Sự chia sẻ đồng lợi, đảm bảo an toàn
Để giải thích một cách đơn giản về Open Banking, hãy hình dung ở một lớp mẫu giáo, tất cả những đứa trẻ đều mang một hộp đồ chơi của riêng chúng đến lớp. Open Banking giống như một quy tắc đặc biệt (có thể được đưa ra bởi cô giáo), cho phép 2 đứa trẻ hoặc nhiều hơn có thể chia sẻ đồ chơi của nhau, nhưng chỉ khi tất cả những đứa trẻ đó đều đồng ý và tuân theo các quy tắc an toàn.
Cốt lõi của Open Banking là một hệ thống cho phép các nhà cung cấp dịch vụ tài chính bên thứ ba truy cập thông tin ngân hàng của người tiêu dùng thông qua việc sử dụng giao diện lập trình ứng dụng (API). Quyền truy cập này được cấp với sự đồng ý của người tiêu dùng nhằm gia tăng cải thiện dịch vụ và trải nghiệm khách hàng.
 |
Bà Nguyễn Phương Thanh, Phó tổng giám đốc Dịch vụ Tài chính, Công ty cổ phần Tư vấn EY Việt Nam |
API là nền tảng công nghệ của Open Banking, chúng hoạt động như những chiếc chìa khóa đặc biệt cho phép các hệ thống khác nhau giao tiếp và chia sẻ dữ liệu một cách liền mạch, hoặc theo cách so sánh với một lớp học mẫu giáo ở trên, API chính là chiếc chìa khóa để mở được hộp đồ chơi của mỗi đứa trẻ trong lớp học. Trong bối cảnh Open Banking, API cho phép các nhà cung cấp bên thứ ba truy cập dữ liệu ngân hàng và cung cấp các dịch vụ tài chính mục tiêu. Ví dụ, API có thể cho phép một ứng dụng quản lý ngân sách truy cập thông tin tài khoản ngân hàng của người dùng (tất nhiên với sự cho phép của họ) để cung cấp các lời khuyên hay sản phẩm tài chính được cá nhân hóa.
Ngày 25/9/2024, Ngân hàng Nhà nước công bố dự thảo Thông tư quy định về triển khai giao diện lập trình ứng dụng mở trong ngành ngân hàng, sau khi lấy ý kiến từ các cơ quan, tổ chức, cá nhân trong và ngoài nước. Bản dự thảo nêu rõ các yêu cầu và quy định mới về việc triển khai API mở (Open API) trong ngành dịch vụ tài chính, với mục tiêu chuẩn hóa API với các quy tắc về toàn vẹn và bảo mật dữ liệu. Đây là một bước tiến quan trọng cho Việt Nam trong việc xây dựng khung tiêu chuẩn cho một trong những nền tảng cốt lõi, thúc đẩy sự phát triển của Open Banking.
Quy định về Open Banking trên toàn cầu
Open Banking trên thế giới đang được quản lý theo 4 mô hình chính: Quy định (Prescriptive) - các quốc gia có quy định chia sẻ dữ liệu bắt buộc; Hỗ trợ (Facilitative) - các quốc gia có hướng dẫn và tiêu chuẩn để khuyến khích chia sẻ dữ liệu; Thị trường tự do (Market-driven) - không ban hành quy định hay hướng dẫn cụ thể, mà để các yếu tố thị trường tự quyết định, tự điều tiết việc chia sẻ dữ liệu; Cân nhắc (Considerative) - các quốc gia đang trong quá trình nghiên cứu và cân nhắc.
Châu Âu đi đầu trong việc quản lý và hướng dẫn về Open Banking, khởi đầu từ Chỉ thị dịch vụ thanh toán (Payment Services Directive - PSD) năm 2007 nhằm khuyến khích sự đổi mới, cạnh tranh và hiệu quả ở khối Liên minh châu Âu bằng cách góp phần thiết lập một thị trường thanh toán duy nhất. Vào năm 2013, PSD2 được đề xuất để cải thiện và sửa đổi PSD, một bước tiến quan trọng của các quy định hiện hành cho ngành thanh toán, nhằm bảo vệ người tiêu dùng, tăng cường cạnh tranh và đổi mới trong thị trường thanh toán, cũng như tăng cường bảo mật, hỗ trợ phát triển cho các phương thức thanh toán và thương mại điện tử.
