bước kiểm tra được thực hiện trong giai đoạn đầu doanh nghiệp tiếp xúc với khách hàng, để xác minh rằng khách hàng là thật. Việc xác minh được thực hiện thông qua việc so khớp thông tin từ các tài liệu xác định danh tính (chứng minh thư, thẻ căn cước, bằng lái xe,...) và đặc biệt là thông qua sự hiện diện trực tiếp của khách hàng.

Trong bối cảnh chuyển đổi số đang diễn ra mạnh mẽ, quy trình eKYC (electronic Know Your Customer) - Định danh khách hàng trực tuyến được các ngân hàng đưa vào áp dụng như một biện pháp nâng cao năng lực cạnh tranh và thu hút khách hàng. eKYC dựa trên quy trình KYC với sự hỗ trợ từ các công nghệ trí tuệ nhân tạo như: xác thực khuôn mặt (face-matching) để so khớp khuôn mặt với ảnh trên giấy tờ tùy thân; nhận diện ký tự (OCR) để đọc và trích xuất các thông tin trên giấy tờ, đối chiếu thông tin cá nhân tức thời với cơ sở dữ liệu tập trung về danh tính người dùng, xác minh người thật (liveness detection) để xác định đúng là người thật đang thực hiện thao tác giao dịch chứ không phải robot... Như vậy, khách hàng không cần gặp mặt, tới trực tiếp chi nhánh của ngân hàng mà có thể thực hiện quy trình định danh ở bất cứ đâu và bất cứ lúc nào.

Hình 1: Quy trình định danh khách hàng trực tuyến Ekyc

Nguồn: Innotech Vietnam Website

Hiện nay, eKYC đang ngày càng được áp dụng rộng rãi trong mọi lĩnh vực của cuộc sống, từ y tế, viễn thông, du lịch, đến dịch vụ công, chứ không chỉ riêng trong lĩnh vực tài chính ngân hàng.

Hình 2: Ứng dụng eKYC trong cuộc sống

Nguồn: WEF (2018)

1.2. Kinh nghiệm trên thế giới về phát triển eKYC

1.2.1. Quy định pháp luật và thực tiễn phát triển

Fintech và ngân hàng ảo tiếp tục nhận được sự quan tâm trên toàn thế giới, khách hàng ngày càng kỳ vọng được trải nghiệm dịch vụ số hoàn toàn trong mọi dịch vụ tài chính ngân hàng. Trong những năm gần đây, ngân hàng trung ương các nước đang dần đưa ra các quy định mới về eKYC, cho phép các ngân hàng thực hiện nghiệp vụ eKYC và chấp thuận các giao dịch trực tuyến. Ngày 1/4/2020, Lực lượng đặc nhiệm tài chính quốc tế (Financial Action Task Force – FATF) – tổ chức liên chính phủ hàng đầu về tài chính có trụ sở tại Pháp, chính thức khuyến nghị sử dụng tối đa công nghệ, đặc biệt là Fintech, RegTech và SupTech, trong bối cảnh các nước đang thực hiện giãn cách xã hội.

Ở cấp độ quốc gia, nhiều cơ quan quản lý đã cho phép các ngân hàng thực hiện định danh khách hàng từ xa để việc cung cấp dịch vụ không bị gián đoạn và thu hút được khách hàng một cách hợp pháp trong bối cảnh phải thực hiện cách ly xã hội. Ví dụ, New Zealand đã yêu cầu các ngân hàng chấp nhận bản scan tài liệu thay thế tài liệu gốc và thực hiện việc định danh khách hàng trực tuyến để tránh giao tiếp trực tiếp với khách hàng.

Tương tự, Ủy ban Chứng khoán Ấn Độ (SEBI) đã cho phép các nhà đầu tư nước ngoài cung cấp bản scan các tài liệu khi đăng ký mở tài khoản mới, trong khi Ngân hàng Trung ương Philippines tạm thời dỡ bỏ yêu cầu phải trình chứng minh thư gốc khi khách hàng mở tài khoản mới.

Có thể thấy, hiện nay, trên thế giới có bốn mô hình eKYC phổ biến như sau (Claus Christensen, 2020):

(1) Xác thực và nhận diện danh tính: Mô hình Hồng Kông

Các quy định sơ khai về eKYC đều có đặc điểm chung là thay bằng việc quy định phải bắt buộc áp dụng một công nghệ hay quy trình riêng biệt, các quy định này chỉ đưa ra các hướng dẫn chung chung và để cho các ngân hàng tự phân tích và đưa ra quy trình thẩm định của riêng mình.

Hồng Kông là một ví dụ điển hình của mô hình này. Pháp lệnh chống rửa tiền và chống tài trợ khủng bố của Hồng Kông (năm 2011) là văn bản pháp lý cơ bản về vấn đề thẩm định và lưu giữ hồ sơ khách hàng, lần đầu tiên đưa ra các yêu cầu đặc biệt trong trường hợp khách hàng không thể tự đến điểm giao dịch để xác nhận danh tính. Tuy nhiên, các quy định này cũng chỉ ở mức chung chung chứ chưa thật cụ thể. Tháng 2/2019, Cơ quan Quản lý tiền tệ Hồng Kông (HKMA) ban hành thông tư sửa đổi về vấn đề “đăng ký khách hàng cá nhân từ xa”. Văn bản mới này cũng không đưa ra các đầu việc cụ thể cần phải tuân theo, mà chỉ quy định rằng công nghệ sử dụng cho mục đích thu hút khách hàng từ xa phải bao gồm cả việc xác thực/xác minh và xác nhận danh tính, ví dụ nhận diện khuôn mặt (face recognition) và xác minh người thật (liveness detection).

