Xác thực sinh trắc học - Phần 1: Tiền mất, ai phải chứng minh?

Từ vụ khách hàng phản ánh mất 5 tỉ đồng tại KienlongBank qua thiết bị lạ, đến cảnh báo về phần mềm có khả năng hỗ trợ vượt qua xác thực khuôn mặt trên ứng dụng ngân hàng, một vấn đề khó hơn bắt đầu hiện rõ: sinh trắc học là lớp khóa cần thiết, nhưng không thể là lời phán quyết cuối cùng trong tranh chấp.

Trong vụ việc liên quan đến KienlongBank, khách hàng cho rằng tiền bị chuyển đi qua thiết bị lạ và đặt nghi vấn về dữ liệu sinh trắc học; ngân hàng khẳng định hệ thống vận hành đúng quy định và đang phối hợp xử lý. Việc đúng sai cụ thể cần chờ kết luận của cơ quan có thẩm quyền. Nhưng ngay cả khi chưa có kết luận, vụ việc đã đặt ra một câu hỏi chính sách khó tránh: khi nhật ký hệ thống (log) và lời (phủ nhận) của khách hàng xung đột, cơ chế nào sẽ đọc và kiểm chứng chuỗi dấu vết kỹ thuật?

Khuôn mặt có thể mở khóa giao dịch - nhưng không nên khóa lại câu hỏi trách nhiệm.

Thông tin từ Công an tỉnh Lai Châu khiến câu hỏi ấy trở nên cấp thiết hơn: theo ghi nhận bước đầu, lực lượng chức năng ghi nhận sự xuất hiện của thiết bị di động được tùy chỉnh, kèm phần mềm có khả năng vượt qua hoặc hỗ trợ vượt qua xác thực khuôn mặt trên ứng dụng của nhiều ngân hàng tại Việt Nam.

Điều này không có nghĩa sinh trắc học đã “vô dụng”, nhưng cũng không còn là chuyện kỹ thuật thuần túy. Khi hệ thống ghi nhận một giao dịch đã được xác thực, dấu vết ấy có giá trị đến đâu, và còn để ngỏ những gì? Một dấu vết kỹ thuật chỉ trở thành bằng chứng khi nó có thể được đọc, giải thích và phản biện.

Sinh trắc học là bước tiến, nhưng không phải phép màu

Nhiều năm qua, ngân hàng số đi theo một quỹ đạo dễ hiểu: mật khẩu hết an toàn thì thêm OTP; SMS OTP bị lừa lấy thì chuyển sang Smart OTP, xác thực thiết bị, xác nhận trong ứng dụng; rủi ro vẫn còn thì đưa vào sinh trắc học - khuôn mặt, vân tay, giọng nói. Đó là một bước tiến cần thiết: sinh trắc học khó “đoán” như mật khẩu, khó đọc trộm như OTP, và có vẻ gắn chặt hơn với chính chủ tài khoản.

Nhưng chính điểm mạnh ấy lại dễ sinh một ảo tưởng mới. Vì khuôn mặt “có vẻ là chính người đó”, nên khi hệ thống báo giao dịch đã được xác thực bằng khuôn mặt, phản xạ tự nhiên là tin chắc giao dịch do khách hàng thực hiện hoặc chấp thuận. Cách nghĩ ấy nguy hiểm: nó lặng lẽ biến một sự kiện kỹ thuật thành một kết luận pháp lý.

Hệ thống xác thực, nhưng ai chấp thuận chuyển tiền?

Một giao dịch ngân hàng số không phải một hành vi đơn lẻ. Nó là cả một chuỗi: đăng nhập, nhận diện hoặc thay đổi thiết bị, tạo người thụ hưởng, nhập số tiền, xác nhận, gửi lệnh, xử lý qua hệ thống ngân hàng và hạ tầng thanh toán, rồi tiền đi vào tài khoản nhận. Sinh trắc học có thể xuất hiện ở nhiều điểm trong chuỗi đó.

Một dấu vết kỹ thuật chỉ trở thành bằng chứng khi nó có thể được đọc, giải thích và phản biện.

