024.3747.1218

1. Giới thiệu

Theo khảo sát của PwC (2017) trên 1.300 người đang hoạt động trong lĩnh vực tài chính ở toàn cầu, 80% số người đều cho rằng lĩnh vực ngân hàng bán lẻ sẽ bị ảnh hưởng trong 5 năm tới bởi sự phát triển mạnh mẽ của các công ty Fintech, đặc biệt lĩnh vực cho vay cá nhân (64%) và tài chính cá nhân (50%). Cuộc cạnh tranh về công nghệ giữa ngân hàng và các công ty Fintech trong lĩnh vực bán lẻ đã tạo ra áp lực buộc các ngân hàng phải hiện đại hóa quy trình và hệ thống của mình nhằm gia tăng trải nghiệm và sự thuận tiện cho khách hàng khi giao dịch.

Nếu như trước đây, khách hàng muốn xác thực danh tính phải xuất trình giấy tờ tùy thân, nhớ mật khẩu và chữ ký của mình, thì ngày nay công nghệ xác thực sinh trắc học giúp khách hàng xác thực nhanh chóng hơn nhưng vẫn đảm bảo sự an toàn. Công nghệ sinh trắc học đóng vai trò quan trọng trong việc định danh, xác thực khách hàng, giảm thiểu các gian lận tài chính không chỉ qua các kênh phân phối truyền thống mà còn qua các kênh giao dịch số như mobile banking, internet banking… Tuy nhiên, vẫn có những khó khăn và thách thức trong việc xây dựng hệ thống xác thực sinh trắc học trong các NHTM tại Việt Nam. Bài viết giới thiệu công nghệ xác thực sinh trắc học, trình bày những xu hướng giúp các NHTM có thể nâng cao được lợi thế cạnh tranh trong thời đại số hóa.

2. Công nghệ sinh trắc học

2.1. Xác thực và các phương pháp xác thực

Xác thực là “quá trình xác định một người dùng có được phép truy cập vào một hệ thống” (Stamp, 2011). Bất kỳ một khách hàng nào đều phải được xác thực danh tính khi truy cập vào hệ thống và thực hiện các giao dịch. Các ngân hàng phải xây dựng một hệ thống để quản lý danh tính và xác thực danh tính của khách hàng, được gọi là hệ thống quản lý danh tính. Chức năng quan trọng của một hệ thống quản lý danh tính tốt là phải thiết lập được mối liên kết giữa một khách hàng và danh tính của anh ta, nhằm phân biệt với những khách hàng khác. Theo Jain và cộng sự (2011), có ba phương pháp cơ bản để xác thực khách hàng là dựa vào thông tin khách hàng biết (what he knows), dựa vào minh chứng khách hàng cung cấp (what he posseses extrinsically) và dựa vào các đặc điểm khác biệt của khách hàng (who he is intrinsically).

Xác thực dựa vào thông tin khách hàng biết là phương pháp xác thực thông qua việc xác minh một số thông tin mà chỉ khách hàng biết. Các thông tin này do ngân hàng cung cấp riêng cho khách hàng hoặc do khách hàng đề xuất theo một thỏa thuận trước đó với ngân hàng. Ví dụ hệ thống xác thực dựa vào mật khẩu, hoặc dựa vào mã số nhận diện cá nhân (PIN). Phương pháp xác thực này tương đối đơn giản về mặt kỹ thuật nhưng cũng gây ra một số bất tiện với khách hàng. Khách buộc phải nhớ mật khẩu của mình mỗi khi thực hiện giao dịch. Nếu mật khẩu quá đơn giản, như sử dụng ngày sinh hoặc số điện thoại cá nhân thì tin tặc có thể đoán ra, nhưng nếu mật khẩu quá phức tạp thì lại khó nhớ, đặc biệt trong trường hợp khách hàng không có giao dịch thường xuyên hoặc có tài khoản tại nhiều ngân hàng khác nhau. Ngoài ra, mật khẩu khi được lưu trữ không đúng cách sẽ dễ bị đánh cắp từ cả bên trong và bên ngoài của ngân hàng. Ví dụ, nhân viên ngân hàng đánh cắp mật khẩu khách hàng bằng việc thâm nhập hệ thống trái phép hoặc tin tặc sử dụng các công cụ công nghệ cao để tìm ra mật khẩu của khách hàng, hoặc khách hàng sơ hở tiết lộ cho người thân, bạn bè.