Các phiên bản của Mô hình Hồng Kông bao gồm Malaysia và một số nước trong Liên minh châu Âu. Tháng 12/2019, Ngân hàng Trung ương Malaysia (BNM) ban hành dự thảo về các yêu cầu đối với ngân hàng trong việc thực hiện eKYC, bao gồm việc sử dụng công nghệ sinh trắc học (biometric technology), phát hiện giả mạo (fraud detection) và xác minh người thật. Tuy nhiên, việc chọn công nghệ nào cũng do các ngân hàng tự quyết định.

Ưu điểm của mô hình này là tính linh động, giúp tạo ra một hệ sinh thái rộng lớn các giải pháp để áp dụng. Nhược điểm là sự không chắc chắn do các quy định tương đối mơ hồ khiến việc ngân hàng có thể khó khăn trong việc triển khai và kiểm soát sự tuân thủ.

(2) Xác nhận qua video: Mô hình của Đức

Một mô hình khác – có vẻ truyền thống hơn – là việc chống mạo danh trong quy trình thực hiện eKYC bằng cách thay gặp trực tiếp bằng cuộc gọi video hai chiều. Với quy trình này, khách hàng chỉ cần có đường truyền internet ổn định và một thiết bị kết nối internet như laptop hay smartphone có camera, là có thể thực hiện được một cách dễ dàng.

Hình 3: Quy trình xác thực eKYC qua cuộc gọi video call

Một trong những nước đầu tiên áp dụng mô hình này là Đức. Cơ quan Giám sát Tài chính liên bang Đức (BaFin) năm 2014 đã ban hành hướng dẫn đầu tiên về vấn đề này (sửa đổi bổ sung năm 2017). Nội dung chính của hướng dẫn này là cho phép xác định và xác thực khách hàng qua cuộc gọi video hai chiều giữa khách hàng và nhân viên của ngân hàng.

Một ví dụ điển hình khác là Ngân hàng Dự trữ Ấn Độ (RBI) trong tháng 1/2020 đã tuyên bố sẽ cho định danh khách hàng qua cuộc gọi video. Tương tự, năm 2018, Cơ quan Quản lý tiền tệ Singapore (MAS) cũng đã chính thức công bố việc xác nhận danh tính qua cuộc gọi video trực tuyến có giá trị tương đương gặp mặt trực tiếp.

Định danh qua video có ưu điểm là phòng tránh được việc sử dụng danh tính giả, danh tính bị đánh cắp. Tuy nhiên, nhược điểm là tạo ra gánh nặng lớn về chi phí cho ngân hàng do phải duy trì đội ngũ nhân viên trả lời cuộc gọi, đặc biệt trong trường hợp cuộc gọi với số lượng nhiều.

(3) Cơ sở dữ liệu dân cư quốc gia số hóa: Mô hình Thụy Điển và Ấn Độ

Một trong những mô hình eKYC tiến bộ hơn là số hóa cơ sở dữ liệu dân cư quốc gia. Để thực hiện được mô hình này trước tiên cần phải có một cơ sở dữ liệu dân cư đã được số hóa, chính thức và đáng tin cậy, thường là do Chính phủ xây dựng, để các ngân hàng có thể tham chiếu khi kiểm tra danh tính của khách hàng. Theo WEF (2018), một cơ sở dữ liệu dân cư quốc gia tốt thường bao gồm 5 yếu tố: (1) Có ích (Useful), (2) Toàn diện (Inclusive), (3) Đáp ứng được các yêu cầu sử dụng (Fit for Purpose), (4) An toàn (Secure), và (5) Cho phép người dùng có thể lựa chọn (Offers Choice).

Hình 4: Năm yếu tố cấu thành một cơ sở dữ liệu dân cư tốt

Nguồn: WEF (2018)

Ấn Độ là một trong những nước đi đầu trong lĩnh vực này. Hệ thống eKYC dựa trên cơ sở dữ liệu dân cư toàn quốc Aadhaar do Cơ quan Quản lý dữ liệu dân cư Ấn Độ (UIDAI) xây dựng năm 2009, được coi là mô hình mẫu về cơ sở dữ liệu dân cư số trên thế giới1. Aadhaar đang quản lý cơ sở dữ liệu của 1,21 tỷ người dân Ấn Độ.

Nhược điểm của hệ thống cơ sở dữ liệu dân cư số tập trung là dễ bị hack hoặc giả mạo. Điều này đã xảy ra với hệ thống Aadhaar tháng 1/2019, khi Chính phủ Ấn Độ công bố hàng triệu dữ liệu sinh trắc học của người dân trong Aadhaar đã bị rò rỉ ra ngoài, dẫn đến việc Chính phủ buộc phải tạm cấm sử dụng hệ thống này ngoài các cơ quan Chính phủ.

