Ứng dụng công nghệ xác thực trong giao dịch tại ngân hàng thương mại cổ phần xuất nhập khẩu việt nam

HỒ CHÍ MINH ĐẶNG PHẠM THẾ BẢO ỨNG DỤNG CÔNG NGHỆ XÁC THỰC TRONG GIAO DỊCH TẠI NGÂN HÀNG THƯƠNG MẠI CỔ PHẦN XUẤT NHẬP KHẨU VIỆT NAM Chuyên ngành: Tài chính – Ngân hàng Công cụ và

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC KINH TẾ TP HỒ CHÍ MINH

ĐẶNG PHẠM THẾ BẢO

ỨNG DỤNG CÔNG NGHỆ XÁC THỰC TRONG GIAO DỊCH TẠI NGÂN HÀNG THƯƠNG MẠI

CỔ PHẦN XUẤT NHẬP KHẨU VIỆT NAM

LUẬN VĂN THẠC SĨ KINH TẾ

TP HỒ CHÍ MINH – 2019

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC KINH TẾ TP HỒ CHÍ MINH

ĐẶNG PHẠM THẾ BẢO

ỨNG DỤNG CÔNG NGHỆ XÁC THỰC TRONG GIAO DỊCH TẠI NGÂN HÀNG THƯƠNG MẠI

CỔ PHẦN XUẤT NHẬP KHẨU VIỆT NAM

Chuyên ngành: Tài chính – Ngân hàng

(Công cụ và Thị trường tài chính)

Mã số: 8340201 LUẬN VĂN THẠC SĨ KINH TẾ

NGƯỜI HƯỚNG DẪN KHOA HỌC:

TS PHẠM TỐ NGA

TP HỒ CHÍ MINH - 2019

LỜI CAM ĐOAN

Tôi xin cam đoan rằng luận văn: “Ứng dụng công nghệ xác thực trong giao dịch tại Ngân hàng Thương mại Cổ phần Xuất Nhập Khẩu Việt Nam” là công trình nghiên cứu độc lập của tôi

Các số liệu sử dụng trong bài nghiên cứu là trung thực và có nguồn gốc trích dẫn rõ ràng

TP HCM, ngày 20 tháng 09 năm 2019

Tác giả

Đặng Phạm Thế Bảo

MỤC LỤC TRANG PHỤ BÌA

LỜI CAM ĐOAN

MỤC LỤC

DANH MỤC CHỮ VIẾT TẮT

DANH MỤC BẢNG BIỂU

DANH MỤC HÌNH ẢNH

TÓM TẮT

CHƯƠNG 1: GIỚI THIỆU ĐỀ TÀI 1

1.1 Lý do chọn đề tài 1

1.2 Mục tiêu nghiên cứu 2

1.2.1 Mục tiêu tổng quát 2

1.2.2 Mục tiêu cụ thể 2

1.3 Câu hỏi nghiên cứu 3

1.4 Đối tượng và phạm vi nghiên cứu 3

1.4.1 Đối tượng nghiên cứu 3

1.4.2 Phạm vi nghiên cứu 3

1.5 Phương pháp nghiên cứu 3

1.6 Ý nghĩa của đề tài 3

1.7 Kết cấu của luận văn 4

CHƯƠNG 2: VẤN ĐỀ ỨNG DỤNG CÔNG NGHỆ XÁC THỰC TRONG GIAO DỊCH TẠI NGÂN HÀNG TMCP XUẤT NHẬP KHẨU VIỆT NAM 5

2.1 Tổng quan về Ngân hàng TMCP Xuất Nhập Khẩu Việt Nam 5

2.1.1 Thành lập 5

2.1.2 Địa bàn hoạt động 5

2.1.3 Ngành nghề kinh doanh 6

2.1.4 Mô hình tổ chức 6

2.1.5 Nhân sự 8

2.1.6 Tình hình hoạt động kinh doanh 8

2.2 Vấn đề ứng dụng công nghệ xác thực trong giao dịch tại Eximbank 8

CHƯƠNG 3: CƠ SỞ LÝ THUYẾT VÀ PHƯƠNG PHÁP NGHIÊN CỨU 15

3.1 Tổng quan về hoạt động ngân hàng 15

3.1.1 Hoạt động ngân hàng 15

3.1.2 Rủi ro trong hoạt động ngân hàng 16

3.1.3 Sự an toàn trong giao dịch ngân hàng 17

3.2 Xác thực và các công nghệ xác thực 18

3.2.1 Xác thực 18

3.2.2 Công nghệ xác thực 19

3.2.2.1 Phương pháp xác thực trực quan 19

3.2.2.2 Phương pháp xác thực điện tử 20

3.2.2.3 Công nghệ xác thực sinh trắc học 23

3.3 Lược khảo một số nghiên cứu liên quan 32

3.4 Phương pháp nghiên cứu 32

CHƯƠNG 4: THỰC TRẠNG SỬ DỤNG CÔNG NGHỆ XÁC THỰC TRONG GIAO DỊCH TẠI NGÂN HÀNG TMCP XUẤT NHẬP KHẨU VIỆT NAM 37

4.1 Các phương pháp xác thực được triển khai tại Eximbank 37

4.1.1 Dịch vụ ngân hàng tại quầy 37

4.1.2 Dịch vụ ngân hàng điện tử (E-banking) 38

4.1.3 Dịch vụ thanh toán thẻ 40

4.2 Tình hình ứng dụng công nghệ xác thực trong giao dịch tại Eximbank 43

4.2.1 Công nghệ xác thực bằng chữ ký tay 43

4.2.2 Công nghệ xác thực giao dịch E-Banking 43

4.2.3 Công nghệ xác thực dấu vân tay 48

4.3 Đánh giá thực trạng việc ứng dụng công nghệ xác thực giao dịch tại Eximbank 51

4.3.1 Thành công 51

4.3.2 Hạn chế và nguyên nhân 51

CHƯƠNG 5: KẾT LUẬN VÀ KHUYẾN NGHỊ GIẢI PHÁP 55

5.1 Kết luận 55

5.2 Khuyến nghị giải pháp 56

5.2.1 Khuyến nghị Eximbank 56

5.2.1.1 Đẩy mạnh công tác tư vấn, tiếp thị khách hàng 57

5.2.1.2 Hoàn thiện hệ thống công nghệ thông tin 58

5.2.1.3 Xây dựng, củng cố nguồn nhân lực 59

5.2.1.4 Hoàn thiện quy trình, quy chế 60

5.2.1.5 Đẩy mạnh công tác truyền thông khách hàng 61

5.2.2 Khuyến nghị cơ quan nhà nước 61

5.3 Hạn chế của đề tài 62

TÀI LIỆU THAM KHẢO

DANH MỤC CHỮ VIẾT TẮT

CP : Cổ phần

Eximbank : Ngân hàng thương mại Cổ phần Xuất Nhập Khẩu Việt Nam

DANH MỤC BẢNG BIỂU

DANH MỤC HÌNH

TÓM TẮT

Ngày nay, với sự phát triển vượt bậc của công nghệ, các hoạt động tài chính toàn cầu ngày càng được số hóa, các ngân hàng thương mại không ngừng đa dạng hóa các sản phẩm dịch vụ trên nền tảng công nghệ hiện đại, nâng cao tính cạnh tranh Tuy nhiên, bên cạnh đó, hệ thống ngân hàng cũng phải đối mặt với những thách thức từ tội phạm công nghệ cao, đặc biệt là vấn đề gian lận danh tính Vì thế, việc xác thực chính xác giao dịch của khách hàng trở thành vấn đề đặc biệt quan trọng

mà ngân hàng cần quan tâm Điều này không những hạn chế rủi ro cho ngân hàng, bảo toàn tài sản khách hàng, mà còn góp phần vào sự phát triển bền vững của hệ thống ngân hàng Sử dụng phương pháp nghiên cứu tài liệu, trên cơ sở tổng hợp và phân tích lý thuyết từ các bài nghiên cứu, tài liệu chuyên ngành, sách báo… tác giả thống kê lại các công nghệ xác thực được ứng dụng trong các giao dịch ngân hàng hiện nay, nhận thấy việc ứng dụng công nghệ xác thực đa yếu tố ( tối thiểu là 2 yếu tố) sẽ giúp hoạt động giao dịch ngân hàng được an toàn hơn Thêm vào đó, với việc

mô tả thực trạng ứng dụng công nghệ xác thực tại Ngân hàng thương mại cổ phần Xuất Nhập Khẩu Việt Nam (Eximbank) đã giúp tác giả nhận thấy xu hướng công nghệ xác thực mà khách hàng sử dụng cho giao dịch của mình Dựa trên phương pháp phân tích và tổng kết kinh nghiệm, tác giả đề xuất những giải pháp ứng dụng công nghệ xác thực giao dịch trong thời gian tới

