Keywords: Mobile banking, digital bank.
1. Đặt vấn đề
Công nghệ ngân hàng di động đã và đang được các ngân hàng thương mại áp dụng rộng rãi như một chiến lược mở rộng thị phần mà không cần đầu tư lớn vào cơ sở hạ tầng. Nó là một công cụ hữu ích cho các khách hàng sử dụng dịch vụ ngân hàng bởi tính tiện lợi, chất lượng dịch vụ tốt, nhanh chóng, không phụ thuộc vào yếu tố thời gian và mức độ bao phủ lớn, đáp ứng mục tiêu tài chính toàn diện. Do đó, ngân hàng di động đã trở thành một trong các yếu tố thành công quan trọng trong ngành Ngân hàng. Tuy nhiên, rủi ro liên quan đến ngân hàng di động cũng là mối quan tâm lớn của các ngân hàng cũng như khách hàng.
Phạm Thế Hùng và cộng sự (2021) đã chỉ ra tại Việt Nam, có khoảng 30 triệu người sử dụng hệ thống thanh toán ngân hàng qua Internet mỗi ngày. Tốc độ tăng trưởng về lượng giao dịch trên ngân hàng di động là 200%. Giá trị giao dịch tiền với riêng kênh điện thoại di động hiện đạt khoảng 300 nghìn tỉ đồng/ngày. Đồng thời, cũng dẫn chứng thông tin của Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao - Bộ Công an về số lượng tội phạm mạng trong lĩnh vực thanh toán điện tử, tài chính, ngân hàng tiếp tục gia tăng khi các đối tượng sử dụng lợi ích từ các chương trình tri ân, khuyến mãi để gửi tin nhắn chứa liên kết giả mạo; sử dụng sim rác giả mạo nhân viên ngân hàng, báo lỗi và yêu cầu khách hàng cung cấp mật khẩu, mã OTP; đánh cắp thông tin thông qua các trang điện tử giả mạo.
Với những lợi ích, tiềm năng và rủi ro tiềm ẩn của ngân hàng di động nêu trên thì việc nghiên cứu sâu hơn về ngân hàng di động là cần thiết. Bài viết tập trung phân tích về cấu trúc, sự phát triển của các mô hình ngân hàng di động, những rủi ro tiềm ẩn và chiến lược giảm thiểu rủi ro ngân hàng di động. Bên cạnh đó, phân tích kinh nghiệm phát triển ngân hàng di động của một số nước trên thế giới, đề xuất, khuyến nghị phát triển ngân hàng di động hướng tới mục tiêu tài chính toàn diện quốc gia.
2. Cơ sở lí luận về ngân hàng di động
2.1. Một số khái niệm liên quan đến ngân hàng di động
Ngân hàng di động là ngân hàng trong đó việc cung cấp và thực hiện các dịch vụ ngân hàng và tài chính thông qua sự trợ giúp của các thiết bị viễn thông di động như điện thoại cầm tay hoặc máy tính bảng (Okiro và Ndungu, 2013). Cũng về khái niệm này, Ngân hàng Phát triển châu Á - ADB (2014) quan niệm rằng “Dịch vụ tài chính di động” là một thuật ngữ chung thường được sử dụng để mô tả bất kì dịch vụ tài chính nào được cung cấp bằng thiết bị di động. Điều này bao gồm hai dịch vụ chính: Thứ nhất, thiết bị di động được sử dụng để truy cập vào tài khoản ngân hàng mà không cần đến chi nhánh hoặc sử dụng máy tính để quản lí tài khoản và thực hiện giao dịch từ xa. Dịch vụ này rất giống với dịch vụ ngân hàng trực tuyến và có thể được cung cấp bằng cách chỉ cần mở trang chủ trực tuyến của các ngân hàng bằng điện thoại thông minh. Một cách tiếp cận thân thiện hơn với người dùng là truy cập thông qua các ứng dụng (App) ngân hàng di động. Thông thường, quản lí tài khoản di động đi kèm với nhiều chức năng thông tin, chẳng hạn như truy vấn số dư tài khoản hoặc theo dõi các giao dịch gần đây nhất, cũng như các dịch vụ di động được thiết kế rõ ràng như cảnh báo SMS (dịch vụ tin nhắn ngắn gọn), thông báo hoặc xác thực. Thứ hai, ngân hàng di động có thể được sử dụng để rút hoặc gửi tiền tại ATM. Trong trường hợp này, điện thoại di động được sử dụng để nhận dạng và ủy quyền của chủ tài khoản.
Thanh toán di động (còn được gọi là M-Payment) và chuyển tiền di động là việc chuyển tiền giữa hai người (được gọi là P2P), giữa một người với một doanh nghiệp (còn được gọi là M-Commerce và P2B) hoặc giữa Chính phủ với một người (còn được gọi là G2P) thông qua nền tảng của người đăng kí, trong đó ít nhất một bên sử dụng điện thoại di động. Thanh toán di động có thể được sử dụng cho các khoản thanh toán vi mô (chẳng hạn như mua báo, mua vé xe bus) cũng như chuyển tiền quốc tế. Chúng có thể được sử dụng cho các giao dịch từ một doanh nghiệp với một người, chẳng hạn như để trả lương. Hầu hết các hệ thống thanh toán di động dựa trên số dư trả trước được chuyển bằng SMS hoặc sử dụng mã nhưng nó vẫn có thể thanh toán trả sau hoặc thanh toán theo thời gian thực. Khác biệt với một số hình thức ngân hàng điện tử khác, tiền được chuyển sẽ có sẵn ngay lập tức và tùy thuộc vào hệ thống, ngân hàng có thể không cần tham gia trực tiếp.