Singapore cũng đã xây dựng được một hệ thống tương tự, MyInfo, từ tháng 5/2016. Theo đó, MAS không yêu cầu các ngân hàng đã được đăng ký với MyInfo phải yêu cầu khách hàng của mình trình thêm bất cứ tài liệu nào khác trong quy trình định danh khách hàng. Singapore hiện áp dụng rất thành công hệ thống này, do đã xây dựng được hệ thống bảo mật thông tin tiên tiến. Trong một văn bản mới đang được xin ý kiến rộng rãi, MAS đề nghị rằng các ngân hàng bắt buộc phải sử dụng một trong các loại thông tin sau để định danh khách hàng trực tuyến: mật mã hoặc PIN, sinh trắc học, mật mã từ token, hoặc các thông tin chỉ ngân hàng và khách hàng của ngân hàng đó biết ví dụ thông tin về giao dịch. Dự thảo này cũng cấm các ngân hàng chỉ dựa vào các thông tin cá nhân thông dụng như mã số NRIC (mã số định danh cá nhân quốc gia), địa chỉ cư trú và ngày sinh như là phương tiện duy nhất để định danh khách hàng.

Thụy Điển là một ví dụ điển hình khác về việc sử dụng cơ sở dữ liệu dân cư số. Dự án cơ sở dữ liệu dân cư số (eID) ban đầu do các ngân hàng phối hợp thực hiện, nhưng sau đó đã được Chính phủ Thụy Điển công nhận là hệ thống chung của quốc gia. Hiện khoảng 80% dân số Thụy Điển đã đăng ký vào hệ thống này.

Tại Thái Lan, tháng 2/2020 Ngân hàng Trung ương Thái Lan đã phê duyệt phương pháp định danh khách hàng liên ngân hàng, cho phép các ngân hàng tận dụng nền tảng Định danh số quốc gia cho việc mở tài khoản ngân hàng. Cơ chế định danh mới cho phép khách hàng sử dụng thông tin và việc định danh ở ngân hàng của mình để mở tài khoản tại các ngân hàng mới, không cần phải thực hiện việc định danh lại một lần nữa.

(4) Thẩm định khách hàng giản đơn và Thẩm định khách hàng chi tiết: Mô hình của Anh

Trong khi hầu hết các mô hình về eKYC dựa trên cơ sở đánh giá rủi ro về phía khách hàng, Cơ quan Tài chính Anh lại có một cách tiếp cận khác, ở cấp độ cao hơn.

Nhóm công tác chung về rửa tiền của Chính phủ Anh (JMLSG) là cơ quan ban hành các hướng dẫn để giúp các ngân hàng thực hiện nghĩa vụ về Chống rửa tiền và Chống tài trợ khủng bố theo quy định của pháp luật Anh. Theo JMLSG, ngân hàng phải áp dụng mô hình 2+2 trong việc xác nhận danh tính khách hàng, theo đó các ngân hàng phải xác thực được tính trùng khớp của hai điểm dữ liệu do khách hàng cung cấp (ví dụ, tên của một người cộng với ngày sinh của người đó, hoặc tên cộng với địa chỉ) với hai điểm dữ liệu của một tổ chức đáng tín cậy khác cung cấp.

Năm 2019, Cơ quan Dịch vụ số của Chính phủ Anh tiếp tục đưa ra các hướng dẫn về xác nhận danh tính (The Good Practice Guide 45 (GPG45). Theo GPG45, quy trình xác nhận danh tính gồm 5 bước: (1) thu thập minh chứng về danh tính khách hàng, (2) thẩm định minh chứng, (3) kiểm tra sự tồn tại ổn định của danh tính theo theo thời gian, (4) kiểm tra xem danh tính của khách hàng có nguy cơ bị làm giả cao không và (5) bước cuối cùng là xác nhận xem danh tính đó có trùng với khách hàng yêu cầu xác nhận không. Trên cơ sở đó, GPG45 phân loại danh tính theo các mức độ rủi ro Cao, Trung bình và Thấp để quyết định sẽ thẩm định khách hàng giản đơn hay chi tiết.

Dù áp dụng mô hình nào trong bốn mô hình nêu trên, việc áp dụng eKYC trên thế giới được nhiều quốc gia đánh giá là đã mang lại rất nhiều lợi ích về kinh tế. Bộ Tài chính Ấn Độ dự tính rằng việc chuyển từ KYC thông thường sang eKYC ở Ấn Độ đã giúp giảm chi phí định danh khách hàng trung bình từ $15 xuống còn $0,50 và thời gian định danh khách hàng từ hơn 5 ngày xuống còn vài phút. Việc áp dụng eKYC cũng giúp Chính phủ nhiều nước đạt được các mục tiêu về tài chính toàn diện. Chương trình eKYC ở Ấn Độ đã đóng góp vào sự thành công của Chương trình tài chính toàn diện Jan Dhan một cách đáng kể. Trong số 300 triệu tài khoản ngân hàng được mở từ năm 2014 – 2017, có đến 17% là nhờ sử dụng eKYC với xác thực sinh trắc học và 67% là sử dụng mã số từ hệ thống Aadhaar và OTP (IDinsight, 2019).

1.2.2. Khó khăn và thách thức trong việc triển khai eKYC

Trên thực tế, việc triển khai eKYC của các nước trên thế giới trong thời gian qua bên cạnh các thuận lợi cũng gặp không ít các khó khăn và thách thức.