Từ khóa: công nghệ xác thực, bảo mật ngân hàng, sinh trắc học

ABSTRACT

Today, with the boom of technology, the financial operations globally increasingly digitized, the commercial banks are constantly diversifying products and services based on modern technology, improving competitiveness However, besides that, the banking system also faced challenges from high-tech crime, particularly identity fraud issues Therefore, the authentication accuracy of customer transactions become particularly important issues that banks need attention This not only limiting the risk to the bank, clients preserve their wealth, but also contribute to the sustainable development of the banking system Using document research method, based on the synthesis and analysis of research articles, professional documents, books the author statistics the authentication technologies are applied in the banking sector, and founds that the application of multi-factors authentication technology (at least 2 factors) will help the banking activity is safer Morever, describing reality application of authentication technology at Vietnam Export Import Commercial Joint Stock Bank (Eximbank), the author founds that the trend

in authentication technology using which customers used for their banking transactions Based on analytical method and summed up the experience, the author proposed to Eximbank with the technology application solutions to authenticate banking transactions in the future

Key words: authentication technology, bank security, biometrics

CHƯƠNG 1: GIỚI THIỆU ĐỀ TÀI

Trong chương này, tác giả trình bày chi tiết lý do chọn đề tài; mục tiêu nghiên cứu; câu hỏi nghiên cứu; đối tượng và phạm vi nghiên cứu; phương pháp nghiên cứu; ý nghĩa của đề tài cũng như là kết cấu của luận văn Theo đó, nội dung chương

1 được chia làm 7 phần được đánh số từ 1.1 đến 1.7, tương ứng với từng nội dung

đã được nêu trên

1.1 Lý do chọn đề tài

Với sự phát triển vượt bậc của công nghệ, các hoạt động tài chính toàn cầu ngày càng được số hóa, các ngân hàng thương mại không ngừng đa dạng hóa các sản phẩm dịch vụ trên nền tảng công nghệ hiện đại, nâng cao tính cạnh tranh Tuy nhiên, bên cạnh đó, hệ thống ngân hàng cũng phải đối mặt với những thách thức từ tội phạm công nghệ cao, đặc biệt là vấn đề gian lận danh tính Theo nghiên cứu về nạn gian lận danh tính hàng năm của Javelin Strategy & Research, công ty tư vấn - nghiên cứu thị trường có trụ sở tại Mỹ, năm 2018, số nạn nhân của tội phạm gian lận danh tính tại Mỹ là 14,4 triệu nạn nhân, trong đó bằng cách sử dụng tên nạn nhân để mở tài khoản mới giao dịch, bọn tội phạm đã gây ra thiệt hại 3,4 tỷ USD, tăng 0,4 tỷ USD so với năm 2017 (Javelinstrategy, 2019)

Mặc dù báo cáo đánh giá lấy trọng tâm là thị trường Mỹ, nhưng với sự hòa nhập vào nền kinh tế toàn cầu ngày càng sâu rộng như hiện nay thì Việt Nam cũng

sẽ phải đối mặt với những luồng gian lận điện tử đang có xu hướng chảy vào những nơi có công nghệ thấp hơn Thực tế đã chứng minh, năm 2018, thiệt hại do virus máy tính gây ra đối với người dùng Việt Nam đã lên mức kỷ lục 14.900 tỷ đồng, tương đương 642 triệu USD, nhiều hơn 21% so với mức thiệt hại của năm 2017 (Bkav, 2018) Chính vì thế, việc đầu tư vào giải pháp công nghệ phòng ngừa gian lận là cần thiết và đặc biệt quan trọng đối với hệ thống ngân hàng Việt Nam trong công cuộc chuyển đổi số hóa hiện nay

Là một ngân hàng lớn tại Việt Nam, Ngân hàng thương mại cổ phần Xuất Nhập khẩu Việt Nam (Eximbank) luôn chú trọng đáp ứng nhu cầu ngày càng cao của khách hàng Eximbank không ngừng ứng dụng công nghệ ngân hàng hiện đại, đặt tiêu chí an toàn, bảo mật lên hàng đầu để tạo niềm tin cho khách hàng và tạo nền tảng khi cạnh tranh hội nhập

Vậy hiện tại Eximbank đã ứng dụng những công nghệ xác thực nào cho các giao dịch với khách hàng và những công nghệ xác thực này có đủ sức giúp Eximbank đương đầu trước những thách thức của tình hình tội phạm công nghệ cao ngày càng gia tăng như hiện nay?

Chính vì thế, tác giả đã chọn đề tài “Ứng dụng công nghệ xác thực trong giao dịch tại Ngân hàng thương mại cổ phần Xuất Nhập khẩu Việt Nam” cho luận văn thạc

sĩ của mình Việc tìm hiểu về những tiến bộ công nghệ xác thực sẽ rất cần thiết, để từ

đó, Eximbank có thể đánh giá lại chiến lược xác thực trên nền tảng công nghệ hiện đại, hướng đến một chiến lược xác thực trong tương lai, nâng cao trải nghiệm của khách hàng trên nền tảng bảo mật thông tin giao dịch ngân hàng là mục tiêu chính mà tác giả hướng đến khi thực hiện luận văn này

1.2 Mục tiêu nghiên cứu

1.2.1 Mục tiêu tổng quát

Đề tài nghiên cứu được thực hiện với mục tiêu tổng quát cung cấp giải pháp ứng dụng công nghệ xác thực trong giao dịch cho Ngân hàng TMCP Xuất Nhập Khẩu Việt Nam dựa trên nền tảng phát triển của công nghệ xác thực, góp phần đảm bảo an toàn trong giao dịch ngân hàng

1.2.2 Mục tiêu cụ thể

Mục tiêu cụ thể của đề tài bao gồm:

 Đánh giá thực trạng các công nghệ xác thực đang được Eximbank triển khai áp dụng

 Đề xuất giải pháp ứng dụng công nghệ xác thực trong giao dịch tại Eximbank trong thời gian tới

1.3 Câu hỏi nghiên cứu

Để thực hiện được những mục tiêu cụ thể trên, đề tài tập trung trả lời các câu hỏi nghiên cứu sau:

 Hiện nay, các giao dịch ngân hàng đang được xác thực bằng những hình thức xác thực nào?

 Thực trạng ứng dụng công nghệ xác thực trong giao dịch tại Eximbank như thế nào?

 Eximbank cần những giải pháp gì cho việc ứng dụng công nghệ xác thực giao dịch trong thời gian tới?

1.4 Đối tượng và phạm vi nghiên cứu

1.4.1 Đối tượng nghiên cứu

Đề tài chọn công nghệ xác thực trong giao dịch ngân hàng làm đối tượng nghiên

cứu của mình

1.4.2 Phạm vi nghiên cứu

Đề tài tập trung phân tích tình hình ứng dụng công nghệ xác thực trong giao dịch tại Eximbank, giai đoạn 2011-2018 (2011 là thời Eximbank bắt đầu triển khai dịch vụ ngân hàng điện tử Internet Banking và Mobile Banking)

1.5 Phương pháp nghiên cứu

Đề tài chủ yếu sử dụng các phương pháp phân tích, tổng hợp, thống kê và so sánh các thông tin thứ cấp được thu thập từ nguồn nội bộ của Eximbank, tài liệu chuyên ngành, sách báo, Internet… để làm cơ sở lý luận và phân tích thực trạng của việc ứng dụng công nghệ xác thực trong giao dịch tại Eximbank

1.6 Ý nghĩa của đề tài

Đề tài thống kê lại các công nghệ xác thực đang đươc sử dụng trong các giao dịch tài chính ngân hàng, đồng thời đề tài có thể giúp Eximbank có một cái nhìn tổng quan thực trạng công nghệ xác thực giao dịch, theo đó Eximbank có thể hướng đến một chiến lược ứng dụng công nghệ xác thực mới trong tương lai, nâng cao trải nghiệm của khách hàng trên nền tảng bảo mật thông tin giao dịch ngân hàng

1.7 Kết cấu của luận văn

Nội dung của đề tài bao gồm 5 chương:

Chương 1: Giới thiệu đề tài

Chương 2: Vấn đề ứng dụng công nghệ xác thực trong giao dịch tại Ngân hàng TMCP Xuất Nhập Khẩu Việt Nam

Chương 3: Cơ sở lý thuyết và phương pháp nghiên cứu

Chương 4: Thực trạng sử dụng công nghệ xác thực trong giao dịch Ngân hàng TMCP Xuất Nhập Khẩu Việt Nam

Chương 5: Kết luận và khuyến nghị giải pháp

Tóm tắt chương 1: Nội dung của chương 1 chủ yếu là giới thiệu về đề tài mà tác giả

đã chọn để thực hiện luận văn thạc sỹ của mình Lý do chọn đề tài đã được tác giả trình bày chi tiết nhằm giúp người đọc hiểu hơn yêu cầu cấp thiết của vấn đề nghiên cứu Thông qua các mục tiêu nghiên cứu, câu hỏi nghiên cứu, đối tượng và phạm vi nghiên cứu, phương pháp nghiên cứu, ý nghĩa của đề tài đã được trình bày, người đọc có thể

dễ dàng nắm bắt được mục tiêu chính của đề tài hướng đến cũng như biết được những viêc mà tác giả phải làm để đạt được mục tiêu trên, qua đó hiểu được ý nghĩa của việc thực hiện đề tài Sau cùng, người đọc dễ dàng hình dung được những nội dung trọng tâm mà luận văn sẽ trình bày trong phần kết cấu của luận văn