Rủi ro ngân hàng di động là những rủi ro mất mát hoặc những bất tiện, khó chịu xảy ra do sử dụng hoặc liên kết với một thiết bị công nghệ di động (John Njau Karanja, 2017).
2.2. Các mô hình kiến trúc của ngân hàng di động
Ngân hàng di động đã thay đổi hình thức ngân hàng truyền thống, làm cho cuộc sống của khách hàng liên quan đến các hoạt động tài chính trở nên dễ dàng hơn nhiều so với trước. Nó không chỉ an toàn mà còn có thể truy cập bất cứ nơi nào trên thế giới, nơi công nghệ tiên tiến phát triển. Trên thực tế, ngân hàng di động đầu tiên được bắt đầu vào năm 1999 bởi một công ty ở châu Âu có tên là Paybox, được hỗ trợ bởi Deutsche Bank. Ngân hàng di động này được thực hiện thông qua tin nhắn SMS do sự hạn chế về chức năng của điện thoại di động. Chi phí dữ liệu đắt đỏ và chất lượng mạng là những thách thức lớn trong quá trình phát triển của ngân hàng di động. Năm 2010, phần lớn các ngân hàng di động được thực hiện bằng SMS hoặc web di động và ngày nay, với sự thành công của các sản phẩm Apple như Iphone và hệ điều hành khác như Android dựa trên điện thoại, ngân hàng di động có thể truy cập với khách hàng đặc biệt của nó.
Về kiến trúc ngân hàng di động: Kiến trúc ngân hàng di động bao gồm nhiều lớp khác nhau. Thứ nhất, nó bao gồm cấp độ xác thực, theo đó, người dùng đăng nhập và thông tin đăng nhập của họ được xác thực thông qua xác thực hai yếu tố hoặc mã thông báo SMS chạy trên dịch vụ tin nhắn Java (JMS). Thứ hai, nó bao gồm dịch vụ cơ sở gồm các mô-đun điều khiển, lõi mô-đun và mô-đun giao diện người dùng chạy toàn bộ kiến trúc ngân hàng di động và cấp giao diện người dùng, giao diện khách hàng của ngân hàng tương tác khi nó sử dụng các ứng dụng ngân hàng di động và các dịch vụ như thanh toán, rút tiền mặt trong số nhiều dịch vụ khác. Các kênh dịch vụ ngân hàng di động được tổng hợp chi tiết tại Hình 1.
Hình 1: Các kênh ngân hàng điện tử
Nguồn: Trường Tài chính và quản lý Frankfurt
Về sự phát triển của công nghệ ngân hàng di động, Pasang Sherpa (2015) trong nghiên cứu "Sự phát triển và tác động của ngân hàng di động tại Nepal" đã tổng hợp và chỉ ra ba mô hình để chạy các dịch vụ ngân hàng trên điện thoại di động như sau:
Thứ nhất, mô hình ngân hàng di động dựa trên SMS hoặc MMS
SMS là dịch vụ ngân hàng di động đầu tiên khi ngân hàng di động ra đời. Thông tin liên lạc dựa trên văn bản thuần túy, trong đó có hai chế độ SMS Banking là chế độ kéo và chế độ đẩy. Chế độ kéo là cách hệ thống nhắn tin nơi tổ chức tài chính gửi tin nhắn văn bản đến người dùng về trạng thái giao dịch tài khoản nhất định của họ. Phương pháp này có thể được sử dụng để quảng cáo các dịch vụ ngân hàng di động khác. Chế độ đẩy là hệ thống nhắn tin nơi người dùng gửi yêu cầu nhất định về ngân hàng của họ giao dịch với mã được xác định trước khi trợ giúp và ngân hàng trả lời nó dưới dạng tin nhắn văn bản.
