PSD2 – thách thức mới của ngân hàng truyền thống
ThS. Nguyễn Vĩnh Khương, TS. Nguyễn Thanh Liêm, TS. Trần Hùng Sơn (*)
(TBKTSG) – Chỉ thị về Dịch vụ thanh toán (PSD2) yêu cầu các ngân hàng cấp quyền truy cập tự động vào tài khoản giao dịch của khách hàng cho bên thứ ba đáp ứng đủ điều kiện, nhằm tạo điều kiện cho bên thứ ba cung cấp các dịch vụ tài chính khác nhau cho khách hàng của họ. Điều này chắc chắn sẽ dẫn đến việc các ngân hàng truyền thống sẽ phải đối mặt với các đối thủ cạnh tranh mới.
Đã đến lúc cần “dân chủ hóa” dữ liệu
Thị trường 9 tỉ đô la của những “kẻ phá bĩnh” các ngân hàng
 |
| Ngân hàng mở là một trong yếu tố thúc đẩy cạnh tranh trong ngành ngân hàng và tài chính toàn diện. Ảnh minh họa Thành Hoa |
Tác động của PSD2 đến ngân hàng và công nghệ tài chính
PSD2 cùng với yêu cầu về ngân hàng mở được đánh giá rất cao về những lợi ích tiềm tàng của nó.
Đầu tiên là khả năng giảm chi phí giao dịch. Với hệ thống ngân hàng mở, khách hàng có thể ủy quyền trực tiếp cho bên thứ ba truy cập vào tài khoản và khởi tạo các giao dịch thanh toán từ tài khoản của mình. Khách hàng còn có thể quản lý tài khoản một cách chuyên nghiệp và dễ dàng hơn khi bên thứ ba có thể truy cập và báo cáo thông tin về tài khoản và giao dịch ở các ngân hàng khác nhau chỉ thông qua một ứng dụng duy nhất.
Tiếp đến, khách hàng sẽ có thêm sự lựa chọn về nhà cung cấp, loại sản phẩm, dịch vụ. Khi ngân hàng mở được áp dụng, và các bên thứ ba hoặc chính các ngân hàng cùng hợp tác với bên thứ ba sáng tạo các sản phẩm và dịch vụ mới có thể đáp ứng tốt hơn nhu cầu của khách hàng.
Hơn nữa, các đối tượng trước đây bị từ chối cung cấp dịch vụ bởi ngân hàng cũng có thể được hưởng lợi nhờ vào các dịch vụ mới này. Ví dụ, ngân hàng mở cung cấp cho người cho vay nhiều thông tin hơn, chẳng hạn như lịch sử giao dịch.
Một trong những thủ tục của hồ sơ vay truyền thống là kiểm tra khả năng chi trả và quy trình xác minh thu nhập. Sử dụng giao diện lập trình ứng dụng mở (API – ngân hàng mở), các hoạt động thu thập báo cáo ngân hàng để xác minh thu nhập có thể được tự động hóa. Nhờ đó, quá trình xác minh và đánh giá có thể được giảm từ một tuần xuống còn vài phút, nhưng vẫn giảm được rủi ro cho bên cho vay.
Tác động đối với thị trường ngân hàng là rất rõ. Khi mà các tiêu chuẩn thuộc ba mảng trên có hiệu lực đầy đủ, áp lực cạnh tranh đến mức phí dịch vụ và lợi nhuận biên sẽ ngày càng rõ rệt. Đây cũng là các quan ngại của các giám đốc ngân hàng khi họ lên kế hoạch tuân thủ PSD2, theo khảo sát của Mckinsey(1).
Mặc dù vậy, PSD2 cũng tạo ra các cơ hội cạnh tranh đối với các ngân hàng có tập trung đổi mới công nghệ, tranh thủ kiến tạo các công cụ phân tích mạnh mẽ để khai thác dữ liệu độc quyền của ngân hàng. Các ngân hàng thường xuyên nâng cấp công nghệ, hợp tác với các bên thứ ba có thể nhận được nhiều lợi ích từ PSD2. Ngoài ra, các ngân hàng này cũng sẽ có thuận lợi hơn về mặt quan hệ và tin tưởng đối với khách hàng so với các bên thứ ba do bên này vẫn còn mới mẻ.
