Thưa ông, vài năm gần đây, xu hướng ngân hàng mở (Open Banking) bắt đầu phổ biến ở Việt Nam. Vậy, thực tiễn triển khai ngân hàng mở ở Việt Nam hiện nay ra sao?
Đối với ngân hàng truyền thống, nếu khách hàng muốn thực hiện giao dịch thì buộc phải tìm đến các kênh vật lý như chi nhánh của ngân hàng, thông qua ATM, POS của ngân hàng để thực hiện các giao dịch.
Khi chuyển đổi số diễn ra mạnh mẽ trong ngành ngân hàng, khách hàng có thể thực hiện giao dịch ngay trên điện thoại di động thông minh thông qua ứng dụng ngân hàng mà mình mở tài khoản. Với sự phát triển mạnh mẽ của nghiệp vụ ngân hàng mở, các ngân hàng chia sẻ dữ liệu và dịch vụ đối với bên thứ ba. Khi đó, khách hàng có thể sử dụng tất cả dịch vụ của ngân hàng trên kênh số của bên thứ ba.
Ví dụ: Nếu từ trước đến nay, một khách hàng mở tài khoản ở 3 ngân hàng thì phải cài đặt 3 ứng dụng khác nhau để giao dịch. Tuy nhiên, với ngân hàng mở, chỉ thông qua 1 siêu ứng dụng, khách hàng hoàn toàn có thể truy cập thông tin và sử dụng nguồn tiền từ tài khoản thanh toán của cả 3 ngân hàng để thực hiện các giao dịch.
Trong mô hình ngân hàng mở, sự chia sẻ và liên thông dữ liệu, dịch vụ không chỉ 1 chiều từ ngân hàng đến bên thứ ba (trung gian thanh toán, các đơn vị cung cấp dịch vụ, sàn thương mại điện tử - PV), mà là tương tác hai chiều, thậm chí đa chiều. Với Open Banking, ngân hàng cũng có thể sử dụng nền tảng hạ tầng của mình để truy cập dữ liệu, tiếp cận khách hàng của bên thứ ba hoặc cung cấp dịch vụ cho những bên khác.
Tại Việt Nam hiện nay, các ngân hàng đang chuẩn bị đầu tư, triển khai Open Banking chủ yếu mang tính chất đón đầu, người dùng cuối chưa được hưởng lợi từ Open Banking.
Các bên đang chờ Ngân hàng Nhà nước ban hành thông tư về chia sẻ dữ liệu qua Giao diện lập trình ứng dụng mở (Open API). Theo đó, cơ quan quản lý sẽ quy định cụ thể các loại API mà ngân hàng phải cung cấp, tiêu chuẩn kỹ thuật ra sao, các ngân hàng vẫn đang mong chờ cơ quan quản lý ban hành quy trình, quy định tương đối rõ ràng, cụ thể trong việc kết nối API với bên thứ ba.
Việc triển khai Open API hiện nay chủ yếu là các ngân hàng truy cập, sử dụng dữ liệu của bên thứ ba cung cấp dịch vụ. Ví dụ, các bên hợp tác với ngân hàng trong việc mở tài khoản cho khách hàng; thực hiện định danh khách hàng thông qua phần mềm của bên thứ ba. Lúc đó, ngân hàng lấy dữ liệu của bên thứ ba chứ chưa có chiều ngược lại là bên thứ ba được truy cập dữ liệu của ngân hàng như số dư tài khoản, lịch sử giao dịch… Những dữ liệu này tương đối nhạy cảm nên các ngân hàng hoàn toàn có cơ sở để lo ngại về vấn đề an ninh, bảo mật khi chưa có quy chuẩn pháp lý rõ ràng.
Tuy nhiên, theo đúng tinh thần của Open Banking thì những dữ liệu này phải được ngân hàng cung cấp ra bên ngoài khi có sự yêu cầu của khách hàng, vì trọng tâm của Open Banking không phải để phục vụ cho ngân hàng mà là vì khách hàng.
Hiện nay, chưa có quy định rõ ràng nên các ngân hàng phải tự đánh giá xem bên thứ ba đó có đủ tin cậy và an toàn hay không để quyết định hợp tác triển khai Open API, việc này cũng cản trở Open Banking phát triển.
Open Banking đã rất phổ biến ở các nước phát triển, vậy có thể học hỏi những gì từ quản lý và vận hành ở họ để áp dụng với Việt Nam, thưa ông?
Qua quá trình làm việc với các đối tác quốc tế, chúng tôi nhận thấy có 3 hướng tiếp cận trong quản lý và phát triển Open Banking phổ biến.
Thứ nhất, cơ quan quản lý hoàn toàn để thị trường tự do phát triển, điển hình như Mỹ. Các cơ quan quản lý tại Mỹ không luật hóa các vấn đề liên quan đến ngân hàng mở mà để cho các định chế tài chính và các công ty công nghệ thúc đẩy Open Banking.
Thứ hai, một số quốc gia xây dựng khung pháp lý, đưa ra yêu cầu rõ ràng đối với việc triển khai Open Banking của các ngân hàng. Mô hình này được áp dụng phổ biến tại châu Âu (EU), đặc biệt tại Anh, Úc, Brazil, Canada.