Về cơ bản, có hai loại hệ thống nhắn tin văn bản là SMS và MMS (hệ thống nhắn tin đa phương tiện). SMS Banking chỉ mang những tin nhắn có kích thước nhỏ, đó là hạn chế của nó. Trong khi đó, MMS có thể mang những tin nhắn lớn hơn tin nhắn văn bản nhưng có cơ chế hoạt động giống như SMS. Để sử dụng ngân hàng di động thông qua MMS, người dùng phải đăng kí thiết bị di động của mình với ngân hàng và ngân hàng gửi tin nhắn văn bản với mật khẩu được yêu cầu, hoạt động như một mã kích hoạt cho ngân hàng di động. Lợi thế chính đằng sau việc sử dụng ngân hàng di động dựa trên cơ sở SMS là dịch vụ công nghệ rẻ tiền và quen thuộc. Nó có xu hướng cung cấp cả hai cách giao tiếp giữa ngân hàng và người dùng. Tính bảo mật là một trong những khía cạnh chính cần lưu ý, nó không chuyển giao hoặc lưu trữ thông tin riêng tư của người dùng trên thiết bị di động. (Hình 2)
Hình 2: Ngân hàng di động dựa trên SMS
Nguồn: http://www.mobileinc.co.uk/2009/07
Thứ hai, mô hình ngân hàng di động dựa trên website
Một loại kiến trúc ngân hàng di động khác là dựa trên trình duyệt ngân hàng di động. Loại dịch vụ ngân hàng này có thể được truy cập từ trình duyệt Internet trên thiết bị di động. Dịch vụ này được truy cập từ trang web ngân hàng trên thiết bị di động do các tổ chức tài chính liên quan cung cấp. Người dùng có thể kết nối với trang web ngân hàng di động thông qua WAP (giao thức truy cập không dây) hoặc hình thức dịch vụ Internet khác do ISP cung cấp. WAP là một nền tảng công nghệ được thành lập vào năm 1990 giúp các thiết bị di động có thể truy cập Internet. Lợi thế chính đằng sau việc sử dụng loại hình dịch vụ này là phần lớn việc xử lí dữ liệu được thực hiện trên máy chủ từ xa giúp xử lí nhanh các tương tác của người dùng với các trang web ngân hàng. Loại hình dịch vụ ngân hàng này có một số hạn chế như để cung cấp dịch vụ ngân hàng trên thiết bị di động, trang web được thiết kế phải vừa với màn hình di động; người dùng chạy các dịch vụ Internet thông qua gói dữ liệu trên thiết bị điện thoại di động, điều này có thể dẫn tới phát sinh chi phí bổ sung vì người dùng phải có quyền truy cập thông qua trang web ngân hàng. (Hình 3)
Hình 3: Ngân hàng di động dựa trên web Nordea, Phần Lan
Nguồn: http://www.nordea.fi/
Thứ ba, mô hình ngân hàng di động dựa trên khách hàng
Với sự phát triển của điện thoại thông minh, công nghệ về điện thoại di động đã đạt đến kỉ nguyên mới. Với điện thoại thông minh, người ta có thể trải nghiệm cảm giác có máy tính cá nhân trong tay. Ngân hàng di động dựa trên khách hàng là một trong những ngân hàng di động phù hợp với điện thoại thông minh và các trợ lí kĩ thuật số cá nhân (PDA) khác, có xu hướng chạy một ứng dụng được cung cấp bởi các ngân hàng. Loại hình dịch vụ ngân hàng này yêu cầu tải xuống và cài đặt các ứng dụng ngân hàng tương ứng. Với sự trợ giúp của các ngân hàng chạy trên điện thoại thông minh, người dùng có thể truy cập một chạm vào các dịch vụ tài khoản ngân hàng khác nhau. Hạn chế chính của việc sử dụng dịch vụ ngân hàng này là người dùng phải tìm hiểu về các ứng dụng mới và đồng thời nó không được hỗ trợ trên tất cả các thiết bị điện thoại di động do giới hạn kĩ thuật trên thiết bị di động. (Hình 4)
Hình 4: Ngân hàng di động dựa trên khách hàng với Nordea, Phần Lan
Nguồn: http://www.nordea.fi/
3. Một số rủi ro và chiến lược giảm thiểu rủi ro ngân hàng di động
3.1. Một số rủi ro của ngân hàng di động
Lỗ hổng OpenSSL: Theo Chandra, Messier và Viega (2013), phần mềm OpenSSL sử dụng lớp cổng bảo mật (SSL). OpenSLL cung cấp một phương tiện giao tiếp an toàn qua một phương tiện không an toàn vì nhu cầu mã hóa và giải mã dữ liệu một cách an toàn trong quá trình truyền trên nền tảng Internet. Mặc dù OpenSLL cố gắng đảm bảo rằng các nhà phát triển và quản trị viên có thể giao tiếp an toàn và bảo mật, nhưng trong thực tế, giao thức SSL yêu cầu sự hiểu biết đầy đủ về các nguyên tắc bảo mật để thực hiện sử dụng nó một cách thích hợp. Do đó, nhiều ứng dụng OpenSLL dễ bị kẻ tấn công khai thác. Điều này chủ yếu do các nhà phát triển, bên thứ ba bị tấn công vào những yếu tố bảo mật tích hợp trên thiết bị di động. Chi tiết lỗ hổng bảo mật khác cũng đã được phát hiện bởi các nhà nghiên cứu như việc kẻ tấn công có thể trích xuất từ dữ liệu trên một kết nối an toàn.
Phần mềm độc hại: Phần mềm độc hại là bất kì loại hoặc dạng phần mềm dựa trên máy tính, điện thoại đi động nào nhằm giành quyền truy cập vào hệ thống máy tính hoặc điện thoại di động với mục đích làm xáo trộn hoạt động của máy tính, điện thoại di động hoặc thu thập thông tin cá nhân mà không có được sự đồng ý của chủ sở hữu hệ thống (Gandotra, Bansal và Sofat, 2014). Chúng là những chương trình cố tình khai thác những lỗ hổng trên máy tính cho một mục đích có hại (Elhadi, Maarof và Barry, 2013). He, Tian và Shen (2015) cho rằng, với việc sử dụng ngân hàng di động ngày càng tăng thì phần mềm độc hại di động cũng ngày càng tăng về tần suất và mức độ tinh vi; nó gây ra nhiều thiệt hại như rò rỉ dữ liệu tài chính nhạy cảm, mất mát tài chính. Trong nghiên cứu của Maarof và Barry (2013), phần mềm độc hại có thể được phân biệt dựa trên phần mềm có cần hay không cần chương trình chủ để hoạt động hoặc phần mềm liệu có tạo ra các bản sao của chính nó hay không. Theo Elhadi và cộng sự (2013), các phần mềm độc hại bao gồm: (i) Virus máy tính mà nó có thể cố gắng sao chép chính chúng thành các mã thực thi khác; (ii) Ngựa Trojan là những chương trình máy tính lành tính và có các chức năng hữu ích nhưng chúng còn có các chức năng nguy hiểm tiềm ẩn để tránh các bảo mật hệ thống; (iii) Sâu máy tính tự sao chép và phổ biến các phiên bản của chính nó qua mạng. Các phần mềm độc hại khác cung cấp các điểm vào bí mật của một chương trình và cho phép ai đó biết về sự tồn tại của nó để truy cập trái phép vào hệ thống mà không cần thông qua kiểm tra an ninh thông thường. Cũng có những phần mềm gián điệp thu thập thông tin từ máy tính của nạn nhân và gửi cho kẻ tạo phần mềm gián điệp nhằm truy cập tới cấp cơ sở và các mạng botnet được kích hoạt trên một máy để tấn công và lây nhiễm cho các máy khác (Elhadi và cộng sự, 2013).