PSD2 có hiệu lực đầy đủ vào ngày 14/9/2019, xác định đầy đủ các tiêu chuẩn kỹ thuật để xác định sức mạnh của khách hàng và các giao diện tiêu chuẩn. PSD2 cũng là một quy định quan trọng yêu cầu các ngân hàng mở dịch vụ thanh toán và dữ liệu khách hàng của họ cho các nhà cung cấp thứ ba, thúc đẩy đổi mới và cạnh tranh trong lĩnh vực tài chính của khu vực Liên minh châu Âu và là tiền đề cho các quốc gia khác trên thế giới.
Tại châu Á, Singapore và Hồng Kông (Trung Quốc) là 2 trong những nền kinh tế dẫn đầu ở châu Á có các khung Open Banking toàn diện. Tháng 11/2016, Cơ quan Tiền tệ Singapore cùng Hiệp hội Ngân hàng Singapore đã phát hành Sổ tay API để hướng dẫn các tổ chức tài chính triển khai Open Banking. Tiếp sau đó, Singapore cho phép các tổ chức tài chính tiến hành đăng ký các Open API có sẵn trong ngành tài chính qua cổng thông tin chính thức. Trong khi đó, Cơ quan Tiền tệ Hồng Kông (Trung Quốc) giới thiệu Khung Open API vào tháng 9/2017, nhằm chuẩn bị kỷ nguyên mới của ngân hàng thông minh. Khung API được công bố chính thức ngày 18/7/2018, gồm 4 giai đoạn: Thông tin sản phẩm, Mua sắm và Khách hàng, Thông tin tài khoản, Giao dịch.
 |
Open Banking là sự chia sẻ thông tin trong giới hạn an toàn nhằm mang lại lợi ích cho các bên |
Open Banking tại Việt Nam
Theo một khảo sát mới đây của Ngân hàng Nhà nước, 72,3% tổ chức tín dụng đã và đang dự tính triển khai các API, trong đó 47,6% đã xây dựng các API cho bên các bên thứ ba kết nối; 65% tổ chức tín dụng sẵn sàng triển khai Open API, trong đó 30% tổ chức tín dụng có mức độ sẵn sàng cao đối với Open API. Nhiều tổ chức tín dụng đã xây dựng các API cho phép các bên thứ ba kết nối, triển khai cổng API (API Portal) để các đối tác có thể kết nối vào hệ sinh thái ngân hàng.
VietinBank là một trong những ngân hàng tiên phong trong việc xác định hướng đi và lộ trình triển khai Open Banking, năm 2017 đã ra mắt cổng API Gateway, kết nối với các ví điện tử. Hiện tại, ngân hàng này đã triển khai giải pháp thanh toán cho một loạt các bên thứ ba như trường học, bệnh viện, nộp thuế Etax, thanh toán taxi... Mỗi tháng, VietinBank có trên 55 triệu giao dịch tài chính được thực hiện qua nền tảng ứng dụng API.
BIDV ra mắt hệ thống Open API ngày 29/11/2023, ghi nhận 5.000 lượt thử nghiệm và 30 khách hàng, đối tác đăng ký tích hợp sau 2 tháng, mở ra nhiều cơ hội hợp tác giữa BIDV và các đối tác phát triển phần mềm, Fintech, Bigtech, hỗ trợ việc đẩy nhanh tích hợp dịch vụ ngân hàng lên các nền tảng số mới.
Open Banking đại diện cho một sự thay đổi đáng kể trong ngành tài chính - ngân hàng, mang lại nhiều lợi ích cho người tiêu dùng, các ngân hàng và các nhà cung cấp bên thứ ba.
Tuy nhiên, việc triển khai và áp dụng Open Banking trong hệ thống ngân hàng Việt Nam gặp một số khó khăn do chưa có quy định hướng dẫn về điều kiện pháp lý để có thể sử dụng API của ngân hàng; chưa có đơn vị thẩm định, chứng nhận, cấp phép và kiểm tra các bên thứ ba được cấp phép sử dụng Open API của ngân hàng. Đặc biệt, đối với việc chia sẻ, bảo vệ dữ liệu, ứng dụng Open Banking có thể gặp thách thức về quyền sở hữu và quản trị, quy định bảo mật.
Về quyền sở hữu và quản trị, trước khi Open Banking trở nên phổ biến, các ngân hàng thường được coi là chủ sở hữu và là người giám hộ chính của dữ liệu khách hàng. Các quy định quản lý nội bộ của ngân hàng tập trung vào việc đảm bảo rằng, ngân hàng tiến hành thẩm định kỹ lưỡng khi thu thập dữ liệu khách hàng và hiểu rõ bản chất cũng như mục đích mối quan hệ khách hàng. Với sự ra đời của Open Banking và việc các bên thứ ba có thể được phép truy cập thông tin tài khoản khách hàng, việc này đặt ra những thách thức mới về quyền sở hữu và quản trị dữ liệu của ngân hàng.