Thứ ba, một số quốc gia chưa có khuôn khổ pháp lý cho Open Banking nhưng cơ quan quản lý khuyến khích các bên tham gia ngân hàng mở.
Tóm lại, kinh nghiệm quốc tế cho thấy những quốc gia đi trước xây dựng quy định pháp lý về Open Banking đi kèm các quy tắc, hướng dẫn về tiêu chuẩn Open API, sự chấp thuận của khách hàng, yêu cầu bảo mật, an ninh thông tin, yêu cầu vận hành và lộ trình tham gia hạ tầng Open Banking đối với các ngân hàng, tổ chức tài chính. Có hướng dẫn về Open API, Open Banking dẫn dắt bởi ngân hàng trung ương, tổ chức liên minh hay hiệp hội gồm các ngân hàng, bên thứ ba cung cấp dịch vụ, công ty công nghệ,... nhằm thúc đẩy thị trường.
Chúng tôi nhận thấy xu hướng xuất hiện hạ tầng chung về Open Banking ngày càng phổ biến. Theo đó, một đơn vị hoặc nhiều bên sẽ đứng ra đấu nối hạ tầng giữa các ngân hàng với Fintech và các bên thứ ba cung cấp dịch vụ.
Có thể liệt kê hạ tầng chung về ngân hàng mở được cấp phép hoặc vận hành bởi các tổ chức lớn, có uy tín ở các quốc gia như: Ấn Độ (UPI/NPCI), Hàn Quốc (KFTC), Thuỵ Sỹ (Six Group) được bảo trợ bởi Ngân hàng Trung ương và Hiệp hội Ngân hàng/Fintech; hoặc mô hình nhiều bên cung cấp hạ tầng chung tại Anh được cấp phép bởi FCA và được bảo trợ bởi CMA và Ngân hàng trung ương.
Đối với các bên thứ ba cung cấp dịch vụ chưa có quy mô và tiềm lực mạnh, việc gia nhập hạ tầng chung về ngân hàng mở và tiêu chuẩn chung về Open API sẽ dễ dàng, thuận lợi và tối ưu hơn so với việc triển khai kết nối, đáp ứng nhiều tiêu chuẩn khác nhau của các nhà phát triển khác nhau.
Hạ tầng dùng chung giúp chuẩn hóa tiêu chuẩn kỹ thuật, quy trình nghiệp vụ.. đảm bảo an ninh, an toàn khi chia sẻ dữ liệu, đấu nối dịch vụ, đặc biệt với dịch vụ thanh toán trên nền tảng Open Banking.
Trong 3 xu hướng quản lý Open Banking phổ biến trên thế giới mà ông vừa đề cập, Việt Nam đang tiếp cận theo hướng nào, thưa ông?
Có thể thấy Việt Nam đang tiến tới mô hình thứ 2, tương tự như EU. Ngân hàng Nhà nước đang nỗ lực hoàn thiện khung khổ pháp lý cho Open Banking.
Nếu không có sự chuẩn hóa như trên, mỗi ngân hàng đều phải tự xây dựng và tự vận hành hệ thống Open Banking của mình theo những tiêu chuẩn riêng về kỹ thuật, quy trình nghiệp vụ, pháp lý. Các ngân hàng cũng gặp khó khăn trong việc đánh giá đối tác có đảm bảo đầy đủ các yếu tố an toàn, bảo mật hay không. Bởi vì, khi đã triển khai Open API với bên thứ ba cung cấp dịch vụ thì bên thứ ba đó được quyền truy cập vào dữ liệu khách hàng cũng như những dịch vụ của ngân hàng.
Nếu tìm hiểu kỹ về Open Baking chúng ta sẽ thấy tại sao EU phải luật hóa các quy định về ngân hàng mở. Ban đầu, EU đưa ra các tiêu chuẩn chung về Open Banking nhưng các ngân hàng không muốn chia sẻ dữ liệu vì họ không thấy lợi ích cho ngân hàng. Luật hóa các quy định về Open Banking là vì từ góc độ của khách hàng, người ta cảm thấy dữ liệu trong ngân hàng là dữ liệu của họ, thuộc quyền sở hữu của họ chứ không phải thuộc quyền sở hữu của ngân hàng.
Do đó, khi khách hàng muốn và đồng ý thì bên thứ ba cung cấp dịch vụ có thể lấy dữ liệu đó ra để dùng. Bên thứ ba có thể là công ty tài chính tiêu dùng cần tiếp cận số dư tài khoản của khách hàng; hoặc các đơn vị cung cấp dịch vụ quản lý tài chính cá nhân nếu khách hàng có nhu cầu lên 1 ứng dụng duy nhất để quản lý thông tin tài chính của tất cả những tài khoản ngân hàng mà mình có như số dư, dữ liệu giao dịch, các lệnh chuyển tiền, thanh toán… Nếu chỉ xuất phát từ nhu cầu của ngân hàng thì rất khó phát triển ngân hàng mở.