Hacking hệ thống: Không giống như phần mềm độc hại trong đó chương trình được phát hành để thu thập thông tin hoặc can thiệp vào hoạt động của máy tính, hacking hệ thống cần có sự tham gia tích cực của con người. Ở trong điều kiện đơn giản hơn, phần mềm độc hại được thiết kế để thay mặt con người tạo cơ hội cho tin tặc trực tiếp sửa đổi hoặc can thiệp vào hệ thống máy tính. Farsole, Kashikar và Zunzuwala (2010) đã định nghĩa tin tặc như những người thích xem trộm, can thiệp phần mềm hoặc hệ thống điện tử. Đó là một lập trình viên cấp tiến, tích cực tìm tòi, sáng tạo giải pháp cho các vấn đề nhưng những lập trình viên này có thể sử dụng tài năng của mình cho các tổ chức hoạt động tội phạm hoặc các mục đích xấu và bất hợp pháp (Falk, 2014). Theo Pujitha và Mallu (2013), do việc sử dụng ngân hàng di động ngày càng nhiều nên cơ hội hack thiết bị di động vì lợi ích tài chính đã tăng lên với thiết bị di động không dây. Hack dữ liệu trong đường dẫn mạng từ ngân hàng đến thiết bị di động của khách hàng bao gồm cả mã pin là mối quan tâm chính. Điều này được coi là nghiêm trọng vì tin tặc có khả năng lấy cắp thông tin ngân hàng bằng cách sử dụng các kĩ thuật khác nhau để lừa người dùng điện thoại di động tin rằng họ đang giao tiếp với một chương trình chính hãng từ ngân hàng trong khi thực tế là người dùng cung cấp thông tin nhạy cảm cho tin tặc (Luvanda, Kimari và Kimwele, 2014).
Rủi ro hoán đổi SIM: Các ứng dụng ngân hàng di động thường được kết nối trực tiếp với máy chủ ngân hàng di động thông qua Internet. Dữ liệu ngân hàng nhạy cảm của khách hàng sau đó được gửi từ điện thoại di động đến máy chủ ngân hàng di động qua Internet. Điều này mở rộng bề mặt tấn công trong hệ thống ngân hàng bằng cách giới thiệu các khu vực tiềm ẩn lỗ hổng có thể dễ dàng bị khai thác bởi một người trái phép và một nhân viên nội bộ (Temenos và Netguardian, 2016). Đây là một không gian mạng tấn công nơi thủ phạm đặt mình vào cuộc trò chuyện giữa người dùng và ứng dụng để nghe trộm hoặc mạo danh một trong các bên, làm cho nó có vẻ như là một trao đổi thông tin bình thường đang được tiến hành (Seriano, 2015).
Một cuộc tấn công hoán đổi SIM là một cuộc tấn công, theo đó, kẻ tấn công sử dụng các chi tiết nhận dạng của bạn và một chút kĩ thuật xã hội để thuyết phục các đại lí của nhà cung cấp mạng di động của người sử dụng tại các trạm khác nhau và trung tâm cuộc gọi để kích hoạt SIM mới mà họ đang sở hữu. Điều này vô hiệu hóa thẻ SIM hiện tại mà nạn nhân không ngờ tới đã khiến anh ta mất dịch vụ điện thoại (Brignall, 2016). Sau đó kẻ tấn công có thể tiến hành thay đổi mã Pin và thực hiện các giao dịch tài khoản thông qua ứng dụng ngân hàng di động bằng số điện thoại di động của người sử dụng và các chi tiết nhận dạng khác mà họ đã có. Tất cả các phản hồi từ ngân hàng được gửi lại cho điện thoại của kẻ tấn công vì nó hiện đang giữ thẻ SIM đang hoạt động đã đăng kí của nạn nhân. Theo Serianu (2015), thông tin ngân hàng nhạy cảm và bí mật của khách hàng thường bị đánh cắp và bán trong chợ đen. Việc đánh cắp dữ liệu bí mật từ các kết nối không an toàn hoặc bị xâm phạm và các kết nối khác các trường hợp gian lận gây tổn hại đến hình ảnh, danh tiếng của ngân hàng ngay cả khi không mất tiền (Temenos và Netguardian, 2016).