CHƯƠNG 2: VẤN ĐỀ ỨNG DỤNG CÔNG NGHỆ XÁC THỰC TRONG GIAO DỊCH TẠI NGÂN HÀNG TMCP XUẤT NHẬP KHẨU VIỆT NAM

Chương 2 tập trung trình bày về vấn đề nghiên cứu của đề tài, đó là vấn đề ứng dụng công nghệ xác thực trong giao dịch tại Ngân hàng TMCP Xuất Nhập Khẩu Việt Nam Nội dung của chương 2 bao gồm 2 phần: Phần 1-Tổng quan về Ngân hàng TMCP Xuất Nhập Khẩu Việt Nam; Phần 2-Vấn đề ứng dụng công nghệ xác thực trong giao dịch tại Ngân hàng TMCP Xuất Nhập Khẩu Việt Nam

2.1 Tổng quan về Ngân hàng TMCP Xuất Nhập Khẩu Việt Nam

2.1.1 Thành lập

Ngân hàng Xuất Nhập Khẩu Việt Nam ( tiền thân của Ngân hàng TMCP Xuất Nhập Khẩu Việt Nam) được thành lập vào ngày 24/05/1989 theo Quyết định số 140/CT của Chủ tịch Hội đồng Bộ trưởng Đến ngày 17/01/1990, Ngân hàng chính thức đi vào hoạt động Tháng 04/1992, Ngân hàng được Thống đốc Ngân hàng Nhà Nước Việt Nam cấp Giấy phép hoạt động số 11/NH-GP ký ngày 06/04/1992 với số vốn điều lệ đăng ký là 50 tỷ đồng, hoạt động trong thời gian là 50 năm và đổi tên thành Ngân hàng Thương Mại Cổ Phần Xuất Nhập Khẩu Việt Nam (viết tắt là

“Eximbank”) Eximbank là một trong những ngân hàng thương mại cổ phần đầu tiên được thành lập tại Việt Nam

2.1.2 Địa bàn hoạt động

Hiện nay, Eximbank hoạt động với một (1) Trụ sở chính ( Hội sở chính) đặt tại tầng 8, Văn phòng số L8-01-11+16, tòa nhà Vincom Center, số 72 Lê Thánh Tôn, Phường Bến Nghé, Quận 1, TP Hồ Chí Minh,Việt Nam; một (1) Văn phòng Đại diện đặt tại Hà Nội và 207 điểm giao dịch (bao gồm 44 Chi nhánh, 163 Phòng giao dịch) tại 22 tỉnh thành trên cả nước Đồng thời, Eximbank cũng thiết lập quan hệ đại

lý với hơn 800 ngân hàng/chi nhánh ngân hàng tại gần 75 quốc gia trên toàn thế giới

2.1.4 Mô hình tổ chức

Năm 2018, để có thể hiện thực hóa được các sứ mệnh của ngân hàng trong việc cung cấp giải pháp và dịch vụ tốt nhất cho khách hàng, Ngân hàng đã thực hiện chuyển đổi mô hình cơ cấu tổ chức của Hội sở thành 8 Khối với vai trò, trách nhiệm

rõ ràng, nâng cao được vai trò phát triển chiến lược và dẫn dắt các hoạt động của Đơn vị kinh doanh: Khối Khách hàng Doanh nghiệp, Khối Khách hàng Cá nhân, Khối Kinh doanh tiền tệ, Khối Quản lý rủi ro, Khối Công nghệ thông tin & Vận hành, Khối Hỗ trợ, Khối Kế hoạch và tài chính, Khối Nguồn nhân lực và các đơn vị chuyên môn độc lập khác

Hiện tại, cơ cấu tổ chức của Eximbank được thể hiện qua mô hình sau:

ĐẠI HỘI ĐỒNG CỔ ĐÔNGBAN KIỂM SOÁT

HỘI ĐỒNG QUẢN TRỊ VĂN PHÒNG HĐQT CÁC HỘI ĐỒNG ỦY BAN

Văn phòng khu vực

Khối Khách hàng doanh nghiệp

và vận hành

Trung tâm tín dụng Phòng Liên minh Phòng Pháp chế và tuân thủ Văn phòng đại diện tại Hà Nội

Hình 2.1: Sơ đồ cơ cấu tổ chức của Eximbank

2.1.5 Nhân sự

Tính đến ngày 31/12/2018, Eximbank có tổng số nhân sự là 6.136 người Trong đó, cán bộ nhân viên nữ chiếm 56% Cán bộ quản lý từ cấp Phó phòng trở lên chiếm 16%

Đội ngũ nhân sự của Eximbank có trình độ chuyên môn nghiệp vụ cao ( 80%

có trình độ Đại học trở lên) và nhiều năm kinh nghiệm trong lĩnh vực tài chính ngân hàng ( 57% nhân sự có kinh nghiệm làm việc tại Eximbank từ 05 năm trở lên)

2.1.6 Tình hình hoạt động kinh doanh

Eximbank là thương hiệu của một ngân hàng được biết đến từ lâu, với thị phần đáng kể trong lĩnh vực xuất nhập khẩu, huy động và cho vay, đồng thời cũng nổi danh trong hoạt động kinh doanh ngoại tệ và vàng Giai đoạn 2011 – 2012 có thể được xem là giai đoạn hoàng kim của sự phát triển của Eximbank, kể từ khi đi vào hoạt động chính thức năm 1990 Với tổng tài sản ngân hàng đạt 183.567 tỷ đồng, lợi nhuận trước thuế đạt 4.056 tỷ đồng trong năm 2011 đã giúp Eximbank vào danh sách top 5 ngân hàng TMCP lớn nhất Việt Nam, cùng với ACB, Sacombank trở thành bộ ba quyền lực tại thị trường ngân hàng phía Nam

Tuy nhiên, sau giai đoạn phát triển rực rỡ, từ năm 2012, kết quả hoạt động kinh doanh của Eximbank bắt đầu lao dốc Từ vị trị hàng đầu trong nhóm các ngân hàng thương mại cổ phần, Eximbank liên tiếp thất bại trong nhiều kế hoạch đề ra trong hai năm liên tiếp 2013 và 2014

Mặc dù thu nhập lãi thuần ngân hàng đạt trên 2.710 tỷ đồng, thế nhưng chi phí hoạt động cũng như các khoản trích lập dự phòng quá cao đã kéo lãi ròng sau thuế ngân hàng xuống rất thấp, chỉ còn 56 tỷ đồng trong năm 2014

Năm 2015, tình hình hoạt động kinh doanh của Eximbank lại càng khó khăn hơn, tổng tài sản của ngân hàng sụt giảm 22,5% so với cùng kỳ năm trước, chỉ còn 124.850 tỷ đồng Các khoản tiền gửi cũng như khoản vay của các TCTD khác đã giảm sút từ 41.043 tỷ đồng năm 2014 xuống còn 7.933 tỷ đồng Eximbank cũng phải thu hồi lại các khoản tiền gửi cũng như cho vay tại các TCTD khác, khiến chỉ tiêu trong tổng tài sản này đã giảm từ 39.463 tỷ năm 2014, xuống 7.833 tỷ năm

2015 Nếu so với năm 2014, lãi thuần từ hoạt động kinh doanh có sự tăng cao, đạt 3.398 tỷ trong năm 2015, thế nhưng một lần nữa, chi phí hoạt động cũng như các khoản trích lập dự phòng đã làm cho lợi nhuận trước thuế 61 tỷ đồng

Ngoài ra, theo kết luận ngày 19/10/2015 của thanh tra Ngân hàng Nhà nước , Eximbank phải điều chỉnh hồi tố phần lãi ảo đã ghi nhận vào các khoản lợi nhuận với số tiền 1.117 tỷ đồng liên quan đến việc mua bán chuyển nhượng bất động sản với Công ty CP Bất động sản Exim (Eximland), theo đó lợi nhuận chưa phân phối của Eximbank tại thời điểm 31/12/2014 bị điều chỉnh từ mức 114 tỷ đồng xuống còn âm 834,6 tỷ đồng và lợi nhuận chưa phân phối tại 31/12/2015 là âm 817,5 tỷ đồng Và cũng chính vì thế, cổ phiếu EIB của Ngân hàng TMCP Xuất Nhập Khẩu Việt Nam (Eximbank) đã bị Sở Giao dịch chứng khoán TP.HCM đưa vào diện cảnh báo kể từ ngày 8/4/2016

Năm 2016, tình hình kinh doanh Eximbank có phần khởi sắc, so với năm

2015, tổng tài sản tăng 3,2%, đạt 128.802 tỷ đồng; nguồn vốn huy động cũng tăng 4%, đạt 102.351 tỷ đồng và dư nợ cho vay tăng 3%, đạt 86.891 tỷ đồng Lợi nhuận sau thuế đạt 309 tỷ đồng, lỗ lũy kế 463 tỷ đồng

Nhằm giúp Eximbank có thể trở thành Ngân hàng thương mại chất lượng hàng đầu tại Việt Nam dẫn dắt bởi tính chuyên nghiệp và liêm chính, năm 2017, một dự

