Từ 1/7, xác thực giao dịch trực tuyến ngân hàng phải trải qua những cấp bảo mật nào?

Quyết định 2345 của Ngân hàng Nhà nước về giải pháp an toàn, bảo mật trong thanh toán trực tuyến và thẻ ngân hàng chính thức có hiệu lực từ đầu tháng 7 tới. Việc xác thực trong thanh toán trực tuyến ngân hàng trên Internet (gồm Internet Banking và Mobile Banking) sẽ chia làm bốn cấp độ bảo mật khác nhau.

Đơn giản nhất là giao dịch loại A, khách hàng chỉ cần xác thực bằng tên đăng nhập, mật khẩu hoặc mã PIN, và không bắt buộc xác thực tại bước thực hiện giao dịch nếu đã đăng nhập trước đó. Sau 1/7, hình thức này chỉ được áp dụng với các giao dịch tra cứu thông tin; chuyển tiền trong cùng ngân hàng, cùng chủ tài khoản hoặc giao dịch thanh toán hàng hóa, dịch vụ dưới 5 triệu đồng.

Khi chuyển tiền, nạp, rút tiền với ví điện tử dưới 10 triệu đồng mỗi lần và dưới 20 triệu đồng mỗi ngày phải áp dụng giao dịch loại B. Xác thực cấp độ này bằng các hình thức OTP, nhận dạng sinh trắc học gắn với thiết bị cầm tay, hoặc bằng chữ ký điện tử an toàn. Giao dịch thanh toán hàng hóa, dịch vụ có giá trị 5-100 triệu đồng trong một lần hoặc một ngày giao dịch cũng phải áp dụng cấp độ này.

Khi chuyển tiền, nạp, rút tiền từ 1/7, khách hàng sẽ trải qua 4 cấp bảo mật từ A-D

Ở cấp độ bảo mật loại C, khách hàng sẽ phải xác thực sinh trắc học khớp với các nguồn dữ liệu đã định danh. Áp dụng với việc chuyển tiền giá trị 10-500 triệu đồng/lần.

Còn cấp độ bảo mật loại D, yêu cầu kết hợp sinh trắc học với một biện pháp khác như nhập mã OTP; kết hợp phương thức xác thực nhanh trực tuyến (FIDO) với cấp độ xác thực mạnh hơn kèm thêm chữ ký điện tử an toàn. Yêu cầu xác thực này áp dụng với việc chuyển từ 10 triệu đồng trở lên hoặc tổng số tiền chuyển các lần trong ngày quá 20 triệu, giao dịch hàng hóa - dịch vụ trên 100 triệu đồng.

Tổng số tiền chuyển khoản, nạp ví điện tử trên 1,5 tỷ đồng, chuyển tiền ra nước ngoài trên 200 triệu mỗi lần hoặc trên 1 tỷ đồng mỗi ngày cũng phải xác thực cấp độ cao nhất.

Ngoài ra, khách hàng cá nhân trước khi giao dịch lần đầu bằng ứng dụng ngân hàng (mobile banking) hoặc giao dịch trên điện thoại, máy tính khác với thiết bị đang giao dịch lần gần nhất cũng phải được nhận dạng sinh trắc học.

Việc đăng ký sinh trắc học, theo thông báo từ các ngân hàng, thực hiện trực tiếp qua ứng dụng trực tuyến. Thiết bị này phải có chức năng quét khuôn mặt hoặc vân tay và có tính năng đọc NFC (Near- Field Communications - kết nối không dây trong phạm vi ngắn). Trường hợp thiết bị không đủ chức năng, khách hàng có thể tới chi nhánh, phòng giao dịch ngân hàng gần nhất để được hỗ trợ.

Quyết định 2345 cũng nêu rõ các biện pháp xác thực có tính bảo mật cao sẽ áp dụng được với cả biện pháp xác thực có tính bảo mật thấp hơn. Cụ thể, biện pháp xác thực giao dịch loại D có thể xác thực giao dịch loại A, B, C. Cấp C có thể xác thực giao dịch cấp A, B và biện pháp xác thực cấp B có thể xác thực giao dịch cấp A.

>> Chưa kịp cài sinh trắc học, người dùng có thể chuyển tiền từ 1/7 được không?