Gian lận trên thiết bị di động: Gian lận trên thiết bị di động là một vấn đề lớn mà ngân hàng di động phải đối mặt, đe dọa tính toàn vẹn và bảo mật dữ liệu tài chính. Gian lận di động liên quan đến việc thao túng hệ thống tài chính ngân hàng di động nhằm thu lợi bất hợp pháp. Nó liên quan đến sự lừa dối tài chính được dàn dựng thông qua ngân hàng di động và nó có thể bắt nguồn từ khách hàng, đại lí, nhà cung cấp dịch vụ hoặc quản trị viên hệ thống (Karanja, 2017). Gian lận di động dẫn đến tổn thất tài chính cho cả ngân hàng và khách hàng. Ngoài ra, nó còn dẫn đến làm mất lòng tin của người tiêu dùng và niềm tin vào ngân hàng. Các trường hợp gian lận ngân hàng di động là nguyên nhân gây thiệt hại về uy tín của ngân hàng và ảnh hưởng tiêu cực đến mối quan hệ với khách hàng (Hoffmann và Birnbrich, 2012).
3.2. Một số chiến lược giảm thiểu rủi ro ngân hàng di động
(i) Chiến lược sử dụng xác thực hai yếu tố
Khi việc sử dụng ngân hàng di động tăng lên, các mối đe dọa về bảo mật và quyền riêng tư của ngân hàng di động thông qua phần mềm độc hại, truy cập trái phép và gian lận trên thiết bị di động cũng tăng lên. Cách tiếp cận thông thường của việc sử dụng mật khẩu thông thường có thể không giải quyết đầy đủ được các rủi ro mới xuất hiện; đặc biệt, trong việc bảo mật các ứng dụng quan trọng như trực tuyến và ngân hàng di động. Do đó, xác thực hai yếu tố giúp nâng cao mức độ bảo mật bằng cách tạo ra một cấp độ bảo mật bổ sung thông qua xác thực mật khẩu phụ (Bindhu và cộng sự, 2014). Trong nghiên cứu của Han (2015) về bảo mật ngân hàng cho thấy, xác thực hai yếu tố đã được chứng minh là một phương pháp an toàn để xác minh khách hàng vì nó yêu cầu khách hàng cung cấp thêm xác thực cùng với nhận dạng đăng nhập và mật khẩu duy nhất của họ. Các thông tin bổ sung có thể bao gồm mật mã một lần được cấp bởi mã thông báo hoặc nhận được qua dịch vụ tin nhắn di động, cuộc gọi điện thoại, đầu đọc thẻ hoặc thẻ với các số ngẫu nhiên. Tuy nhiên, Mahesh và cộng sự (2020) đã chỉ ra rằng, tăng cường bảo mật thông qua xác thực hai yếu tố có thể tác động tiêu cực đến hiệu quả ngân hàng di động vì có quá nhiều thông tin và câu hỏi bảo mật được xác định trước và những yêu cầu trả lời cần được khách hàng ghi nhớ để xác minh việc họ tham gia vào hệ thống dẫn đến giảm khả năng sử dụng được cảm nhận.
Về chiến lược sử dụng xác thực hai yếu tố, Dmitrienko, Liebchen, Rossow và Sadeghi (2014) cho rằng, khi việc sử dụng ngân hàng di động tăng lên, các mối đe dọa về bảo mật và quyền riêng tư của ngân hàng di động thông qua phần mềm độc hại, truy cập trái phép và gian lận di động tăng. Trong bối cảnh đó, xác thực đăng nhập và mật khẩu truyền thống được coi là không đủ trong bảo mật các ứng dụng quan trọng như ngân hàng trực tuyến và ngân hàng di động, trong khi chương trình xác thực hai yếu tố hứa hẹn một mức độ bảo vệ cao hơn bằng cách mở rộng yếu tố xác thực. French (2012) chỉ ra rằng, tăng cường an ninh thông qua nhiều yếu tố xác thực có thể ảnh hưởng tiêu cực đến hiệu quả hoạt động của hệ thống ngân hàng di động vì quá nhiều thông tin và câu hỏi, câu trả lời bảo mật được xác định trước cần phải được khách hàng ghi nhớ để xác minh quyền truy cập của họ vào hệ thống dẫn đến giảm nhận thức về khả năng sử dụng. Bên cạnh đó, việc sử dụng xác minh nhiều yếu tố không nên được coi là bằng chứng đánh lừa vì các mã đáng nhớ vẫn có thể bị chặn và sử dụng bởi các bên thứ ba để truy cập trái phép hoặc gian lận. Mặc dù vậy, việc sử dụng nhiều yếu tố xác thực cung cấp bảo mật cao hơn so với các chương trình đăng nhập đơn lẻ.
(ii) Chiến lược mã hóa
Tính bảo mật của dữ liệu được truyền qua Internet có thể đạt được bằng cách mật mã hóa. Theo Gangan (2015), mật mã dữ liệu liên quan đến việc gửi thông tin ở định dạng mà chỉ người nhận dự kiến mới có thể đọc được. Mã hóa là một xử lí biến thông tin ban đầu thành một dạng không thể nhận dạng được trong khi quá trình chuyển đổi dữ liệu được mã hóa thành dạng ban đầu được gọi là giải mã. Quá trình mã hóa dữ liệu bằng khóa bí mật trước khi trao đổi hoặc truyền đi cung cấp một giao tiếp an toàn bổ sung giữa người gửi và máy thu (Chaki và cộng sự, 2020). Zhang và cộng sự (2020) giải thích vai trò quan trọng của mã hóa là cho phép bạn bảo vệ an toàn dữ liệu mà bạn không muốn bất kì ai khác có quyền truy cập vào dữ liệu đó. Mã hóa có lợi vì nó bảo mật thông tin nhạy cảm và che giấu sự tồn tại của nó. Braciali và cộng sự (2020) ghi chú rằng, có thể có các thuật toán phức tạp để mã hóa nhằm nâng cao mức độ bảo mật mà không làm giảm hiệu suất của cơ sở dữ liệu. Theo Udin và cộng sự (2020), sự an toàn của các giao dịch tài chính qua mạng và những ứng dụng được cung cấp bởi ứng dụng bộ công cụ SIM có thể được nâng cao thông qua các mã xác thực tin nhắn được lấy từ các Triple Des (dữ liệu thuật toán tiêu chuẩn mã hóa) đi kèm với thông điệp đang được truyền đi. Ferrag (2020) lưu ý thêm rằng, bộ công cụ ứng dụng SIM giúp cho menu ứng dụng ngân hàng di động được lưu trữ trong thẻ SIM sẽ được mã hóa để đảm bảo tính toàn vẹn của dữ liệu.