án Tái cấu trúc với tên gọi “New Eximbank” đã được Hội đồng quản trị Eximbank triển khai thực hiện Bằng việc tinh gọn bộ máy quản lý, phát huy tính hiệu quả trong quá trình ra quyết định, thiết lập hệ thống mục tiêu công việc, cơ chế đánh giá khen thưởng, khuyến khích nhân viên phát huy tối đa năng lực…đã giúp Eximbank

có những bước cải tiến cả về chất và lượng trong hoạt động quản trị điều hành và kinh doanh của mình Theo đó, kết quả hoạt động kinh doanh của Eximbank đã có những thành quả tích cực: quy mô tổng tài sản bắt đầu có sự tăng trưởng trở lại sau nhiều năm suy giảm, và từng bước tăng trưởng ổn định đạt xấp xỉ mức tăng chung của toàn ngành (tăng trưởng 16% về tổng tài sản); Các chỉ tiêu kinh doanh chủ yếu như huy động vốn, dư nợ cho vay và thu nhập thuần ngoài lãi đều đạt và vượt kế hoạch của năm (huy động vốn tăng 14,8%, dư nợ cho vay tăng 16,6%, thu nhập

thuần ngoài lãi tăng 24,6%) Trên hết là lợi nhuận trước thuế đạt 1.018 tỷ đồng, đạt trên 167% kế hoạch và gấp 2,5 lần năm 2016 Với những kết quả tích cực về mặt tài chính trong năm 2017, Eximbank hoàn toàn thoát khỏi lỗ lũy kế sau 2 năm kể từ

2105

Bên cạnh đó, nhằm tạo cơ sở vững chắc cho sự phát triển ổn định và bền vững trong tương lai, trong năm 2017, Eximbank cũng đã hoàn tất quá trình điều chỉnh cơ cấu nguồn vốn và cơ cấu tín dụng, đảm bảo tuân thủ nghiêm túc các quy định về an toàn vốn của Ngân hàng nhà nước

Năm 2018, do tác động từ nhiều nguyên nhân khách quan kể cả chủ quan, Eximbank phải đối mặt với nhiều khó khăn, thách thức chưa từng có trong lịch sử phát triển Bị khiếu kiện trong hai (2) vụ khiếu nại lớn liên quan đến tiền gửi của khách hàng Chu Thị Bình tại Chi nhánh Eximbank TP Hồ Chí Minh và nhóm 6 khách hàng gửi tiết kiệm tại PGD Đô Lương - Chi nhánh Eximbank Vinh với tổng

số tiền thiệt hại gần 300 tỷ đồng, đã khiến uy tín của Eximbank bị giảm sút nghiêm trọng Hai vụ việc trên đã gây không ít ảnh hưởng tới tình hình hoạt động của Eximbank khiến lợi nhuận trong năm 2018 chỉ đạt 827 tỷ đồng do phải trích bổ sung dự phòng các khoản phải thu khó đòi của 2 vụ việc là 390 tỷ đồng

Tính đến cuối năm 2018, tổng tài sản của ngân hàng đạt 152.652 tỷ đồng, tăng 2,2% so với đầu năm Trong đó, dư nợ cho vay khách hàng tăng 2,7% đạt 104.043

tỷ đồng Huy động tiền gửi của khách hàng cũng chỉ tăng nhẹ 1,1% đạt 118.694 tỷ đồng Nợ xấu nội bảng của ngân hàng giảm 16,4% so với đầu năm xuống mức 1.921 tỷ đồng, chiếm 1,85% tổng dư nợ cho vay tại Eximbank

Một số chỉ tiêu tài chính cơ bản qua các năm hoạt động:

( Nguồn: Tác giả tổng hợp từ Báo cáo thường niên Eximbank giai đoạn 2011-2018)

Biểu đồ 2.1: Tổng tài sản Eximbank

2.2 Vấn đề ứng dụng công nghệ xác thực trong giao dịch tại Ngân hàng TMCP Xuất Nhập Khẩu Việt Nam

Trong lĩnh vực tài chính ngân hàng, toàn bộ hoạt động hoàn toàn dựa trên cơ

sở của các giao dịch tài chính Việc bảo mật cho các giao dịch tài chính có tầm quan trọng sống còn đối với các tổ chức tài chính vì nó sẽ mang lại niềm tin cho khách hàng, nâng cao giá trị thương hiệu Bởi trong kinh doanh ngân hàng, cũng như tất cả các thương hiệu khác, cốt lõi của thương hiệu là niềm tin nơi khách hàng (Gamble

và cộng sự, 2016)

Đặc biệt, trong những năm gần đây, các dịch vụ ngân hàng kỹ thuật số đang có

xu hướng phát triển mạnh mẽ, thì vấn đề an toàn trong giao dịch thanh toán lại càng phải được các tổ chức tài chính quan tâm nhiều hơn nhằm củng cố niềm tin của khách hàng Bởi đặc thù của dịch vụ ngân hàng số là dựa trên nền tảng công nghệ điện tử, các giao dịch ngân hàng được thực hiện theo hình thức trực tuyến, thông qua mạng Internet, thì rủi ro tiềm ẩn với tội phạm công nghệ cao là vô cùng lớn Theo Gupta và cộng sự (2009) thì các sự cố bảo mật như trộm danh tính và chiếm đoạt tài khoản sẽ làm xói mòn niềm tin của khách hàng, đe dọa đến lợi nhuận của tổ chức ngân hàng Hành vi trộm cắp danh tính đòi hỏi phải đánh cắp thông tin

cá nhân của ai đó với mục đích mạo danh hoặc lừa đảo danh tính Đây là hình thức tội phạm đứng đầu danh sách các khiếu nại của người tiêu dùng trên toàn nước Mỹ đối với Ủy ban thương mại Liên Bang (FTC, 2018) và làm ảnh hưởng đến 14,4 triệu khách hàng Mỹ vào năm 2018 (Javelin Strategy & Research, 2019) Tại Việt Nam, theo Công ty mạng Bkav, thiệt hại do loại tội phạm công nghệ cao gây ra năm 2018

là 14.900 tỷ đồng, đặc biệt, chiếm tỷ trọng lớn trong đó là những thiệt hại xảy ra trong những lĩnh vực ngân hàng, tài chính (Bkav, 2018)

Song hành cùng vấn đề gia tăng của tội phạm thì những công nghệ xác thực cũng ghi nhận những bước phát triển vượt bậc như là một giải pháp chống lại những

giấy tờ tùy thân, mật khẩu và chữ ký của khách hàng, thì ngày nay khách hàng có thể xác thực nhanh chóng hơn mà vẫn đảm bảo sự an toàn bằng công nghệ sinh trắc

học Công nghệ xác thực đóng vai trò quan trọng trong việc cung cấp giải pháp tăng cường bảo mật giao dịch trong hoạt động ngân hàng, đặc biệt là giao dịch ngân hàng điện tử ( FFIEC, 2005) Việc ứng dụng công nghệ xác thực phù hợp với nền tảng công nghệ của ngân hàng sẽ giúp giảm thiểu rủi ro giao dịch gian lận, đảm bảo

an toàn tài sản cho ngân hàng và khách hàng, tạo niềm tin cho khách hàng, góp phần nâng cao khả năng cạnh tranh trên thị trường Chính vì thế, việc tìm hiểu về những tiến bộ công nghệ xác thực sẽ rất cần thiết, để từ đó, ngân hàng có thể đánh giá lại chiến lược xác thực trên nền tảng công nghệ hiện đại, giúp hạn chế tình trạng gian lận tài chính, đảm bảo tính xác thực và an toàn trong giao dịch ngân hàng Nhận thức được điều đó, ngay từ khi triển khai dịch vụ ngân hàng điện tử (E-Banking), Eximbank đã luôn chú trọng đẩy mạnh việc ứng dụng các công nghệ hiện đại nhằm phục vụ khách hàng một cách tốt nhất với tiêu chí an toàn, bảo mật, tạo niềm tin cho khách hàng Các công nghệ xác thực mới như mật khẩu dùng một lần (One Time Password – OTP), Chứng thư số PKI, xác thực dấu vân tay lần lượt được Eximbank triển khai áp dụng cho mục đích xác thực giao dịch trên kênh điện

tử của ngân hàng Những công nghệ này đã và đang được sự tin dùng của khách hàng trong việc bảo mật giao dịch ngân hàng Tuy nhiên, hiện nay công nghệ xác thực đã có những bước phát triển vượt bậc hơn Những công nghệ xác thực mới như sinh trắc học giọng nói, khuôn mặt, mống mắt, tĩnh mạch… hay công nghệ xác thực

đa yếu tố đang được các ngân hàng lớn trên thế giới ứng dụng xác thực trong giao dịch ngân hàng của mình (Citibank, HSBC, …), giúp nâng cao trải nghiệm của khách hàng khi sử dụng các dịch vụ ngân hàng số Điều này buộc Eximbank cần đánh giá lại tình hình ứng dụng công nghệ xác thực trong thời gian qua, để từ đó có hướng đi phù hợp trong bối cảnh cạnh tranh toàn cầu như hiện nay