Xác thực dựa vào minh chứng khách hàng có là phương pháp xác thực thông qua việc xác minh một số minh chứng mà chỉ khách hàng sở hữu. Các minh chứng này thông thường là các giấy tờ chứng minh nhân thân khách hàng như chứng minh nhân dân, thẻ căn cước, hộ chiếu… hoặc các phương tiện do ngân hàng cung cấp như các loại thẻ thông minh hoặc các thẻ mật mã (token). Ngày nay, một số công cụ xác thực có độ bảo mật rất cao, chẳng hạn thẻ thông minh – thiết bị gắn chip có thể lưu nhiều loại thông tin của khách hàng và được mã hóa phức tạp, hoặc thẻ mật mã có kèm màn hình – thiết bị hiển thị mã xác thực sẽ được sinh ra ngẫu nhiên từ một thuật toán cứ mỗi 30 hoặc 60 giây lại thay đổi một lần. Ưu điểm của phương pháp này là khách hàng được giải phóng khỏi việc phải ghi nhớ mật khẩu. Tuy nhiên, phương pháp xác thực này cũng có một số nhược điểm như khách hàng buộc phải mang theo các minh chứng này khi thực hiện giao dịch. Bên cạnh đó, các minh chứng này có thể không phải là duy nhất vì một số minh chứng có thể bị làm giả, hoặc bị cấp trùng, cấp lại…

Xác thực dựa vào đặc điểm của khách hàng là phương pháp xác thực danh tính khách hàng dựa trên các đặc điểm sinh học di truyền hoặc các đặc điểm hành vi của chính họ (Jain, 2011), còn được gọi là phương pháp sinh trắc học. Phương pháp này giúp khắc phục những điểm yếu của hai phương pháp trước đó, cho phép nhận diện khách hàng một cách tự nhiên hơn và đáng tin cậy hơn. Do các đặc điểm sinh học, thói quen, hành vi là đặc điểm riêng của khách hàng và ít thay đổi nên mối liên kết giữa cá nhân và danh tính được duy trì ổn định và bền vững trong một thời gian dài, ví dụ vân tay hoặc mống mắt của con người hầu như không thay đổi trong suốt cuộc đời của họ. Ngoài ra, xác thực bằng sinh trắc học cũng giúp khách hàng không cần phải nhớ mật khẩu hoặc phải mang theo các phương tiện xác thực khác.

2.2. Phân loại phương pháp sinh trắc học

Công nghệ sinh trắc học đã được nghiên cứu và phát triển từ rất lâu và được ứng dụng trong nhiều lĩnh vực như nhận diện tội phạm, bảo mật hệ thống an ninh cửa, mở khóa điện thoại hoặc máy tính và xác thực khách hàng giao dịch. Năm 1926, phương pháp nhận diện bằng vân tay được ứng dụng đầu tiên trong lĩnh vực nhận diện tội phạm tại Mỹ và vẫn tiếp tục được dùng rộng rãi đến ngày nay. Đến những năm 70 của thế kỉ 20, các nghiên cứu về ứng dụng sinh trắc học dựa trên các đặc điểm khác như hình dạng bàn tay, võng mạc, mống mắt, giọng nói, khuôn mặt… được nghiên cứu và phát triển. Theo Stamp (2011), công nghệ sinh trắc học có thể được chia thành ba loại chính là sinh trắc học tiêu chuẩn, sinh trắc học hành vi và sinh trắc học nhận thức.

Sinh trắc học tiêu chuẩn là việc nhận diện thông qua các đặc điểm sinh học riêng biệt của khách hàng, chẳng hạn như vân tay, mống mắt, võng mạc, khuôn mặt, hình dạng bàn tay… Các đặc điểm này mang tính chất di truyền và thường ít thay đổi trong suốt cuộc đời của khách hàng.

Sinh trắc học hành vi là việc nhận diện thông qua những hành vi, thói quen thông thường của khách hàng, ví dụ thói quen gõ phím, giọng nói, dáng đi, thói quen ký tên… Các hành vi này được hình thành và lặp lại trong một thời gian dài và trở thành đặc điểm riêng của của khách hàng.

Sinh trắc học nhận thức là việc nhận diện thông qua nhận thức, tư duy và hiểu biết của khách hàng, ví dụ yêu cầu khách hàng nhận diện một khuôn mặt cụ thể thân quen, mô tả một sự kiện họ từng trải qua hoặc nhận diện các số điện thoại mà họ đã tương tác. Đây là những thông tin gần gũi, có liên quan đến những trải nghiệm của khách hàng, gắn với những cảm xúc của khách hàng mà khách hàng khó quên được.