Một khuôn mặt dùng để mở khóa điện thoại hay đăng nhập ứng dụng không đương nhiên có nghĩa chủ tài khoản đã chấp thuận chuyển một khoản tiền cụ thể, cho một người nhận cụ thể, vào một thời điểm cụ thể. Mở khóa, đổi thiết bị, đăng ký phương thức xác thực hay duyệt một lệnh chuyển tiền - đó là những sự kiện khác nhau, và không nên bị gom vào một kết luận duy nhất rằng “khách hàng đã đồng ý”.

Thông tư 50/2024/TT-NHNN, cùng các sửa đổi sau đó, cũng gợi ý rằng giao dịch điện tử không thể được nhìn như một nút bấm đơn giản. Văn bản này định nghĩa “xác nhận giao dịch điện tử” là việc xác nhận bằng phương tiện điện tử để thể hiện sự chấp thuận của khách hàng với thông điệp dữ liệu giao dịch; đồng thời mô tả Online Banking là cả một tập hợp phần cứng, phần mềm, cơ sở dữ liệu, mạng truyền thông và hệ thống bảo mật, do đơn vị tự vận hành hoặc thuê ngoài. Nói cách khác, sự chấp thuận trong ngân hàng số luôn được tạo lập và ghi nhận thông qua một quy trình kỹ thuật. Khi có tranh chấp, quy trình ấy phải có khả năng được kiểm chứng.

Ở giao dịch bình thường, xác thực và chấp thuận thường đi liền nhau: người dùng mở ứng dụng, quét khuôn mặt, tự tay chuyển tiền. Nhưng trong tranh chấp, chính sự trùng khít ấy không thể được mặc nhiên giả định. Câu hỏi không chỉ là “hệ thống đã xác thực chưa”, mà còn là “sự kiện xác thực ấy sinh ra ở đâu, trên thiết bị nào, sau những thay đổi tài khoản nào, và có thật sự phản ánh ý chí chuyển tiền của chủ tài khoản hay không?”

Rủi ro nằm ở cả chuỗi giao dịch

Thông tin về thiết bị và phần mềm có khả năng can thiệp vào xác thực khuôn mặt rất đáng chú ý chính, vì nó cho thấy rủi ro không chỉ nằm ở chuyện “lộ khuôn mặt”. Ảnh chân dung, video khuôn mặt, thao tác xác minh hay dữ liệu eKYC đều có thể thành nguyên liệu cho gian lận. Nhưng rủi ro lớn hơn nằm ở toàn bộ quy trình sinh ra bằng chứng xác thực.

Nếu một thiết bị bị tùy chỉnh, một phần mềm chen vào luồng xác thực, hay một bước kiểm tra bị thao túng, hồ sơ kỹ thuật của giao dịch vẫn có thể trông hợp lệ: có đăng nhập, có xác thực, có xác nhận, có log. Một hồ sơ như thế chưa chắc phản ánh đầy đủ điều đã xảy ra.

Ở tầm chính sách, thách thức kế tiếp là chuyển từ yêu cầu “phải có xác thực mạnh” sang một câu hỏi khó hơn: khi xác thực mạnh vẫn hiện diện trong một giao dịch bị tranh chấp, ai phải chứng minh điều gì, ở mức nào, và tổn thất được phân bổ ra sao?

Vì vậy, một giao dịch “đúng kỹ thuật” vẫn có thể cần được kiểm tra kỹ - chẳng hạn khi nó được xác thực bằng khuôn mặt nhưng diễn ra ngay sau khi đăng nhập trên thiết bị mới, tạo người nhận mới, chuyển một số tiền lớn, vào thời điểm bất thường, tới một tài khoản có dấu hiệu rủi ro. Nếu chỉ nhìn vào dòng “xác thực thành công”, ngân hàng có thể bỏ qua toàn bộ bối cảnh của giao dịch.

Đáng nói là pháp luật ngân hàng không chỉ đòi xác thực. Thông tư 50/2024/TT-NHNN còn yêu cầu phân loại, đánh giá rủi ro giao dịch theo nhóm khách hàng, hành vi, loại giao dịch và hạn mức; giao dịch nhiều bước phải xác nhận ở bước phê duyệt cuối; hệ thống phải lưu thông tin thiết bị, nhật ký giao dịch và nhật ký xác nhận trong thời hạn nhất định. Tư duy ấy không dừng ở “có khóa hay không”, mà buộc đọc cả hành trình giao dịch.

Nguyễn Thành Trân