Đề tài này có thể giúp Eximbank giải quyết vấn đề trên

Tóm tắt chương 2

Nội dung của chương này tập trung vào sự cần thiết của vấn đề nghiên cứu mà tác giả chọn Song hành cùng với tội phạm công nghệ cao đang gia tăng, đặc biệt là tội phạm trộm cấp danh tính thì các công nghệ xác thực đóng vai trò quan trọng trong việc cung cấp giải pháp tăng cường bảo mật giao dịch trong hoạt động ngân hàng, đặc biệt là giao dịch ngân hàng điện tử Chính vì thế, việc tìm hiểu về những tiến bộ công nghệ xác thực sẽ rất cần thiết, để từ đó, ngân hàng có thể đánh giá lại chiến lược xác thực trên nền tảng công nghệ hiện đại, giúp hạn chế tình trạng gian lận tài chính, đảm bảo tính xác thực và an toàn trong giao dịch ngân hàng Và điều này cũng quan trọng đối với Eximbank, buộc Eximbank phải thực hiện trong bối cảnh cạnh tranh toàn cầu như hiện nay

CHƯƠNG 3: CƠ SỞ LÝ THUYẾT VÀ PHƯƠNG PHÁP NGHIÊN CỨU

Chương 3, tác giả trình bày cơ sở lý thuyết và phương pháp nghiên cứu, làm nền tảng kiến thức cơ bản cho việc phân tích thực trạng của vấn đề nghiên cứu sẽ được trình bày trong chương 4 Nội dung của chương 3 tập trung vào 4 phần chính sau: phần 1-Tổng quan về hoạt động ngân hàng; phần 2 - Xác thực và các công nghệ xác thực; phần 3 - Lược khảo một số nghiên cứu liên quan; phần 4 - Phương pháp nghiên cứu

3.1 Tổng quan về hoạt động ngân hàng

3.1.1 Hoạt động ngân hàng

Ngân hàng ra đời như là một tất yếu của lịch sử trước đòi hỏi trao đổi các nguồn vốn tiền tệ và thực hiện hoạt động thanh toán Quá trình hình thành và hoàn thiện hệ thống ngân hàng đã tạo ra các ngân hàng thương mại, được biết đến như là một loại hình tổ chức tín dụng được thực hiện toàn bộ hoạt động ngân hàng và các hoạt động khác nhằm mục tiêu lợi nhuận (Luật các Tổ chức tín dụng năm 2010)

Trong đó, hoạt động ngân hàng tại Việt Nam được Luật các Tổ chức tín dụng năm 2010 nêu rõ là việc kinh doanh, cung ứng thường xuyên một hoặc một số nghiệp

vụ như nhận tiền gửi, cấp tín dụng hay cung ứng dích vụ thanh toán qua tài khoản Nội dung từng nghiệp vụ cụ thể trong hoạt động ngân hàng được hiểu như sau:

 Nhận tiền gửi là hoạt động nhận tiền của tổ chức, cá nhân dưới hình thức tiền gửi không kỳ hạn, tiền gửi có kỳ hạn, tiền gửi tiết kiệm, phát hành chứng chỉ tiền gửi,

kỳ phiếu, tín phiếu và các hình thức nhận tiền gửi khác theo nguyên tắc có hoàn trả đầy

đủ tiền gốc, lãi cho người gửi tiền theo thỏa thuận

 Cấp tín dụng là việc thỏa thuận để tổ chức, cá nhân sử dụng một khoản tiền hoặc cam kết cho phép sử dụng một khoản tiền theo nguyên tắc có hoàn trả bằng nghiệp vụ cho vay, chiết khấu, cho thuê tài chính, bao thanh toán, bảo lãnh ngân hàng

và các nghiệp vụ cấp tín dụng khác

 Cung ứng dịch vụ thanh toán qua tài khoản là việc cung ứng phương tiện thanh toán; thực hiện dịch vụ thanh toán séc, lệnh chi, ủy nhiệm chi, nhờ thu, ủy nhiệm thu,

thẻ ngân hàng, thư tín dụng và các dịch vụ thanh toán khác cho khách hàng thông qua tài khoản của khách hàng

Ngoài các nghiệp vụ nói trên, khái niệm hoạt động ngân hàng còn bao hàm các nghiệp vụ khác như: kinh doanh ngoại tệ, tư vấn tài chính, đầu tư, cung cấp dịch vụ bảo hiểm, cho thuê két sắt và các dịch vụ tài chính khác

Như vậy có thể thấy, đối tượng kinh doanh trực tiếp của ngân hàng là tiền tệ, một loại hàng hoá đặc biệt Các sản phẩm của ngân hàng đều là những dịch vụ liên quan đến tiền tệ mà ngân hàng cung cấp cho khách hàng nhằm đáp ứng nhu cầu của họ

3.1.2 Rủi ro trong hoạt động ngân hàng

Do đặc thù riêng, nên hoạt động kinh doanh của ngân hàng luôn chứa đựng những rủi ro, đó là những biến cố không mong đợi mà khi xảy ra sẽ dẫn đến sự tổn thất

về tài sản của ngân hàng, giảm sút lợi nhuận thực tế so với dự kiến hoặc phải bỏ ra thêm một khoản chi phí để có thể hoàn thành được một nghiệp vụ tài chính nhất dịnh (Trần Huy Hoàng, 2011)

Rủi ro không chỉ làm giảm lợi nhuận của ngân hàng bởi sự tổn thất về tài sản và gia tăng chi phí mà rủi ro còn làm giảm uy tín, sự tín nhiệm của khách hàng và có thể đánh mất thương hiệu của ngân hàng Một khi niềm tin khách hàng giảm sút có thể dẫn đến một cuộc khủng hoảng rút tiền hàng loạt, khiến ngân hàng lâm vào tình trạng mất khả năng thanh toán, ảnh hưởng đến sự tồn vong của hệ thống ngân hàng

Theo Phan Thị Thu Hà và cộng sự (2016) dẫn theo cách phân chia của Ủy ban giám sát Ngân hàng Basel thì cho rằng hoạt động kinh doanh ngân hàng chịu sự tác động của ba loại rủi ro sau: (i) Rủi ro tín dụng: là loại rủi ro phát sinh trong quá trình cấp tín dụng của ngân hàng, biểu hiện trên thực tế qua việc khách hàng không trả được

nợ hoặc trả nợ không đúng hạn cho ngân hàng (ii) Rủi ro thị trường: là khả năng xảy ra tổn thất về thu nhập hoặc vốn của ngân hàng do những biến động bất lợi các yếu tố trên thị trường như biến động lãi suất, tỷ giá, giá chứng khoán, giá hàng hóa (iii) Rủi ro hoạt động: loại rủi ro được gây ra bởi sai sót từ các quy trình, con người, lỗi hệ thống của ngân hàng và các sự kiện từ môi trường bên ngoài

Rủi ro trong hoạt động ngân hàng là không thể tránh khỏi, ngân hàng cũng không thể loại trừ hoàn toàn rủi ro mà chỉ có thể hạn chế, phòng ngừa rủi ro bằng cách xây dựng một quy trình quản lý rủi ro gồm 4 bước bao gồm nhận diện, đo lường, kiểm soát

và xử lý rủi ro

3.1.3 Sự an toàn trong giao dịch ngân hàng

Trong lĩnh vực ngân hàng, một giao dịch được hiểu là hoạt động ảnh hưởng đến tài khoản ngân hàng và được thực hiện bởi chủ tài khoản hoặc theo yêu cầu của người đó (businessdictionary.com) Như vậy, thông qua việc mở một tài khoản ở ngân hàng thì giữa khách hàng và ngân hàng đã thiết lập một mối quan hệ giao dịch với nhau Phạm vi của các giao dịch ngân hàng được xác định là những giao dịch có liên quan đến các sản phẩm và dịch vụ của ngân hàng, bao gồm nghiệp vụ nhận tiền gửi, cấp tín dụng, cung ứng dịch vụ thanh toán qua tài khoản hay một số dịch vụ tài chính khác …

Bản chất của giao dịch ngân hàng là giao dịch dân sự mà trong đó khách hàng và ngân hàng là hai chủ thể, với mục đích là lợi ích hợp pháp mà các bên mong muốn đạt được khi xác lập giao dịch đó (Luật ngân hàng, 2014) Chính vì thế, ngân hàng phải đảm bảo được mọi giao dịch phát sinh của khách hàng là hoàn toàn tự nguyện, được thực hiện bởi chủ tài khoản hoặc người đại diện hợp pháp, nhằm đảm bảo lợi ích tối đa cho khách hàng Nhận biết khách hàng và xác thực thông tin giao dịch theo đó cũng trở thành nhiệm vụ quan trọng trong việc đảm bảo chất lượng an toàn cho giao dịch ngân hàng

Hiện nay, dựa trên nền tảng phát triển của công nghệ, dịch vụ ngân hàng số đang trở thành xu hướng phát triển tất yếu của các NHTM trên thế giới Kênh ngân hàng điện tử sẽ trở thành kênh phân phối chính thực hiện các giao dịch với khách hàng Rủi

ro gian lận trong giao dịch điện tử sẽ trở thành thách thức lớn đối với các NHTM Một lần nữa, xác thực giao dịch điện tử đóng vai trò nòng cốt trong việc giảm thiểu rủi ro gian lận, đảm bảo sự an toàn trong giao dịch, nâng cao niềm tin khách hàng, ổn định hoạt động của ngân hàng