2.3. Độ chính xác của các phương pháp sinh trắc học

 

Để đo lường mức độ chính xác trong các phương pháp xác thực, người ta sử dụng tỷ lệ sau: tỷ lệ lỗi loại I (False Rejection Rate) là tỷ lệ phần trăm các trường hợp mà một cá nhân có quyền truy cập nhưng bị hệ thống từ chối, tỷ lệ lỗi loại II (False Acception Rate) là tỷ lệ phần trăm các trường hợp mà một cá nhân không có quyền truy cập nhưng hệ thống chấp nhận. Bảng 1 thống kê tỷ lệ lỗi loại I và loại II của các phương pháp xác thực bằng vân tay, khuôn mặt, mống mắt và giọng nói. Mặc dù kết quả của các phương pháp còn phụ thuộc vào các yếu tố liên quan đến môi trường thử nghiệm, như chất lượng của cảm biến được sử dụng, đặc điểm của mẫu nghiên cứu… nhưng các kết quả trong Bảng 1 đã được kiểm tra và xác thực bởi các nghiên cứu độc lập từ bên thứ ba trên cùng bộ dữ liệu (Jain và cộng sự, 2011).

Kết quả từ Bảng 1 cho thấy không có phương pháp sinh trắc học nào cho kết quả đúng tuyệt đối, tức vẫn tồn tại cả lỗi loại I và lỗi loại II trong cả bốn phương pháp. Điều gây ấn tượng là các phương pháp sinh trắc học đều có tỷ lệ lỗi loại II rất thấp, chỉ khoảng 0,1%, tức khả năng nhận diện ra những trường hợp khách hàng giả mạo của hệ thống rất đáng tin cậy. Trong các phương pháp trên thì nhận diện dựa trên khuôn mặt và mống mắt có tỷ lệ lỗi loại I rất thấp, tuy nhiên Stamp (2011) cho rằng hai phương pháp này khó áp dụng trong thực tế vì đòi hỏi công nghệ phức tạp và tốn thời gian hơn. Ngược lại, xác thực bằng vân tay mặc dù có tỷ lệ lỗi cao hơn nhưng là phương pháp phổ biến và tốn ít thời gian hơn.

3. Xu hướng ứng dụng công nghệ sinh trắc học vào các dịch vụ ngân hàng

Theo phân tích của nhóm nghiên cứu, việc áp dụng công nghệ sinh trắc học trong lĩnh vực ngân hàng là một xu hướng tất yếu vì những lý do sau:

Thứ nhất, việc cạnh tranh trong lĩnh vực bán lẻ tạo áp lực thúc đẩy các ngân hàng phải hiện đại hóa hệ thống giao dịch. Trong những thập niên gần gây, sự gia tăng mạnh mẽ của các công ty Fintech trong lĩnh vực tài chính với nhiều dịch vụ được số hóa cung cấp cho khách hàng nhiều sự lựa chọn hơn. Để bắt kịp xu hướng, nhiều ngân hàng đã chuyển đổi từ các kênh phân phối truyền thống (hệ thống ATMs, POS và các chi nhánh) sang các kênh phân phối điện tử (mobile banking, internet banking). Theo cùng quá trình đó là việc áp dụng công nghệ sinh trắc học để tăng sự thuận tiện cho khách hàng đồng thời giảm thiểu các rủi ro về gian lận. Ví dụ, về công nghệ xác thực bằng vân tay, Citibank là ngân hàng đầu tiên tại Việt Nam ứng dựng công nghệ này. Sau đó một loạt các ngân hàng cũng bắt đầu triển khai như HDBank, Shinhan, VIB… Ban đầu, các dịch vụ xác thực bằng vân tay được triển khai tại các quầy giao dịch tại ngân hàng, và sau này được áp dụng cho các dịch vụ mobile banking. Các công nghệ sinh trắc học đã đem lại lợi thế cạnh tranh cho các ngân hàng thông qua việc rút ngắn thời gian giao dịch, giảm bớt các thủ tục giấy tờ và tăng tính bảo mật cho khách hàng. Ví dụ, công nghệ xác thực bằng giọng nói tại Citibank giúp giảm 45 giây phục vụ khách hàng và giảm 1/3 thời gian nhận diện khách hàng so với trước đây.

Thứ hai, số lượng người sử dụng các thiết bị thông minh đang ngày càng gia tăng tạo điều kiện thuận lợi để triển khai công nghệ sinh trắc học. Theo báo cáo của Nielsen Việt Nam (2017), tỷ lệ người dùng điện thoại thông minh là 84% và có chiều hướng tăng đều từ năm 2012 đến 2017. Hiện nay, hầu như các dòng điện thoại thông minh trung cấp trở lên đều tích hợp công nghệ nhận diện sinh trắc học như xác thực bằng vân tay, giọng nói và khuôn mặt. Các công nghệ này đã và đang thu hút sự quan tâm của tầng lớp dân số trẻ (thế hệ Y và thế hệ Z), do đó, việc triển khai hệ thống xác thực sinh trắc học đối với các dịch vụ ngân hàng trực tuyến sẽ gặp nhiều thuận lợi vì khách hàng đã quen thuộc với hệ thống xác thực này.