Theo đó, các ngân hàng cần xem xét kỹ lưỡng các thỏa thuận hợp đồng với bên thứ ba và khách hàng để đảm bảo các trách nhiệm về quyền sở hữu dữ liệu được xác định rõ ràng. Điều này bao gồm việc xác định ai là người chịu trách nhiệm bảo vệ dữ liệu, cách thức dữ liệu được sử dụng và chia sẻ, cũng như các biện pháp bảo vệ dữ liệu khách hàng khỏi việc sử dụng sai mục đích. Ngoài ra, ngân hàng cần đảm bảo rằng, các bên thứ ba tuân thủ các luật và quy định cụ thể về quyền sở hữu dữ liệu, nhằm bảo vệ quyền lợi của khách hàng.
Về quy định bảo mật, Open Banking mở rộng đáng kể phạm vi cho những kẻ lừa đảo truy cập vào dữ liệu khách hàng nhạy cảm, nên việc có một chương trình xác thực mạnh mẽ là cần thiết hơn bao giờ hết để xác minh danh tính của khách hàng. Do các bên thứ ba sẽ sử dụng Open API cho nhiều loại dịch vụ, ngân hàng cần điều chỉnh mức độ xác thực để phù hợp với mức độ rủi ro. Ngoài ra, các bên liên quan cần triển khai các biện pháp kiểm soát bổ sung như xác thực nhiều lớp, đa yếu tố, yêu cầu xác thực người dùng thông qua một kênh bổ sung (như điện thoại gọi lại, nhắn tin), sinh trắc học và mật khẩu dùng một lần (OTP). Những biện pháp này giúp đảm bảo rằng chỉ những người dùng hợp pháp mới có thể truy cập vào dữ liệu nhạy cảm, giảm thiểu nguy cơ bị lừa đảo và gian lận. Việc áp dụng các biện pháp xác thực mạnh mẽ không chỉ bảo vệ dữ liệu khách hàng, mà còn tăng cường niềm tin của khách hàng vào hệ thống ngân hàng.
Trong thời gian gần đây, nhiều nỗ lực nhằm tăng cường khả năng bảo mật cho hệ thống giao dịch ngân hàng đã được ghi nhận. Hầu hết các tổ chức tài chính hiện nay cung cấp cảnh báo gian lận tức thì cũng như cảnh báo giao dịch gian lận tiềm ẩn và yêu cầu khách hàng xác nhận giao dịch.
Với sự ra đời của PSD2, các tổ chức tài chính cần thực hiện phân tích rủi ro đối với các dữ liệu giao dịch tài chính đã thực hiện. Điều này bao gồm việc phát hiện các luồng dữ liệu giao dịch đáng ngờ và tạo báo cáo kịp thời. Các tổ chức tài chính cần triển khai các hệ thống giám sát và phân tích dữ liệu tiên tiến để nhận diện các hành vi bất thường và phản ứng nhanh chóng trước các mối đe dọa bảo mật.
Ngoài ra, việc nâng cao nhận thức và đào tạo nhân viên về các biện pháp bảo mật cũng là một yếu tố quan trọng. Các tổ chức tài chính cần đảm bảo rằng, nhân viên của họ được trang bị kiến thức và kỹ năng cần thiết để phát hiện và đối phó với các mối đe dọa bảo mật, giúp tạo ra một môi trường an toàn hơn cho các giao dịch tài chính và bảo vệ quyền lợi của khách hàng.
Open Banking đại diện cho một sự thay đổi đáng kể trong ngành tài chính - ngân hàng, mang lại nhiều lợi ích cho người tiêu dùng, các ngân hàng và các nhà cung cấp bên thứ ba. Bằng cách tiếp nhận Open Banking, Việt Nam có thể nâng cao tính cạnh tranh của ngành tài chính, thúc đẩy đổi mới và cải thiện trải nghiệm khách hàng. Để hiện thực hóa đầy đủ tiềm năng của Open Banking, cần hóa giải các thách thức liên quan đến quy định pháp lý, cơ sở hạ tầng công nghệ thông tin và niềm tin của người tiêu dùng. Thông qua các chính sách toàn diện, cùng với việc hợp tác hiệu quả giữa các bên liên quan, Việt Nam có thể tạo ra một môi trường tích cực hỗ trợ cho các sáng kiến Open Banking. Hành trình hướng tới Open Banking chỉ mới bắt đầu nên cần tăng tốc, vì những cơ hội mang lại là vô tận.