3.2 Xác thực và các công nghệ xác thực

3.2.1 Xác thực

Theo từ điển Webster, “Xác thực” (Tiếng Anh: Authentication) được định nghĩa

là một hành động, quy trình hay phương pháp thể hiện một cái gì đó (chẳng hạn như danh tính, tác phẩm nghệ thuật hoặc giao dịch tài chính) là thật, đúng, chân thật Từ điển Oxford thì cho rằng “xác thực” là hành động chứng minh rằng một cái gì đó là thật hay chứng minh rằng ai đó là một người cụ thể Qua đó, “xác thực” được hiểu là hành động, quy trình, phương pháp chứng minh một đối tượng (người hay vật) đáng tin cậy, là chắc chắn đúng sự thật

Hội đồng kiểm tra các tổ chức tài chính Liên bang Mỹ (FFIEC), trong hướng dẫn các biện pháp bảo mật hiện đại vào năm 2005, cho rằng “xác thực” là mô tả quá trình xác minh danh tính của một người hoặc tổ chức (FFIEC, 2005)

Còn theo Stamp (2011) thì “xác thực” là “quá trình xác định một người dùng có được phép truy cập vào một hệ thống”

Như vậy, tuy có nhiều định nghĩa về “xác thực”, nhưng theo hầu hết định nghĩa trên thì đều cho rằng xác thực là một hành động hay một quá trình xác minh danh tính của một người nào đó, nhằm xác định đây có phải là người mà có quyền thực hiện yêu cầu không Trong bài viết này, thuật ngữ xác thực được hiểu là “quá trình xác định một người dùng (cá nhân hay tổ chức) có được quyền truy cập và thực hiện giao dịch trên một hệ thống kênh phân phối của ngân hàng”

Đối với ngân hàng, tính xác thực là vô cùng cần thiết để đảm bảo rằng mọi thông tin liên quan đến giao dịch đều là thật Đặc biệt trong dịch vụ ngân hàng điện tử, việc xác thực sẽ giúp ngân hàng đảm bảo rằng người đang thực hiện giao dịch trên hệ thống chính là chủ sở hữu tài khoản, được quyền thực hiện các yêu cầu liên quan đến tài khoản hoặc chính là người đã được ủy quyền để làm những việc đó Điều này là vô cùng quan trọng, nhằm đảm bảo mọi giao dịch ngân hàng đều được an toàn

Việc xác thực thông tin được thực hiện dựa trên các yếu tố xác thực Các yếu tố xác thực này được chia làm 3 loại sau:

 Một cái gì mà người sử dụng sở hữu bẩm sinh (“something a person is”), là những dạng sinh trắc học mang tính đặc trưng thuộc sở hữu bẩm sinh của một người, ví

dụ như dấu vân tay, khuôn mặt, mống mắt, giọng nói,…

 Một cái gì mà người sử dụng có (“something a person has”, ví dụ như chứng minh thư hay điện thoại di động,…

 Một cái gì mà người sử dụng biết (“something a person know”), như một mã số định danh cá nhân (Personal Identification Number - PIN), mật khẩu (password),… Trong giao dịch ngân hàng, có rất nhiều phương pháp xác thực, từ đơn giản đến phức tạp Mức độ bảo mật tùy thuộc vào kỹ thuật được sử dụng và cách thức mà nó được triển khai Xác thực đơn yếu tố liên quan đến việc sử dụng một yếu tố để xác minh danh tính của khách hàng, phổ biến nhất là phương pháp sử dụng một mật khẩu Xác thực hai yếu tố được sử dụng rộng rãi nhất khi giao dịch với máy ATM Để rút tiền từ máy ATM, khách hàng phải xuất trình cả một thẻ ATM (một cái gì mà người sử dụng có) và một mật khẩu hoặc mã PIN (một cái gì đó người sử dụng biết ) Xác thực

đa yếu tố sử dụng hai hay nhiều yếu tố để xác minh danh tính của khách hàng Đây là hình thức mang tính bảo mật cao nhưng sẽ không thuận tiện cho khách hàng vì quá nhiều yếu tố cần phải xác minh để hoàn tất một giao dịch, có thể khó khăn hơn để thỏa hiệp và cần được xem xét cho các tình huống có nguy cơ cao

3.2.2 Công nghệ xác thực

Nếu như trước đây, việc xác thực thông tin chỉ được thực hiện chủ yếu bằng phương pháp thủ công, so sánh và đối chiếu trên cơ sở giấy tờ thì hiện nay xác thực thông tin được tích hợp từ thành tựu khoa học và công nghệ hiện đại, cho ra đời hàng loạt công nghệ xác thực chất lượng cao, tạo ra tính đột phá trong công tác xác thực thông tin

Theo đà phát triển, một số công nghệ xác thực đã và đang được hệ thống ngân hàng ứng dụng vào kiểm soát an toàn trong giao dịch như sau:

3.2.2.1 Phương pháp xác thực trực quan

Phương pháp xác thực chủ yếu được ngân hàng sử dụng để xác minh khách khi đến giao dịch tại quầy là gặp mặt trực tiếp (face to face) Khách hàng là người

thường xuyên đến ngân hàng, được các giao dịch viên quen biết xác nhận và dễ dàng trong giao dịch kinh doanh của mình mà không cần phải bổ sung thêm bất kỳ xác nhận nào Vì thế, phương pháp xác thực này được xem là phương pháp đơn giản nhất, nhanh nhất và có chi phí thấp nhất Tuy nhiên, theo phương pháp này, việc xác thực có thể bị sai lệch qua việc cải trang hoặc đối với những người có

ngoại hình giống nhau, ví dụ như cặp song sinh giống hệt nhau

Với những khách hàng không có mức độ quen thuộc thì nhân viên ngân hàng

có thể yêu cầu họ xuất trình các tài liệu như chứng minh nhân dân, hoặc các loại giấy tờ tùy thân khác… Điều này có thể giúp cho nhân viên ngân hàng dễ dàng truy cập và so sánh nhận dạng thông qua hệ thống trực tuyến hình ảnh, chữ ký lưu trữ trong phần thông tin khách hàng Tuy các loại giấy tờ tùy thân có thể được thay đổi hoặc chữ ký cũng có thể bị giả mạo, nhưng đối với cán bộ ngân hàng có kinh nghiệm thì vẫn có thể phát hiện và nhận ra, nên mức độ sai sót cũng được coi là thấp Xét hiệu quả tổng thể, việc xác thực này cũng làm tối thiểu chi phí hoạt động

Đây là hình thức xác thực phổ thông nhất Thông tin Username và Password

sẽ được ngân hàng gửi đến cho khách hàng một khi đã đăng ký thành công việc sử dụng dịch vụ ngân hàng điện tử Muốn đăng nhập hệ thống, khách hàng phải cung cấp thông tin cặp Username và Password, hệ thống tiến hành đối chiếu với dữ liệu

đã được lưu trữ trên hệ thống dữ liệu của ngân hàng Người dùng sẽ được xác thực nếu thông tin trùng khớp, ngược lại thì người dùng sẽ bị từ chối truy cập Mật khẩu xác thực có thể xem là ít tốn kém nhất để thực hiện và cho khách hàng để quản lý Một khi bị quên mật khẩu, khách hàng có thể liên hệ với ngân hàng để thiết lập lại

nó thông qua hệ thống phản ứng trực tuyến hoặc giọng nói tự động có sử dụng những câu hỏi thách thức để xác thực khách hàng trước khi chọn mật khẩu mới Đây là hình thức đơn giản nhất của chứng thực điện tử nên phương pháp này

có tính bảo mật không cao Khách hàng thường chọn mật khẩu dễ dàng đoán biết như ngày sinh, họ tên… và thường sử dụng cùng một mật khẩu để truy cập vào nhiều trang web, điều này làm cho mật khẩu có thể được đoán biết một cách dễ dàng hoặc thu được một cách bất hợp pháp, mang lại rủi ro cho khách hàng trong giao dịch thanh toán

(ii) Xác thực OTP (One Time Password)

Mã xác thực OTP (One Time Password – Mật khẩu dùng một lần) là một chuỗi số hoặc một chuỗi kết hợp cả số với ký tự Nó được tạo ra một cách ngẫu nhiên bởi thiết bị hay một phần mềm, không phải là người dùng Thời gian hiệu lực của mã OTP là rất ngắn, từ 30 giây cho đến vài phút Sau thời gian trên, mã OTP này sẽ hết tác dụng và được thay thế bằng mã mới

Nhờ vào việc kiểm chứng bổ sung thêm yếu tố xác thực, với xác thực OTP, ngân hàng có thể tăng mức độ an toàn lên rất nhiều so với phương thức xác thực bằng Username/Password Ví dụ như với giao dịch chuyển tiền qua Internet Banking, để xác thực người sử dụng, khách hàng thực hiện đăng nhập vào ứng dụng với Username và Password, tạo giao dịch và phải nhập đúng mã xác thực OTP thì giao dịch mới hoàn tất

Hiện nay, một số công nghệ xác thực OTP đã được sử dụng, bao gồm:

 SMS OTP/ Email OTP: mã xác thực OTP sẽ được gửi đến khách hàng thông qua tin nhắn SMS/ Email bởi nhà cung cấp

 Token OTP: OTP được tạo thông qua Token, một thiết bị cầm tay tương tự như USB để tiện việc mang theo