Tính bảo mật của dữ liệu được truyền qua Internet có thể đạt được bằng mật mã. Theo Khan và Fazal e Amin (2014), mật mã dữ liệu là sự xáo trộn của nội dung dữ liệu, chẳng hạn như văn bản, hình ảnh, âm thanh, video để làm cho dữ liệu trở nên vô nghĩa, không thể đọc được hoặc vô hình trong quá trình truyền hoặc lưu trữ. SMS với sự hỗ trợ của bộ công cụ SIM tiêu chuẩn có thể được sử dụng để giải quyết các vấn đề về tính toàn vẹn của thông tin bằng cách lấy ra một mã xác thực tin nhắn từ một tin nhắn bằng cách cấp nó qua thuật toán Triple Des được gửi cùng với thông báo gốc. Trong trường hợp này, mã hóa thẻ SIM được sử dụng để đảm bảo bí mật bằng cách mã hóa PIN. Manoj (2011) chỉ ra rằng, việc sử dụng bộ công cụ ứng dụng SIM cho phép nhà cung cấp dịch vụ hoặc ngân hàng chứa menu ngân hàng di động của người tiêu dùng trong thẻ SIM. Điều này làm cho ứng dụng bộ công cụ SIM là phương thức ngân hàng di động an toàn nhất vì nó cho phép ngân hàng nạp các khóa mã hóa của riêng nó vào thẻ SIM do chính các ngân hàng phát triển ứng dụng.
(iii) Chiến lược cô lập
Theo Hayikadder, Hadi và Ibrahim (2016), sự cô lập cố gắng hạn chế một khả năng của ứng dụng để truy cập dữ liệu hoặc hệ thống nhạy cảm trên thiết bị. Khái niệm của sự cô lập là việc thực thi một số yêu cầu của phần mềm máy tính nhất định phải có sự cô lập giao thức, chẳng hạn như đặc quyền của quản trị viên nếu chúng ta không thực thi. Việc sử dụng các ngân hàng di động hoặc thẻ SIM có thể được dùng để truy cập dữ liệu cực kì nghiêm ngặt. Các công nghệ hoạt động bằng cách thiết kế các ứng dụng chỉ cho phép tải về các sản phẩm được quy định. Điều đó có nghĩa là ngân hàng có thể bảo mật cao và hạn chế quyền truy cập vào dữ liệu tài chính và giao dịch thông qua các thiết bị thuộc sở hữu của ngân hàng có thể kiểm soát và giám sát chặt chẽ các hoạt động (Mahesh và Hooter, 2013). Theo Vokorokos, Balaz và Mados (2015), cách li có nghĩa là kiểm soát và hạn chế truy cập trong quá trình giao tiếp trên mạng nội bộ và Internet. Các hệ thống cách li sẽ chặn truy cập Internet và ngăn chặn việc gửi thông tin bí mật, ví dụ như giao thức cách li thông qua việc tích hợp tường lửa vào hệ điều hành chặn truy cập mạng. Tường lửa giúp chặn những khách hàng không mời hoặc những người không được phép cố gắng kết nối hoặc có quyền truy cập vào bất kì tệp chia sẻ nào mà một số ngân hàng đã thiết lập.
(iv) Chiến lược quyền truy cập trên quyền
Kiểm soát truy cập dựa trên quyền được các tổ chức chấp nhận như một biện pháp giảm thiểu rủi ro an toàn thông tin. Thông qua sự cho phép truy cập, các tổ chức xác định những người có thể truy cập các khía cạnh hoặc cấp độ cụ thể của cơ sở hạ tầng ngân hàng di động, cho dù đó là giao diện người dùng, máy chủ, cơ sở dữ liệu hoặc API. Các quyền này dựa trên vai trò mà người dùng cụ thể đã được chỉ định (Sanchez và cộng sự, 2017). Tuy nhiên, các quyền được chuẩn hóa cho tất cả các ứng dụng sao cho các hành động như tạo, đọc hoặc xóa chỉ có thể được thực hiện bởi người dùng nếu họ được cấp quyền cụ thể đó.
(v) Chiến lược sử dụng sinh trắc học
Bảo mật thông qua sinh trắc học là việc một ngân hàng di động bảo mật thông tin thông qua việc sử dụng các đặc điểm như khuôn mặt, vân tay, hình học bàn tay, giọng nói để nhận diện khách hàng. Nebaba (2020) trong nghiên cứu đánh giá rủi ro công nghệ ngân hàng di động tại Kenya đã chỉ ra rằng, có thể kết hợp một số phương pháp nhận dạng sinh trắc học cho khách hàng sử dụng ngân hàng di động. Tian và Shen (2015) và Hossain (2020) cũng cho rằng, những cách tiếp cận mới này đối với rủi ro thông tin có thể là nhân tố thay đổi cuộc chơi trong các ngân hàng hiện đại.