Thứ nhất, việc triển khai cơ sở dữ liệu dân cư quốc gia cần phải có một khung pháp lý ổn định và cũng như việc phân công trách nhiệm rõ ràng cho các cơ quan quản lý cơ sở dữ liệu này. Ví dụ điển hình là trường hợp Nigeria, quy định của Ngân hàng trung ương về việc sử dụng mã số định danh khách hàng trên cơ sở dữ liệu sinh trắc học (BVN) đã bị Ủy ban Quản lý định danh quốc gia (NIMC) cáo buộc là vi phạm pháp luật. NIMC cho rằng Ngân hàng trung ương không có quyền yêu cầu công dân sử dụng thông tin về sinh trắc học để đăng ký dịch vụ ngân hàng và gán mã số định danh BVN cho các công dân này. NIMC cho rằng mình là đơn vị duy nhất được quyền xác nhận và đăng ký thông tin về sinh trắc học của công dân. 

Thứ hai, chi phí đầu tư và chi phí vận hành hệ thống eID và eKYC là rất tốn kém. Hệ thống Aadhaar tốn ít nhất 1,5 tỷ USD chi phí đầu tư tính đến tháng 9/2018, chưa kể đến chi phí vận hành hàng năm khoảng 42 triệu USD/năm. Theo gợi ý của Ngân hàng Thế giới, mô hình đối tác công tư PPP có thể được sử dụng để giúp chính phủ giảm gánh nặng tài chính khi đầu tư và phát triển hệ thống eID và eKYC.

Thứ ba, sự ổn định của hệ thống. Điểm cốt lõi của quy trình eKYC là có thể thực hiện được việc xác thực trực tuyến ngay lập tức (real-time verification) từ trung tâm dữ liệu. Điều đó có nghĩa là cần phải có kết nối ổn định giữa trung tâm dữ liệu và đơn vị yêu cầu. Điều này đặc biệt quan trọng trong trường hợp kết nối internet hay bị đứt đoạn hoặc nơi tín hiệu internet bị yếu. Tuy nhiên, với trường hợp khách hàng ở vùng sâu vùng xa, việc này khó thực hiện được.

Thứ tư, tính an toàn của hệ thống và dữ liệu người dùng. Hệ thống Aadhaar thường xuyên bị tấn công dẫn đến việc rò rỉ thông tin người dùng và việc giả mạo mã số định danh Aadhaar. Hệ thống đăng ký người dùng của Aadhaar cũng thường xuyên bị hack dẫn đến thông tin sinh trắc học của người dùng bị thay đổi hoặc bị làm mờ để phục vụ mục đích mạo danh.

Thứ năm, quyền riêng tư và việc bảo vệ cơ sở dữ liệu. Việc đảm bảo quyền riêng tư và bảo vệ cơ sở dữ liệu khi phải xử lý số lượng lớn các dữ liệu eID và eKYC là một vấn đề lớn được thảo luận tại rất nhiều nước, bao gồm cả Ấn Độ. Việc sử dụng Aadhaar trong quy trình eKYC cũng tạo ra những lo ngại về quyền riêng tư. Mặc dù hệ thống Aadhaar bản chất là được thiết kế chỉ để đưa ra các phản hồi “Yes/No” cho các câu hỏi của đối tác bên ngoài, chỉ ra liệu các đặc tính của khách hàng có trùng với dữ liệu lưu trữ trong cơ sở dữ liệu của UIDAI hay không, việc xác thực eKYC sử dụng Aadhaar thực ra lại cung cấp thêm các thông tin về khách hàng cho các ngân hàng. Các chuyên gia về quyền riêng tư lập luận rằng điều này có thể gây ra các rủi ro cho khách hàng. Cụ thể, tháng 9/2018, Tòa án Tối cao Ấn Độ đã ra lệnh cấm các tổ chức cá nhân sử dụng mã số định danh Aadhaar để xác định danh tính khách hàng, lập luận rằng việc sử dụng này “dẫn đến khai thác thương mại các thông tin sinh trắc học và nhân khẩu học của các cá nhân”. Thực hiện phán quyết này, UIDAI đã tạm hoãn cho phép các ngân hàng và nhà mạng di động thực hiện eKYC trong một thời gian dài.

Tương tự ở Mexico, chương trình đăng ký SIM bắt buộc cũng gặp phải vấn đề quyền riêng tư và tính an toàn của cơ sở dữ liệu. Hiện nay ở châu Á, chỉ có 14 quốc gia có luật bảo về quyền riêng tư toàn diện. Một số ít các quốc gia khác như Trung Quốc và Indonesia mới thông qua luật và quy định về bảo vệ dữ liệu. Ở châu Phi, chỉ có 23/55 quốc gia đã thông qua hay đang dự thảo luật bảo vệ quyền riêng của cá nhân và chỉ có 9 quốc gia có cơ quan chuyên trách về vấn đề này.