 Smart/ Soft OTP: OTP được tạo thông qua phần mềm được tích hợp vào máy tính hoặc điện thoại của người sử dụng

Trong các hình thức OTP trên thì công nghệ Smart/ Soft OTP được xem là lựa chọn tối ưu vì mã OTP được sinh ra trên điện thoại ít rủi ro hơn so với việc được

truyền tới điện thoại, không phải đối mặt với nguy cơ mất thông tin trên đường truyền như SMS OTP và cũng không phải mang thêm 1 thiết bị, không tốn chi phí mua thiết bị như là Token OTP

(iii) Công nghệ chữ ký điện tử (Electronic Signature)

Ý tưởng về một chữ ký tương tự như chữ ký viết tay mà chúng ta vẫn thường dùng, có thể ký lên các thông tin cần gửi đi nhằm mục đích xác nhận tính trung thực của thông tin và của người gửi tin, đã tạo nên công nghệ chữ ký điện tử Đây là giải pháp được cơ quan quản lý có thẩm quyền ở nhiều nước trên thế giới cũng như Việt Nam công nhận về tính pháp lý (Luật giao dịch điện tử, 2005), khả năng bảo mật của chữ ký điện tử rất cao, có thể giải quyết triệt để các nguy cơ an ninh trong giao dịch trực tuyến

Theo Luật giao dịch điện tử 2005, chữ ký điện tử được tạo lập dưới dạng từ, chữ, số, ký hiệu, âm thanh hoặc các hình thức khác bằng phương tiện điện tử, gắn liền hoặc kết hợp một cách lô gíc với thông điệp dữ liệu, có khả năng xác nhận người ký thông điệp dữ liệu và xác nhận sự chấp thuận của người đó đối với nội dung thông điệp dữ liệu được ký Và chữ ký số là một trong những hình thức của chữ ký điện tử đang được sử dụng khá phổ biến

Công nghệ chứng thư số được tạo bởi hạ tầng khóa công khai (PKI – Pulic Key Infrastructure) đã được xem là giải pháp ưu việt hàng đầu, được các ngân hàng tin tưởng và lựa chọn cho vấn đề xác thực thông tin trong giao dịch ngân hàng điện

tử Chứng thư số được cung cấp thông qua tổ chức dịch vụ chứng thực chữ ký số Sau khi đăng ký thành công dịch vụ chứng thư số, khách hàng sẽ nhận được một thiết bị USB Token (hay PKI Token) có chứa các dữ liệu, bao gồm:

 Khóa công khai (Public Key) và Chứng thư số (Digital Certificate): là các thông tin chung phổ biến của khách hàng, giúp nhận dạng chữ ký số

 Khóa riêng (Private Key): là thông tin bí mật của khách hàng, được dùng để tạo ra chữ ký số

Thiết bị USB Token được sử dụng với mục đích là lưu trữ và bảo vệ an toàn khóa riêng Ngoài USB Token thì thẻ thông minh (Smartcard OTP) cũng có thể

được dùng để lưu trữ những thông tin chứng thực này Dữ liệu trong USB Token được bảo vệ bởi một mã nhận dạng cá nhân – mã PIN (Personal Identification Number) do khách hàng có thể tự quản lý

Để xác thực giao dịch, khách hàng phải sử dụng thiết bị mang chứng thực điện

tử USB Token và mã PIN để mở khóa, bởi vậy loại xác thực này còn được gọi là xác thực hai yếu tố (Two Factors Authentication), trong đó vật mang chứng thư số (USB Token) là một yếu tố và mã số PIN là yếu tố thứ hai Chính vì thế chứng thư

số PKI Token được xem là công nghệ xác thực mang tính bảo mật cao Tuy nhiên,

do phương thức này phức tạp, khó dùng, nên nó phù hợp với khách hàng doanh nghiệp hơn là khách hàng cá nhân, mức độ phổ biến không cao

(iv) Xác thực qua nhiều kênh ( Out-of-band Authentiction)

Theo phương pháp này thì mỗi lần xác thực, mật khẩu hay thông tin xác thực ngẫu nhiên được gửi qua một kênh an toàn khác như điện thoại, SMS, thư điện tử, đến người sử dụng dịch vụ để yêu cầu xác thực Ví dụ, khi khách hàng khởi tạo một giao dịch ngân hàng trực tuyến, ngân hàng có thể thực hiện một cuộc gọi điện thoại hoặc sẽ gửi một mã thông báo đến khách hàng thông qua tin nhắn điện thoại hay email Khách hàng được yêu cầu phải xác nhận thì giao dịch mới hoàn tất

3.2.2.3 Công nghệ xác thực sinh trắc học

Sinh trắc học (Biometrics), được mô tả là “ khoa học của việc thiết lập danh tính của một cá nhân dựa trên các đặc điểm thể chất và/hoặc hành vi của người đó theo cách hoàn toàn tự động hoặc bán tự động” (Jain, Ross, & Nandakumar, 2011) Thuật ngữ này được ghép bởi 2 từ theo tiếng Hy Lạp là bios (sự sống) và metrikos (đo lường) ( Kresimir & Mislav, 2004)

Các đặc điểm thể chất của một con người thường bao gồm như hình dạng khuôn mặt (Face), lòng bàn tay (Palm print), dạng hình học bàn tay (Hand geometry), vân tay (Fingerprint), mống mắt (Iris), võng mạc (Retina), … trong khi chữ ký (Signature), giọng nói (Voice) hay động lực gõ phím (Keystroke) được xem

là những đặc điểm thuộc về hành vi Các định danh sinh trắc học vốn rất khó để sao chép, chia sẻ và phân phối; rất khó để làm giả; không thể bị mất hoặc quên vì cá

nhân sẵn có về mặt thể chất So với các phương pháp xác thực khác mật khẩu hoặc thẻ định danh, các yếu tố xác thực có thể dễ dàng bị quên, bị đánh cắp hoặc bị chia

sẻ, phương pháp xác thực sinh trắc học cho phép nhận diện khách hàng một cách tự nhiên và đáng tin cậy hơn (Jain, Ross, & Nandakumar, 2011)

Hình 3.1: Một số thể loại sinh trắc học

(Nguồn: T.Sabhanayagam, 2018 A Comprehensive Survey on

Various Biometric Systems)

Các đặc trưng sinh trắc học sẽ được nhận dạng và xác thực thông qua hệ thống sinh trắc học (Biometric System) với quá trình hoạt động bao gồm 2 giai đoạn:

 Đăng ký (Enrollment): Đăng ký mẫu sinh trắc học vào hệ thống Mẫu sinh trắc học sẽ được thu nhận, xử lý dưới dạng số hóa, và lưu trữ vào một cơ sở dữ liệu trên đó một ứng dụng phần mềm có thể thực hiện phân tích

 Thẩm định hoặc nhận dạng (Verification/Identification): một quá trình đối sánh (Matching) sẽ được hệ thống thực hiện bằng cách so sánh các đặc trưng sinh trắc học vừa trích chọn với mẫu sinh trắc học đã được lưu sẵn trong hệ thống Dựa trên kết quả đối sánh, hệ thống sẽ khẳng định danh tính của người dùng (hệ nhận dạng, thực hiện chức năng tìm kiếm 1-n) hoặc là một câu trả lời đúng hay sai về đặc

trưng sinh trắc học thu được so với mẫu sinh trắc có từ trước (hệ thẩm định, thực hiện đối sánh 1-1)

Quá trình hoạt động của hệ thống được thể hiện theo sơ đồ hình 3.2:

Hình 3.2: Sơ đồ hoạt động của hệ thống sinh trắc học

(Nguồn: Simon Liu et al,2001 A Practical Guide to Biometric Security Technology)

Diễn giải:

(1) Thu nhận mẫu sinh trắc học đã chọn;

(2) Xử lý sinh trắc học, trích xuất và đăng ký mẫu sinh trắc học;

(3) Lưu trữ mẫu trong kho lưu trữ;

(4) Quét trực tiếp sinh trắc học đã chọn;

(5) Xử lý và trích xuất mẫu sinh trắc học được quét;

(6) Đối sánh mẫu sinh trắc học quét với các mẫu được lưu trữ;

(7) Cung cấp kết quả đối sánh, ra quyết định cho các ứng dụng kinh doanh; (8) Ghi lại một lộ trình kiểm toán an toàn đối với việc sử dụng hệ thống

Với sự phát triển của công nghệ, các đặc trưng sinh trắc học đã được các nhà nghiên cứu phát triển và thử nghiệm, tạo ra nhiều công nghệ sinh trắc học mang tính bảo mật cao Dưới đây là một số công nghệ sinh trắc phổ biến:

(i) Dấu vân tay (Fingerprint Scanner)

Xác thực dấu vân tay là một công nghệ bảo mật sử dụng dấu vân tay của một người để xác định danh tính của người đó Các đường tạo ra một mẫu vân tay được gọi là các rặng núi vân tay và không gian giữa các rặng núi được gọi là thung lũng Vân tay được coi là đặc trưng của mỗi người, được hình thành ngay từ tuần 13 đến