Thứ ba, hệ thống xác thực sinh trắc học có thể được tích hợp vào hệ thống định danh và xác thực công dân quốc gia. Hiện nay, nhiều quốc gia đã và đang xây dựng hệ thống định danh và xác thực công dân được số hóa, ví dụ Úc, Canada, Đan Mạch, Anh (châu Âu), Thái Lan (châu Á), Algeria, Zambia (châu Phi). Mục tiêu các chương trình này là nhằm nâng cao việc cung ứng dịch vụ công, thúc đẩy phát triển kinh tế xã hội, hình thành hệ thống quản lý định danh số hóa an toàn và hiệu quả. Tại các quốc gia này, chính phủ khuyến khích xây dựng mạng lưới định danh điện tử liên kết với nhiều thành phần khác nhau của nền kinh tế, bao gồm các ngân hàng, các công ty bảo hiểm, các dịch vụ công ích…. Như vậy, với vai trò là một bộ phận trong hệ sinh thái, việc triển khai hệ thống xác thực sinh trắc học sẽ nhận được nhiều sự hỗ trợ của chính phủ và có thể kết nối được với các thành phần còn lại của nền kinh tế.

4. Một số khó khăn xây dựng hệ thống xác thực sinh trắc học và giải pháp

Tại Việt Nam, hệ thống xác thực sinh trắc học đã được một số ngân hàng triển khai, nhưng vẫn còn gặp phải một số khó khăn như sau:

Thứ nhất, hệ thống định danh điện tử tại Việt Nam vẫn còn phát triển chưa đồng bộ. Nguyên nhân là do trước đây Việt Nam chưa ban hành cơ chế, chính sách quy định tổng thể về xác thực định danh người dùng. Đa phần các ngân hàng tự xây dựng hệ thống cơ sở dữ liệu phục vụ cho nhu cầu của chính họ và được thiết kế dựa trên cơ sở dữ liệu khách hàng hiện có. Các dữ liệu này được thu thập vào hệ thống theo chuẩn riêng của ngân hàng, và thiếu kiểm tra chéo từ các hệ thống bên ngoài. Điều này sẽ dẫn đến nguy cơ trong dài hạn là các dữ liệu này sẽ không đồng bộ khi kết nối trong toàn hệ thống ngân hàng, hoặc giữa hệ thống ngân hàng với các khu vực khác trong nền kinh tế. Do đó, Chính phủ cần phải xây dựng các quy định về định danh và xác thực điện tử nói chung, và dựa trên sinh trắc học nói riêng để các ngân hàng có cơ sở triển khai các dự án của mình và xây dựng hệ thống dữ liệu sạch, đáng tin cậy. Bên cạnh đó, Chính phủ cũng tạo nền tảng cho việc hợp tác và kết nối giữa ngân hàng với các nhà cung cấp dịch vụ xác thực dựa trên các tiêu chuẩn thống nhất nhằm giảm thiểu việc thiếu đồng bộ khi thực hiện xác thực điện tử trên phạm vi quốc gia.

Thứ hai, xác thực trực tuyến của ngân hàng hiện đang gặp rào cản từ các quy định trong Luật phòng chống rửa tiền. Hầu hết các ngân hàng đều yêu cầu khách hàng khi mở tài khoản hoặc thay đổi thông tin phải đến ngân hàng để thực hiện nghiệp vụ định danh và xác thực thông tin. Trong khi đó tại các công ty Fintech, việc mở tài khoản thường không yêu cầu khách hàng đến trực tiếp công ty hoặc phải điền vào các mẫu đơn từ, khách hàng được hỗ trợ chỉ cần gửi bản scan của các giấy tờ nhân thân (như thẻ căn cước, hộ chiếu…) là đã mở được tài khoản. Điều này khiến cho việc mở tài khoản giao dịch và xác thực qua ngân hàng kém sức cạnh tranh hơn. Trước đây, các ngân hàng của Mỹ cũng gặp phải khó khăn tương tự vì Luật phòng chống rửa tiền tại Mỹ cũng quy định tương tự. Năm 2008, Đạo luật cải cách và bảo vệ người tiêu dùng của Phố Wall Dodd Frank đã loại bỏ nhiều rào cản cho các ngân hàng thương mại, thúc đẩy việc phát triển các ứng dụng tài chính được số hóa. Dựa trên các quy định này, các ngân hàng có thể mở tài khoản mà không buộc khách hàng phải di chuyển đến ngân hàng để hoàn tất thủ tục. Thay vì thực hiện các thủ tục xác thực truyền thống, các ngân hàng có thể sử dụng các nghiệp vụ xác thực thông tin từ xa.