Thứ sáu, các rủi ro về gian lận và mạo danh trong quá trình định danh trực tuyến. Ví dụ thông tin cá nhân bị rò rỉ có thể dễ dàng được tìm kiếm trên các trang web đen, khiến người sử dụng phải đối mặt với nguy cơ bị đánh cắp thông tin cá nhân, chỉnh sửa và giả mạo thông tin, làm giả chữ ký, gây thiệt hại cho cả khách hàng và ngân hàng khi các giao dịch sử dụng định danh giả được thực hiện. Số liệu của Experian (2019) cho thấy 50% doanh nghiệp được khảo sát trong khu vực châu Á – Thái Bình Dương nhận thấy trong 12 tháng qua, việc mạo danh để mở tài khoản ngân hàng và chiếm đoạt tài khoản có mức tăng rõ rệt.

Thứ bảy, các rủi ro liên quan đến việc rửa tiền và tài trợ tài chính cho các hoạt động khủng bố. Các ngân hàng phải làm sao để cân bằng và hài hòa được việc vừa phải triển khai eKYC một cách thuận tiện cho khách hàng vừa phải thực hiện các biện pháp cần thiết để đảm bảo phải tuân thủ các quy định của nước sở tại và quốc tế về phòng chống rửa tiền và tài trợ tài chính cho các hoạt động khủng bố. Theo nghiên cứu của Jumio (2020), trong năm 2019, 40% khách hàng mở tài khoản trực tuyến bỏ dở chủ yếu vì quy trình mở tài khoản dài dòng, mất thời gian và nặng nề. Đây thực sự là bài toán lớn cho các ngân hàng trong bối cảnh phải cạnh tranh khốc liệt để thu hút khách hàng.

2. THỰC TIỄN ÁP DỤNG TẠI VIỆT NAM

Việt Nam là thị trường tiềm năng cho việc phát triển ngân hàng số với dân số gần 100 triệu người, trong đó dân số trẻ chiếm khoảng 70% và 72% người dân có smartphone. Mật độ sử dụng điện thoại và internet vào loại cao nhất thế giới với 130 triệu số điện thoại di động và 64 triệu người dùng internet. Austrade (2020) dự báo trong vòng 5 năm tới, Việt Nam sẽ là nước có tốc độ tăng trưởng về doanh thu dịch vụ tài chính số cao nhất Đông Nam Á.

Hình 5: Dân số trưởng thành và mật độ thâm nhập ngân hàng ở Đông Nam Á năm 2018

Nguồn: Austrade, 2020

Cũng theo Austrade (2020), 94% ngân hàng Việt Nam bắt đầu nghiên cứu và xây dựng chiến lược chuyển đổi số. Đặc biệt, 59% trong số đó đã bắt đầu triển khai chiến lược này trong thực tế. Nhiều ngân hàng đã tìm kiếm các giải pháp công nghệ mới và áp dụng chúng trong các hoạt động thanh toán như xác thực dấu vân tay, mPOS, QR Code,.... Bên cạnh việc ra mắt dịch vụ ngân hàng số, nhiều ngân hàng cũng lần lượt triển khai phương thức định danh trực tuyến (eKYC). Đây là xu hướng bắt buộc với ngành Ngân hàng cũng như các ngành kinh doanh dịch vụ khác bối cảnh đại dịch COVID-19 vẫn đang tiếp diễn.

2.1. Khuôn khổ pháp lý về việc triển khai eKYC

Chính phủ Việt Nam trong thời gian qua cũng thực hiện nhiều cải cách rộng lớn để hỗ trợ cho sự phát triển của ngân hàng số. Tháng 12/2018, Ngân hàng Nhà nước đã ban hành Quyết định số 2617/QĐ-NHNN về việc ban hành Kế hoạch hành động của ngành Ngân hàng thực hiện Chỉ thị số 16/CT-TTG của Thủ tướng Chính phủ về tăng cường năng lực tiếp cận cuộc cách mạng công nghiệp lần thứ tư đến năm 2020 và định hướng đến năm 2025. Theo đó, đề ra 3 mục tiêu cụ thể:

Thứ nhất, các ngân hàng thương mại có tài sản trên 5 tỷ USD được khuyến khích chi ít nhất 5% chi phí vận hành vào đầu tư cơ sở hạ tầng và thiết bị IT.

Thứ hai, ít nhất 20% các quy trình phải được tự động hóa vào năm 2020, tăng lên 35% vào năm 2025.

Thứ ba, trong cùng năm đó, hầu hết tất cả các tổ chức tín dụng phải triển khai công nghệ eKYC và tự động hóa các quy trình back-and-front-end.

Đặc biệt, ngày 3/12/2020, Ngân hàng Nhà nước đã ban hành Thông tư số 16/2020/TT-NHNN sửa đổi, bổ sung một số điều của Thông tư số 23/2014/TT-NHNN ngày 19/8/2018 của Thống đốc Ngân hàng Nhà nước hướng dẫn việc mở và sử dụng tài khoản thanh toán tại tổ chức cung ứng dịch vụ thanh toán, trong đó bổ sung Điều 14a quy định về mở tài khoản thanh toán của cá nhân bằng phương thức eKYC. Thông tư 16 sẽ chính thức có hiệu lực từ ngày 5/3/2021.

Theo Thông tư mới, ngân hàng, chi nhánh ngân hàng nước ngoài thực hiện mở tài khoản thanh toán bằng phương thức điện tử phải xây dựng, ban hành, công khai quy trình, thủ tục mở tài khoản thanh toán bằng phương thức điện tử phù hợp với quy định tại điều này, pháp luật về phòng, chống rửa tiền, pháp luật về giao dịch điện tử, các quy định pháp luật liên quan về đảm bảo an toàn, bảo mật thông tin khách hàng và an toàn hoạt động của ngân hàng, chi nhánh ngân hàng nước ngoài. 