4. Kinh nghiệm phát triển ngân hàng di động tại một số nước trên thế giới hướng tới mục tiêu tài chính toàn diện
4.1. Kinh nghiệm của Nepal
Với sự ra đời của ngân hàng di động, cuộc sống người dân Nepal được thay đổi hoàn toàn về ý thức hoạt động tài chính như việc ngân hàng di động luôn ở trong túi người sử dụng mọi lúc, mọi nơi, các dịch vụ tài chính dần trở nên dễ dàng hơn từng ngày. Theo dữ liệu của Cơ quan Viễn thông Nepal (2014), tỉ lệ sử dụng điện thoại vượt quá 84,77%; trong số tỉ lệ thâm nhập điện thoại có 74,97% thuộc về thâm nhập trên điện thoại di động. Năm 2012, ngân hàng di động đầu tiên của Nepal được ra mắt bởi ngân hàng TNHH Laxmi - một trong những ngân hàng thương mại hàng đầu ở Nepal với sản phẩm ban đầu được gọi là Khata di động, hoạt động trên nền tảng của bên thứ ba có tên Hello Paisa liên kết với tất cả các công ty viễn thông ở Nepal (các công ty viễn thông như Nepal Telecom, Ncell, UTL và SmartTel…). Sau khi thành lập ngân hàng di động Laxmi, các ngân hàng khác như Ngân hàng Siddhartha, Ngân hàng Kathmandu, Ngân hàng Commerz và Trust, các tổ chức tài chính và cho thuê tài chính quốc tế cũng bắt đầu hình thức thanh toán di động trên cùng một nền tảng. Nền tảng cho các dịch vụ thanh toán có thể tương tác với nhiều tổ chức tài chính và viễn thông với nhau và đây được coi là loại hình thanh toán mới. Các nền tảng ngân hàng chính của ngân hàng Nepal trong giai đoạn này là Hello Paisa, Fonepay…
Hình thức ngân hàng di động mới này đã làm cho cuộc sống người dân Nepal dễ dàng tiếp cận các dịch vụ tài chính hơn. Ngoài các hoạt động ngân hàng, ứng dụng ngân hàng di động ở Nepal cũng bao gồm hệ thống thanh toán cho các hoạt động tài chính khác như tiện ích chi trả, thanh toán thương mại, nạp tiền di động, thanh toán hóa đơn dịch vụ viễn thông như NTC, NCELL, CDMA. Phần lớn ngân hàng di động ở Nepal là ngân hàng dựa trên SMS. Để kích hoạt dịch vụ này, người dùng nhận được số PIN cần thiết cho ứng dụng ngân hàng di động. (Hình 5)
Hình 5: Mẫu thanh toán với ứng dụng
ngân hàng di động NMB của Nepal
Nguồn: http://www.nmb.com.np/
4.2. Kinh nghiệm của một số nước khác
Phần Lan là một trong những quốc gia tiên phong trong dịch vụ tài chính di động, trong đó, ngân hàng Merita bắt đầu tính năng ngân hàng di động đầu tiên vào năm 1997. Khách hàng có thể kiểm tra số dư ngân hàng của họ bằng SMS và ngân hàng cung cấp các hoạt động ngân hàng cơ bản thông qua điện thoại di động (Boor và Braguinsky, 2013). Xu hướng phát triển ngân hàng di động trên điện thoại di động và các ứng dụng ngân hàng di động với sự hỗ trợ của Internet đang tiếp tục phát triển nhanh chóng tại Phần Lan.
Tại Mỹ, số lượng người tiêu dùng dịch vụ ngân hàng di động đạt 108 triệu người vào năm 2017. Khi Apple giới thiệu Iphone, mức độ hài lòng của người tiêu dùng trực tuyến cao hơn. Do sự khác biệt về kĩ thuật giữa máy tính cá nhân, điện thoại thông minh, máy tính bảng ngày càng thu hẹp, với việc máy tính là vật trung gian giữa máy tính để bàn và thiết bị cầm tay nên ngân hàng di động đang có xu hướng thay thế ngân hàng trực tuyến dựa trên máy tính. Mặc dù vậy, cũng có những rào cản nhất định như cần phải có một mạng di động tốc độ cao cho người dùng; cơ sở hạ tầng ngân hàng đáp ứng cho ngân hàng di động như một dịch vụ bổ sung; thói quen sử dụng mạng lưới ATM và điểm bán hàng đã mang lại khả năng tiếp cận tài chính tốt có thể làm giảm mong muốn trải nghiệm tính hữu ích của ngân hàng di động.
5. Một số khuyến nghị phát triển ngân hàng di động hướng tới mục tiêu tài chính toàn diện
Thứ nhất, nghiên cứu đã tổng quan, xác định các rủi ro công nghệ đi kèm với việc áp dụng ngân hàng di động như rủi ro hoán đổi SIM, lỗ hổng SSL, rò rỉ dữ liệu bí mật, gian lận di động và các cuộc tấn công phần mềm độc hại đã được xác định là rủi ro bảo mật phổ biến mà ngân hàng di động phải đối mặt. Các rủi ro này có đặc điểm liên tục phát triển để chống lại các biện pháp an toàn nhằm giảm thiểu rủi ro mà các ngân hàng đã đưa ra. Điều đó ngụ ý rằng, các ngân hàng phải liên tục nghiên cứu, giám sát để đảm bảo hệ thống phòng thủ được cập nhật và đủ mạnh.