19 của thai nhi và ở lại với một người đến suốt cuộc đời của họ Chính vì thế, dấu vân tay là loại nhận dạng cá nhân đáng tin cậy nhất vì nó không thể bị lãng quên, thất lạc hoặc bị đánh cắp Việc xác minh dấu vân tay có thể là phương pháp hợp lý nhất để xác minh danh tính của một người và đây cũng là nền tảng cốt lõi để sáng

tạo ra công nghệ bảo mật vân tay

Trong lĩnh vực ngân hàng, do mẫu vân tay của mỗi cá nhân có đặc tính duy nhất nên sẽ giúp đảm bảo an toàn trong giao dịch tài khoản, tránh được trường hợp giả mạo chữ ký chủ tài khoản, sử dụng CMND giả khi giao dịch tại quầy hoặc sử dụng thẻ giả, thẻ bị mất cắp để giao dịch tại máy ATM

(ii) Hình học bàn tay (Hand/Finger/ Palm Geometry Scanner)

Được giới thiệu vào năm 1981, công nghệ bảo mật này sử dụng các tính năng như chiều dài và chiều rộng của ngón tay, độ dày ngón tay, khoảng cách giữa các ngón tay, chiều rộng của lòng bàn tay để xác định một người Sử dụng máy quét thông tin, nhẹ nhàng xâm lấn với một diện tích lớn hơn một ngón tay, nên công nghệ này cung cấp khả năng nắm bắt đặc điểm nổi bật hơn dấu vân tay

So với dấu vân tay, hệ thống hình học tay hoạt động tốt hơn trong môi trường khắc nghiệt, nhiều bụi bẩn chẳng hạn như các khu công nghiệp, cho phép chụp cả hai ngón tay và lòng bàn tay in trong một lần quét, cho kết quả định danh chính xác hơn Tuy nhiên, do các thiết bị đọc có kích thước lớn hơn nên đòi hỏi chi phí nhiều hơn

(iii) Tĩnh mạch (Vein Recognition)

Được giới thiệu lần đầu tiên vào năm 2005, công nghệ sinh trắc học tĩnh mạch thu thập hình ảnh của mẫu tĩnh mạch ở ngón tay hoặc mặt sau của bàn tay, đặc trưng duy nhất của mỗi cá nhân Những hình ảnh này được chụp khi một cá nhân

đặt ngón tay hoặc mu bàn tay trên một thiết bị có chứa một luồng ánh sáng hồng ngoại gần và một thiết bị chụp ảnh tích điện kép Hemoglobin trong các tĩnh mạch hấp thụ ánh sáng hồng ngoại gần và tạo ra một ảnh mẫu tĩnh mạch duy nhất của mỗi

cá nhân và được kiểm tra thông qua máy quét với mô hình được đăng kí trước

(iv) Khuôn mặt (Facial Recognition)

Công nghệ nhận dạng khuôn mặt hoạt động bằng cách phân tích một cách có

hệ thống một số trong 80 tính năng cụ thể chung cho một khuôn mặt, được gọi là nút điểm Ví dụ: khoảng cách giữa 2 mắt, chiều rộng của mũi, vị trí xương gò má,

độ sâu của hốc mắt, độ dài của xương hàm, cằm….Những đại lượng số này sau đó được chuyển đổi thành một mẫu mã nhị phân, được gọi là dấu bộ mặt (FacePrint) đại diện cho khuôn mặt trong cơ sở dữ liệu, xác định duy nhất cho mỗi người

Công nghệ này lần đầu tiên được sử dụng trong những năm 1960 với một quá trình thủ công, chỉ xác định vị trí và chỉ định đặc điểm chủ chốt trên khuôn mặt như mắt và mũi Sau đó, các nhà khoa học đã bắt đầu nghiên cứu để sử dụng máy tính vào việc nhận diện mặt người Kể từ đó, phần mềm nhận diện khuôn mặt đã tiến những bước dài Tuy độ chính xác không bằng xác thực tĩnh mạch lòng bàn tay hay mống mắt Tuy nhiên công nghệ này ngày càng hoàn thiện và đã được áp dụng phổ biến tại một số quốc gia

(v) Mống mắt (Iris Scanner/Recognition)

Nhận diện mống mắt, hay còn gọi là quét mống mắt (Iris Scanner hay Iris Recognition) là một dạng công nghệ bảo mật sinh trắc áp dụng thuật toán nhận diện, xác thực một người nào đó dựa trên cấu trúc của mống mắt (Iris Structure) Nó được phát minh bởi Daugman, J vào năm 1993 tại Đại học Cambridge (Anh)

Mống mắt là chiếc nhẫn hình khuyên màu bao quanh con ngươi Hình ảnh mống mắt dưới ánh sáng hồng ngoại bao gồm mô hình kết cấu phức tạp với nhiều thuộc tính cá nhân, ví dụ như sọc, hố và rãnh, cho phép để xác định cá nhân độ tin cậy cao Mống mắt là một cơ quan bảo vệ nội bộ có kết cấu ổn định và đặc biệt, thậm chí giữa các cặp song sinh giống hệt nhau (tương tự như dấu vân tay), và vô cùng khó khăn để phẫu thuật giả mạo Chính vì thế, công nghệ này có mức độ chính

xác cao, không thể nhầm lẫn, linh hoạt và an toàn Tuy nhiên, do chi phí đầu tư công nghệ cao, nên công nghệ này hiện chưa được áp dụng nhiều cho các thiết bị tiêu dùng thông thường

(vi) Võng mạc (Retinal Scan)

Công nghệ quét võng mạc (Retinal Scanning) là công nghệ xác thực dựa trên võng mạc của một người Võng mạc con người có cấu trúc mạng lưới mao mạch hết sức phức tạp và không giống nhau ngay cả đối với trường hợp song sinh Chính vì vậy, phương pháp xác thực này mang lại kết quả đáng tin cậy Ý tưởng về nhận dạng võng mạc được đưa ra bởi Carleton, S và Isadore, G vào năm 1935 Năm

1976, Công ty EyeDentify Inc (Mỹ) tiếp tục nghiên cứu và phát triển Công nghệ quét võng mạc được giới thiệu ra thị trường vào năm 1981

Không giống như mống mắt là duy nhất và bất biến thì cấu trúc võng mạc không bất biến Một số căn bệnh có thể làm cho võng mạc người dùng thay đổi và tiểu đường là một trong số đó Vì thế, tuy có độ bảo mật cao nhưng phương pháp nhận dạng chưa phải là một giải pháp hoàn hảo về mặt thời gian, vì ai cũng có thể mắc bệnh, ảnh hưởng đến chất lượng xác thực của phương pháp này

(vii) Chữ ký (Signature Recognition)

Chữ ký là một phương thức sinh trắc học hành vi thường được sử dụng trong các giao dịch kinh doanh hàng ngày (ví dụ, mua sắm qua thẻ tín dụng) Tuy nhiên, theo thời gian, chữ ký con người có sự biến đổi, nên những nổ lực để phát triển hệ thống nhận dạng chữ ký mang tính chính xác cao đã không thành công

Để đăng ký một chữ ký, người được yêu cầu thực hiện chữ ký một số lần (khoảng 5-6 lần) trên một thiết bị đặc biệt gọi là signature pad hoặc máy tính bảng Các thiết bị điện tử đo lường các số liệu: áp lực, tốc độ, nhịp điệu và sự chuyển động của các thiết bị sử dụng để tạo ra một mẫu chữ ký, và được chuyển đổi thành một khuôn mẫu để lưu trữ giúp xác minh chữ ký trong tương lai

(viii) Giọng nói (Voice Recognition)

Một hệ thống nhận diện giọng nói cũng được cung cấp để xác minh danh tính của một cá nhân bởi các nhà nghiên cứu Hệ thống nhận dạng xác định một người

dựa trên lời nói của họ Giọng nói con người liên quan đến một sự kết hợp của tính năng hành vi và sinh lý Thành phần sinh lý của giọng nói phụ thuộc vào hình dạng

và kích thước của vùng thanh quản, môi, lỗ mũi, và miệng Sự chuyển động của môi, hàm, lưỡi, vòm miệng, và thanh quản tạo thành thành phần hành vi của giọng nói và đó có thể thay đổi theo thời gian do tuổi tác và tình trạng sức khỏe Nội dung phổ của lời nói được phân tích để trích xuất cường độ, thời gian, chất lượng và thông tin, chuyển đổi chúng thành dữ liệu kỹ thuật số, lưu trữ thành tập tin âm thanh

để tạo ra một mẫu giọng nói – voiceprint làm cơ sở so sánh đối chiếu để xác thực

Sự kết nối kém, tiếng ồn, chất lượng của thiết bị ghi âm thấp có thể làm thay đổi chất lượng giọng nói thật, ảnh hưởng đến kết quả xác thực là những nhược điểm thường thấy trong công nghệ xác thực này

(ix) Sinh trắc học khác

Bên cạnh chữ viết tay và công nghệ nhận dạng chữ ký, một lĩnh vực mới của sinh trắc học tập trung vào một số chức năng cơ bắp và dựa trên kỹ năng thực hiện của cá nhân, chẳng hạn như gõ mẫu bàn phím (keystrocke), dáng đi bộ, cử chỉ, điệu bộ… cũng đang dần được nghiên cứu, thử nghiệm cho các ứng dụng xác thực trong các lĩnh vực thanh toán, ngân hàng