Ngân hàng, chi nhánh ngân hàng nước ngoài được quyết định biện pháp, hình thức, công nghệ để nhận biết và xác minh khách hàng phục vụ việc mở tài khoản thanh toán bằng phương thức điện tử; chịu trách nhiệm về rủi ro phát sinh (nếu có).

Ngoài ra, Ngân hàng Nhà nước cũng quy định một loạt các yêu cầu về công nghệ như phải có giải pháp, công nghệ để thu thập, kiểm tra, đối chiếu đảm bảo sự khớp đúng giữa thông tin nhận biết khách hàng, dữ liệu sinh trắc học của khách hàng; phải xây dựng quy trình quản lý, kiểm soát, đánh giá rủi ro, trong đó có biện pháp ngăn chặn các hành vi mạo danh, can thiệp, chỉnh sửa, làm sai lệch việc xác minh thông tin nhận biết khách hàng trước, trong và sau khi mở tài khoản thanh toán cho khách hàng; và phải lưu trữ, bảo quản đầy đủ, chi tiết theo thời gian đối với các thông tin, dữ liệu nhận biết khách hàng trong quá trình khách hàng mở, sử dụng tài khoản thanh toán. Như vậy, quy định về công nghệ eKYC có nhiều điểm tương đồng với mô hình của Hồng Kông.

Về hạn mức giao dịch, Thông tư quy định hạn mức giao dịch ở mức 100 triệu đồng/tháng, với một số ngoại lệ trong trường hợp ngân hàng áp dụng giải pháp cuộc gọi video để thực hiện thu thập, kiểm tra, xác minh thông tin nhận biết khách hàng trong quá trình mở tài khoản; hay trong trường hợp ngân hàng áp dụng công nghệ để kiểm tra, đối chiếu đặc điểm sinh trắc học của khách hàng với dữ liệu sinh trắc học công dân thông qua cơ sở dữ liệu căn cước công dân.

Thông tư cũng quy định, việc mở tài khoản thanh toán bằng phương thức eKYC không áp dụng đối với tài khoản thanh toán chung, khách hàng cá nhân là người nước ngoài và các đối tượng quy định tại điểm b, c, d Khoản 1 Điều 11 của Thông tư.

2.2. Thực tế triển khai eKYC tại Việt Nam

Trên thực tế, trước khi Thông tư 16 được ban hành, Ngân hàng Nhà nước đã cho phép các ngân hàng thực hiện thí điểm eKYC. Kết quả là hầu hết các ngân hàng đã triển khai thực tế eKYC trong hoạt động của mình trước khi Thông tư có hiệu lực và kết quả đạt được tương đối khả quan.

Theo Hải Nam (2020), TP Bank là một trong những ngân hàng đi đầu áp dụng quy trình eKYC qua các máy LiveBank, theo đó người gửi tiết kiệm online có thể gửi tiền tiết kiệm ngay tại máy LiveBank sau khi qua thủ tục xác thực bằng điện thoại trực tiếp từ ngân hàng. HDBank áp dụng eKYC từ tháng 8/2020, cho phép khách hàng mở tài khoản eMoney ngay trên ứng dụng của ngân hàng điện tử. Để hoàn tất một giao dịch người dùng chỉ cần cung cấp số điện thoại bắt buộc, chụp căn cước công dân, xác thực khuôn mặt sẽ được mở tài khoản ngay. Bên cạnh đó, Vietcapital Bank, MB Bank, LienVietPostBank cũng cho mở tài khoản có eKYC trên website hoặc ứng dụng của ngân hàng.

Ngoài các ngân hàng, khoảng 30 ví điện tử và công ty chứng khoán như MoMo, VNDirect, SSI và MBS cũng đã nhanh chóng triển khai thí điểm eKYC. Các thông tin thường phải cung cấp khi mở tài khoản gồm: ảnh chụp mặt trước và sau CMND/căn cước công dân/hộ chiếu còn thời hạn (Tú Uyên, 2020).

Bên cạnh những thành công, việc triển khai eKYC ở Việt Nam trong thời gian qua cũng có nhiều thách thức và khó khăn. Hiện nay, chủ yếu mới thu hút được đối tượng khách hàng trẻ và khách hàng hiểu biết về công nghệ mới, chứ chưa thực sự vươn tới được nhóm khách hàng ở vùng sâu vùng xa, nơi chưa có trụ sở của ngân hàng. Trong khi, đây là đối tượng cần thiết cho việc thúc đẩy mục tiêu tài chính toàn diện quốc gia. Ngoài ra, do eKYC mới được triển khai không lâu nên còn rất nhiều điểm cần hoàn thiện. Sản phẩm và dịch vụ của các tài khoản mở bằng eKYC còn chưa được phong phú như các tài khoản truyền thống, chủ yếu tập trung vào dịch vụ thanh toán và gửi tiết kiệm. Quá trình triển khai eKYC cũng gặp nhiều khó khăn và thách thức, ví dụ việc mạo danh sử dụng công nghệ deepfake2 để qua mặt khâu kiểm tra xác nhận người thật (liveness detection). Ngoài ra, còn các khó khăn về khung pháp lý chưa hoàn chỉnh, quy định về quản lý thông tin, an ninh mạng lưới và đặc biệt đối tác triển khai công nghệ. Bản thân các ngân hàng còn thiếu hụt nhân lực nội bộ đủ kiến thức và kinh nghiệm về triển khai eKYC, dẫn đến những rủi ro về đầu tư sai công nghệ, đầu tư quá mức và trải nghiệm khách hàng kém ảnh hưởng đến thương hiệu chung của ngân hàng.