Thứ ba, tâm lý lo ngại về sự xâm phạm quyền riêng tư của khách hàng. Dữ liệu sinh trắc học khác với các dữ liệu hành chính thông thường, vì nó là dữ liệu liên quan đến đặc điểm sinh học, hành vi, thói quen riêng của mỗi cá nhân. Nếu các dữ liệu này không được bảo vệ phù hợp sẽ gây ra các vấn đề nghiêm trọng về an ninh và quyền riêng tư. Đa số các nước phát triển đều có các quy định về bảo vệ dữ liệu cá nhân, chẳng hạn Quy định bảo vệ dữ liệu chung (GDPR) (EU) 2016/679, là quy định của luật EU về bảo vệ dữ liệu và quyền riêng tư cho tất cả các cá nhân trong Liên minh châu Âu và Khu vực kinh tế châu Âu. Quy định này bao gồm các quy định và yêu cầu liên quan đến việc xử lý thông tin nhận dạng cá nhân của các đối tượng dữ liệu. Các doanh nghiệp phải xây dựng hệ thống lưu trữ và bảo vệ dữ liệu cá nhân theo mặc định, cài đặt bảo mật ớ mức độ cao nhất có thể và không được công khai khi chưa có sự đồng ý của đối tượng dữ liệu. Cá nhân có quyền yêu cầu thu hồi các dữ liệu liên quan đến họ bất kỳ lúc nào. Hiện nay, mặc dù Chính phủ Việt Nam đã ban hành các quy định liên quan đến việc bảo vệ dữ liệu như Luật Công nghệ thông tin năm 2006, Luật An toàn thông tin mạng năm 2015, Thông tư số 25/2010/TT-BTTTT quy định việc thu thập, sử dụng, chia sẻ, đảm bảo an toàn và bảo vệ thông tin cá nhân trên trang thông tin điện tử hoặc cổng thông tin điện tử của cơ quan nhà nước, tuy nhiên vẫn tồn tại một số bất cập như chưa có quy định về việc tiết lộ thông tin cá nhân khi chưa có sự đồng ý của người dùng, chưa có quy định về việc chuyển thông tin người dùng cho bên thứ ba, chuyển thông tin cá nhân ra nước ngoài…Do đó, các quy định trên cần phải bổ sung và hoàn thiện để tạo sự an tâm cho người dùng.

Thứ tư, mối lo ngại về mức độ chính xác của việc xác thực sinh trắc học. Thực nghiệm cho thấy không có phương pháp xác thực nào mang lại kết quả chính xác tuyệt đối, ngay cả những phương pháp mang tính chính xác cao như sinh trắc học. Tuy nhiên, các phương pháp này đã được chứng minh là phương pháp xác thực hiệu quả hơn thông qua việc giảm chi phí, thời gian giao dịch và tỷ lệ lỗi thấp. Trong khi các nhà khoa học vẫn đang tiếp tục cải thiện các thuật toán nhằm nâng cao khả năng nhận diện và xác thực của các phương pháp sinh trắc học, các NHTM có thể xem xét xây dựng hệ thống xác thực đa yếu tố – sử dụng nhiều phương pháp khác nhau để xác thực khách hàng, ví dụ việc xác thực bằng vân tay có thể kết hợp với nhận diện khuôn mặt hoặc kèm theo mật khẩu.

 5. Kết luận

Công nghệ xác thực bằng sinh trắc học mang lại nhiều lợi ích cho các NHTM trong việc tăng thêm những trải nghiệm khách hàng và nâng cao sự thuận tiện trong các giao dịch. Khả năng ứng dụng sinh trắc học có thể sẽ trở thành xu hướng trong thời đại số và dần thay thế các phương thức xác thực truyền thống cho các giao dịch như internet banking, mobile banking hay giao dịch tại các phòng giao dịch, chi nhánh của ngân hàng. Các NHTM không nên xem công nghệ sinh trắc học như là một giải pháp tạm thời, mà nên xem nó là một chìa khóa để tạo ra lợi thế cạnh tranh cho chính mình trong thị trường bán lẻ đầy cạnh tranh như hiện nay.