Thứ hai, cần có một khuôn khổ tổng thể để giải quyết tất cả các khía cạnh như xem xét, đánh giá rủi ro liên tục; kiểm soát thiết bị; kiểm soát truy cập mạng; bảo vệ và quản lí dữ liệu; kiểm soát các ứng dụng người dùng; giáo dục và sử dụng các phương pháp tiếp cận mới như phân tích dữ liệu lớn, phân tích hành vi.
Thứ ba, vùng phủ sóng điện thoại di động không nhất thiết phải là 100%. Tuy nhiên, yếu tố này cũng nên được xem xét trong thiết kế sản phẩm ngân hàng di động. Ví dụ, M-Pesa là một sản phẩm đơn giản và dễ sử dụng, hoạt động trên điện thoại di động thông thường và không cần truy cập Internet. Bên cạnh đó, các dịch vụ tài chính di động đơn giản có thể tiếp cận tài chính ở các vùng nông thôn, vùng sâu, vùng xa nơi có cơ sở hạ tầng còn yếu kém. Phát hiện này có ảnh hưởng đến việc các ngân hàng lựa chọn mô hình ngân hàng di động phù hợp với đặc điểm dân cư, kinh tế, xã hội. Cụ thể, tại vùng sâu, vùng xa, kinh tế khó khăn có thể lựa chọn mô hình ngân hàng di động dựa trên nền tảng SMS, MMS; tại các vùng kinh tế phát triển có thể lựa chọn mô hình ngân hàng di động dựa trên khách hàng.
Thứ tư, các rủi ro liên quan đến ngân hàng di động được tổng hợp như rủi ro lỗ hổng OpenSSL, rủi ro phần mềm độc hại, hacking hệ thống, rủi ro hoán đổi SIM, gian lận trên thiết bị di động… là các rủi ro công nghệ. Do vậy, các ngân hàng triển khai dịch vụ ngân hàng di động cần thiết kế tổ chức giám sát rủi ro công nghệ ngân hàng di động để ứng phó, nghiên cứu kịp thời những rủi ro công nghệ phát sinh trong tương lai. Một số chiến lược áp dụng giảm thiểu rủi ro ngân hàng di động được khuyến khích áp dụng như chiến lược sử dụng xác thực hai yếu tố, chiến lược mã hóa, chiến lược cô lập, chiến lược quyền truy cập trên quyền, chiến lược sử dụng sinh trắc học. Theo đó, các ngân hàng thương mại thực hiện dịch vụ ngân hàng di động cần lựa chọn chiến lược giảm thiểu rủi ro phù hợp với điều kiện tài chính, đặc điểm kinh tế, xã hội của khu vực dân cư nhằm hướng đến việc sử dụng một cách tối ưu nguồn lực của ngân hàng thương mại.
Thứ năm, việc phát triển tài chính toàn diện trên nền tảng ngân hàng di động mang nặng tính chất của công nghệ, một số thiết bị hiện đại có chi phí sử dụng cao nên không phải người dân nào cũng có điều kiện sở hữu và vận hành sử dụng tốt. Chính vì vậy, các ngân hàng thương mại cần tăng cường truyền thông, hướng dẫn sử dụng ngân hàng di động; đưa ra những cảnh báo rủi ro và giải pháp giúp người dân vận hành, sử dụng ngân hàng di động đảm bảo an toàn, hiệu quả. Khi nhận thức người dân được nâng cao, tập quán cũ được thay thế bởi thói quen, tính tiện dụng và lợi ích của ngân hàng di động sẽ hướng tới thực hiện tốt mục tiêu tài chính toàn diện. Đây có thể là kênh tín dụng tiêu dùng phù hợp cho những người nghèo, người yếu thế tránh bị sập bẫy tín dụng đen và phát triển kinh tế hộ gia đình.
Tài liệu tham khảo:
1. Asian Development Bank, (2014). Phát triển khu vực tài chính ở Trung và Tây Á, Frankfurt.
2. Bankable Frontier Associates LLC, (2008). Managing the risk of mobile banking technology, Nairobi.
3. Jonh Njau Karanja, (2017). Investigation in to the risk facing mobile banking: A case of commercial bank in Kenya, United State International University Africa.
4. Nebaba Lubayo Monda, (2020). Đánh giá rủi ro công nghệ ngân hàng di động tại ngân hàng thương mại Kenya, Nairobi, Kenya.
5. Neha khurana, (2018). A Study of Impact of Financial Technology on Banking Sector in India, International Journal in Management and Social Science.
6. Pasang Sherpa, (2015). Phát triển và tác động của ngân hàng di động tại Nepal, Turku University of Applied Sciences.
7. Patrick Njoroge, (2020). Hành trình chuyển đổi kĩ thuật số tại Kenya, Nairobi, Kenya.
8. Thomas Glaessner, Tom Kellermann và Valerie Mc Nevin, (2002). Bảo mật điện tử: Giảm thiểu rủi ro trong các giao dịch tài chính - Các vấn đề về chính sách công, World Bank.
9.https://tapchitaichinh.vn/ngan-hang/thuc-trang-va-giai-phap-phat-trien-ngan-hang-so-o-viet-nam-331534.html