3. MỘT SỐ GIẢI PHÁP VÀ KIẾN NGHỊ ĐỂ PHÁT TRIỂN EKYC Ở VIỆT NAM

Trên cơ sở nghiên cứu kinh nghiệm triển khai eKYC trên thế giới và thực tiễn phát triển ở Việt Nam, tác giả đưa ra một số giải pháp và kiến nghị để phát triển eKYC ở Việt Nam trong thời gian tới:

3.1. Về phía ngân hàng

Thứ nhất, các ngân hàng cần lựa chọn thật tốt đối tác triển khai eKYC cho mình, đặc biệt chú trọng đến năng lực bảo mật của đối tác. Thực tế kinh nghiệm một số nước đã phải tạm dừng triển khai eKYC do việc rò rỉ thông tin khách hàng. Ngoài ra, đối tác phải có kinh nghiệm và khả năng tích hợp eKYC vào hệ thống và quy trình sẵn có của ngân hàng sao cho tiết kiệm nguồn nhân lực và thời gian nhất.

Thứ hai, các ngân hàng cần có một hệ thống định danh đủ mạnh. Sự phát triển mạnh mẽ của các mối nguy an ninh mạng cho thấy nhu cầu cần có một hệ thống định danh đủ mạnh dựa trên sinh trắc học để bổ sung cho các phương pháp truyền thống như giải pháp xác thực 2 cấp độ (mật mã và OTP). Mặt khác, sự phát triển của công nghệ deepfake và mạo danh tạo ra một thách thức to lớn đối với các hệ thống định danh dựa trên sinh trắc học. Ngày nay, ngày càng nhiều ngân hàng tích hợp chức năng xác nhận người thật trực tuyến vào hệ thống eKYC của mình.

Thứ ba, các ngân hàng phải cân bằng giữa việc tuân thủ các quy định và tăng trải nghiệm cho khách hàng. Trong bối cảnh hiện nay, đối với ngân hàng cũng như các ví điện tử, việc thu hút khách hàng là điều kiện tiên quyết để cạnh tranh. Các ngân hàng cần chú trọng đến việc xây dựng quy trình eKYC sao cho đem lại trải nghiệm tốt nhất cho khách hàng.

Thứ tư, cùng với việc thúc đẩy Fintech nói chung và eKYC nói riêng, các ngân hàng Việt Nam cũng cần quan tâm đến việc áp dụng RegTech và SupTech3 vào hoạt động để đảm bảo tính tuân thủ pháp luật. Thực tế cho thấy, một số ngân hàng quốc tế lớn như Goldman Sachs4 trong thời gian qua đã bị phạt nặng vì vi phạm các quy định về phòng chống rửa tiền. RegTech và SupTech sẽ giúp ngân hàng cân bằng được kỳ vọng của khách hàng và các yêu cầu về tuân thủ.

3.2. Về phía Nhà nước

Thứ nhất, cần sớm xây dựng hoàn chỉnh cơ sở dữ liệu dân cư quốc gia. Một cơ sở dữ liệu dân cư quốc gia hoàn chỉnh do Nhà nước cung cấp sẽ tạo dựng niềm tin, từ đó giúp đẩy nhanh quá trình chuyển đổi số nói chung và việc thực hiện eKYC nói riêng trong ngành Ngân hàng và các lĩnh vực khác. Kinh nghiệm triển khai eKYC ở Ấn Độ cho thấy, việc có một cơ sở dữ liệu dân cư quốc gia hoàn chỉnh đã giúp eKYC có sự phát triển vượt bậc, đi vào mọi ngành nghề. Trên thế giới đã có khoảng 175 quốc gia có cơ sở dữ liệu dân cư quốc gia ở hình thức này hay hình thức khác, trong đó 161 quốc gia đã được số hóa, 83 quốc gia đã có dữ liệu về sinh trắc học và 22 quốc gia đã cho phép bên thứ ba tiếp cận hệ thống cơ sở dữ liệu dân cư quốc gia để thực hiện quy trình eKYC (Alan Gelb & Anna Diofasi Metz, 2018).

Thứ hai, Việt Nam có thể tham khảo Thái Lan trong việc cho phép các ngân hàng sử dụng chung cơ sở dữ liệu về eKYC, từ đó các ngân hàng có thể sử dụng dữ liệu khách hàng của nhau để tiết giảm chi phí và không lãng phí nguồn nhân lực.