Hạ tầng chung về ngân hàng mở tác động ra sao đến sự phát triển của hệ sinh thái số trong nền kinh tế, thưa ông?
Hiện, Ngân hàng Nhà nước đã dự thảo Thông tư về Open API. Theo lộ trình, các ngân hàng sẽ phải cung cấp một loạt API.
Đầu tiên là các API về thông tin chung của ngân hàng. Tiếp theo, trong 18 tháng, các ngân hàng phải cung cấp API về thông tin tài khoản của khách hàng, bao gồm thông tin chung về chủ tài khoản, số dư tài khoản, lịch sử giao dịch, sao kê tài khoản… Khi có khung pháp lý đầy đủ và hạ tầng chung về Open Banking, tất cả những thông tin đó sẽ được đưa lên hạ tầng chung để các bên đấu nối, từ đó mang đến nhiều lợi ích cho người dùng cuối.
Ví dụ, từ trước đến nay, nếu khách hàng muốn vay tiêu dùng, bên cho vay sẽ yêu cầu chứng minh thu nhập, lúc đó, khách hàng phải đến các ngân hàng mình có tài khoản để yêu cầu cung cấp sao kê tài khoản. Khi có hạ tầng chung về Open Banking, thì khách hàng tiết kiệm được rất nhiều thời gian do có thể thực hiện tất cả trên mạng. Trên ứng dụng cho vay tiêu dùng, khách hàng hoàn toàn có thể ấn vào nút đồng ý cho phép ngân hàng cung cấp sao kê tài khoản dưới dạng Open Banking API sang công ty tài chính tiêu dùng để họ xét duyệt khoản vay.
Theo dự thảo Thông tư về Open API, sau 24 tháng sẽ triển khai khởi tạo giao dịch thanh toán thông qua nền tảng Open Banking, lúc đó, một ứng dụng mua sắm nếu được kết nối vào hạ tầng chung cho ngân hàng mở thì khách hàng hoàn toàn có thể khởi tạo giao dịch thanh toán ngay trên ứng dụng này. Thông qua hạ tầng dùng chung, tất cả được chuẩn hóa. Tất cả dữ liệu vẫn nằm trong hệ sinh thái của bên cung cấp dịch vụ cho người dùng cuối chứ không phải chuyển sang bên thứ ba.
Vậy, cần những điều kiện gì để xây dựng và phát triển hạ tầng chung cho ngân hàng mở, thưa ông?
Bên xây dựng và phát triển hạ tầng chung cho Open Banking nên là đơn vị có uy tín trong ngành ngân hàng, được tất cả các bên tin tưởng, có thể đặt ra luật chơi. Nếu đơn vị này có sự định hướng và bảo trợ của Ngân hàng Nhà nước thì rất tốt.
Đơn vị cung cấp hạ tầng chung cho Open Banking không đơn thuần cung cấp giải pháp kỹ thuật. Hiện nay, giải pháp kỹ thuật không quá khó khăn, gần như đã có sẵn rồi. Các ngân hàng đang có sẵn mấy trăm API rồi nhưng cái khó là ai dùng được vì chưa có pháp lý rõ ràng; chưa có quy định về giám sát để đảm bảo an ninh, an toàn, chống lộ, lọt thông tin của khách hàng ra ngoài. Đồng thời, đơn vị vận hành hạ tầng chung sẽ đưa ra quy định về khung pháp lý giữa các bên. Ngân hàng sẽ phải ký hợp đồng với bên thứ ba cung cấp dịch vụ thế nào?
Ngoài ra, đơn vị xây dựng và vận hành hạ tầng chung về Open Banking cần đảm bảo việc tra soát, định danh các bên tham gia hạ tầng chung. Ngoài ngân hàng, các bên thứ ba cung cấp dịch vụ muốn tham gia vào hệ thống hạ tầng chung thì phải đáp ứng những tiêu chuẩn gì và ai đứng ra kiểm tra, giám sát xem họ đã đủ điều kiện hay chưa?
Nếu không có tiêu chuẩn bảo mật, đặc biệt là tiêu chuẩn bảo mật cho bên thứ ba, thì có nguy cơ cao làm lộ dữ liệu người dùng. Ngành ngân hàng phải tuân thủ rất nhiều quy định từ Ngân hàng Nhà nước, Bộ Thông tin và Truyền thông, Bộ Công an về việc phải đảm bảo an ninh, an toàn hệ thống.
Do đó, các ngân hàng đang có rất nhiều API nhưng bên thứ ba kết nối vào API của ngân hàng cần phải có các tiêu chuẩn rõ ràng, đảm bảo an ninh, an toàn bảo mật, tránh nguy cơ bị tin tặc tấn công (hack).
Khi triển khai Open Banking, bên thứ ba có thể truy cập số dư, lịch sử giao dịch, tiền ra tiền vào của khách hàng, do đó, quy trình nội bộ của bên thứ ba cần phải đủ chặt chẽ để tránh nảy sinh nguy cơ nhân viên của họ mang dữ liệu khách hàng đi bán, làm lộ, lọt thông tin của khách hàng.