Thứ ba, thúc đẩy hợp tác quốc tế trong lĩnh vực eKYC, tiến tới cho phép cá nhân người nước ngoài được tham gia chương trình eKYC của Việt Nam. Hiện nay, Singapore đã thành lập một trung tâm sáng tạo tại Thụy Sỹ để thúc đẩy việc công nhận kết quả định danh khách hàng trực tuyến giữa các ngân hàng của Singapore với các ngân hàng nước khác. Việc thúc đẩy hợp tác quốc tế trong lĩnh vực eKYC cũng giúp cho các ngân hàng Việt Nam tuân thủ được tốt hơn các quy định quốc tế về phòng chống rửa tiền và phòng chống tài trợ tài chính cho hoạt động khủng bố, nhất là trong bối cảnh Việt Nam đã tham gia Hiệp định đối tác kinh tế toàn diện khu vực châu Á – Thái Bình Dương (RCEP).

Chú thích:

1 Hệ thống định danh Aadhaar của Ấn Độ là hệ thống thu hút được sự chú ý của thế giới do tính đổi mới, tốc độ phát triển và quy mô. Theo hệ thống này, mỗi người dân đăng ký được cấp một mã số định danh gồm 12 số, kết nối với các dữ liệu cá nhân cơ bản gồm tên, giới tính, ngày sinh và ảnh chân dung, và đặc biệt với một số thông tin sinh trắc học bao gồm dấu vân tay và scan đồng tử mắt. Các thông tin này được dùng cho việc xác thực danh tính của người đăng ký. Hiện nay, hệ thống này được sử dụng cho nhiều lĩnh vực khác nhau, ngoài định danh trong lĩnh vực tài chính, còn được sử dụng trong lĩnh vực nộp thuế điện tử, thanh toán trực tuyến, đăng ký SIM điện thoại di động,…

2 Công nghệ deepfake là công nghệ sử dụng trí tuệ nhân tạo để tạo ra các video và các hình thức thể hiện kỹ thuật số khác để tạo ra hình ảnh và âm thanh giống như thật.

3 Regtech (Regulatory Technology) là việc ứng dụng công nghệ để hỗ trợ tuân thủ pháp luật và SupTech (Supervisory Technology) là việc ứng dụng công nghệ để hỗ trợ quản lý, giám sát.

4 Chi nhánh Goldman Sachs tại Malaysia bị Chính phủ Malaysia tuyên phạt 2,5 tỷ USD vì bị nghi ngờ liên quan đến hoạt động rửa tiền trong vụ scandal 1MDB.

Tài liệu tham khảo:

- Alan Gelb and Anna Diofasi Metz (2018), Identification Revolution: Can digital ID be harnessed for development?

- Australia Trade & Investment Commission – Austrade (2020), Digital banking in Vietnam – A guide to market, https://www.austrade.gov.au /ArticleDocuments/4569/digital-banking-vietnam-report.pdf.aspx

- Claus Christensen (2020), The four eKYC models around the world, https://www.regulationasia.com/the-four-e-kyc-models-around-the-world/

- Columbia Institute for Tele – Information, Columbia University, https://dfsobservatory.com/content/regulations-ekyc

- Experian (2019), 2019 Asia – Pacific Identity and Fraud Report, https://www.experian.com.au/insights/2019-asia-pacific-identity-and-fraud-report

- Fintech News Malaysia (2020), Bank Negara Malaysia Unveils New eKYC Guidelines Ahead of Its Virtual Banking Framework, https://fintechnews.my/24197/digital-transformation/ekyc-malaysia-guideline-bnm/

- Fintech Vietnam (2020), eKYC – Digital Identity Verification – Banking Challenges, https://fintechvietnam.com.vn/ekyc-digital-identity-verification-banking-challenges/

- Fintechnews Switzerland (2020), eKYC in Switzerland: An Overview, https://fintechnews.ch/regtech/ekyc-in-switzerland-an-overview/34777/

- Hải Nam (2020), eKYC mở đường cho ngân hàng số phát triển, https://thitruongtaichinhtiente.vn/ekyc-mo-duong-cho-ngan-hang-so-phat-trien-32811.html

- IDinsight (2019), State of Aadhaar Report 2017 - 2018, https://static1.squarespace.com/static/5b7cc54eec4eb7d25f7af2be/t/5bbd2874c8302561862f03d4/1539123330295/State+of+Aadhaar+Report_2017-18.pdf

- International Telecommunications Union (2017), ITU-T Focus Group Digital Financial Services Ecosystem.

- Jumio Corp (2020), How eKYC is streamlining digital banking: An Asia – Pacific perspective.

- McKinsey Global Institute (2019), Digital Identification: An Inclusive Growth,https://www.mckinsey.com/~/media/mckinsey/featured%20insights/innovation/the%20value%20of%20digital%20id%20for%20the%20global%20economy%20and%20society/mgi-digital-identification-a-key-to-inclusive-growth.ashx

- Trulio (2020), eKYC – Electronic Know Your Customer processes and best practices, https://www.trulioo.com/blog/ekyc

- Tú Uyên (2020), Ngân hàng và cuộc đua chuyển đổi số, https://vneconomy.vn/ngan-hang-va-cuoc-dua-chuyen-doi-so-20201110135514838.htm

- WEF Insight Report (2018), Identity in a Digital World, http://www3.weforum.org/docs/WEF_INSIGHT_REPORT_Digital%20Identity.pdf

Bài đăng trên Tạp chí Thị trường Tài chính Tiền tệ số 1+2/2021

TS. NGUYỄN DUY VIỆT

Theo Tạp chí Thị trường Tài chính - Tiền tệ (link gốc)