Do đó, các ngân hàng cần chủ động đầu tư đổi mới, vì tình huống xấu nhất có thể dẫn tới là các ngân hàng chỉ còn vai trò giữ các tài khoản tiền của khách hàng, trong khi tất cả các giao dịch liên quan do các bên thứ ba khai thác.
Lợi ích luôn song hành với rủi ro
Đối với Việt Nam, ngân hàng mở là một trong yếu tố thúc đẩy cạnh tranh trong ngành ngân hàng và tài chính toàn diện. Bản thân các ngân hàng, dù chưa triển khai ngân hàng mở, cũng cần nhận thức rõ những lợi ích cũng như thách thức mà ngân hàng mở mang lại.
Ngân hàng Nhà nước đã có chủ trương khuyến khích, xây dựng và dần hoàn thiện khung pháp lý điều chỉnh sao cho hoạt động ngân hàng mở được an toàn và bình đẳng cho các bên tham gia(2). Các khảo sát đánh giá hạ tầng công nghệ, nhu cầu chia sẻ dữ liệu giữa ngân hàng, khách hàng và bên thứ ba đã được thực hiện để xây dựng các bộ quy chuẩn, các điều khoản an toàn dữ liệu…
Tuy nhiên, cùng với những lợi ích, ngân hàng mở cũng đặt ra các vấn đề không thể không quan tâm.
API tạo điều kiện thuận lợi cho việc truy cập dữ liệu, do đó phạm vi dữ liệu có thể bị tấn công cũng sẽ mở rộng. Báo cáo của TrendMicro(4) phát hiện thấy các API và website của các ngân hàng và công ty công nghệ tài chính (FinTech) làm lộ các thông tin nhạy cảm của khách hàng và các kỹ thuật, công nghệ chia sẻ dữ liệu lỗi thời vẫn còn được sử dụng.
Ngoài khả năng tấn công khai thác dữ liệu trực tiếp từ ngân hàng, tội phạm công nghệ cao có thể tấn công vào server các công ty FinTech. Điều này là do các công ty FinTech có ít nhân sự và có xu hướng ít đầu tư cho tính an toàn hơn so với ngân hàng.
Cuối cùng, khả năng dùng các kỹ thuật lừa đảo cũ như phising(5) vẫn có hiệu quả với những khách hàng ít cập nhật công nghệ, và khi có các giao dịch lừa đảo xảy ra, cơ chế báo cáo vẫn gây nhiều khó khăn cho khách hàng.
Các ngân hàng và công ty FinTech cần hợp tác trong việc xây dựng API, nhằm tránh các lỗi an toàn dữ liệu có thể bị khai thác bởi các hacker. Hơn nữa, thiết kế hạ tầng công nghệ thông tin và API phải linh hoạt để phù hợp với các biện pháp kiểm soát gian lận và các tiêu chuẩn quy định vốn sẽ được cập nhật liên tục trong tương lai.
Với các công ty FinTech, nắm bắt và cập nhật các giao thức bảo mật và ngừng sử dụng các kỹ thuật rủi ro và lỗi thời là điều tối quan trọng. Các nhà phát triển ứng dụng cũng cần đảm bảo rằng các ứng dụng và trang web mang tính bảo mật và có thể vận hành trong các môi trường có khả năng bị tấn công cao.
Ngoài ra, cần xây dựng chính sách theo hướng dữ liệu của khách hàng sẽ không được chia sẻ nếu không có sự cho phép “rõ ràng” của họ. Đây là một phần quan trọng của tiêu chuẩn ngân hàng mở. Đồng thời cần chỉ định rõ cơ quan chịu trách nhiệm chứng nhận các ứng dụng của bên thứ ba và trang web nào của ngân hàng đạt chuẩn để thực hiện ngân hàng mở. Các hệ thống bảo mật và phần mềm cần được kiểm tra nghiêm ngặt về tính bảo mật bởi ngân hàng, hoặc bởi một cơ quan chuyên trách.
PSD2 cũng chỉ ra các bên thứ ba được cấp phép mới có thể yêu cầu quyền truy cập vào thông tin khách hàng. Nhờ vậy, khách hàng có thể yên tâm rằng chỉ những công ty đã nhận được giấy phép mới được phép truy cập dữ liệu tài khoản ngân hàng của họ.
|
PSD2 là gì? Chỉ thị về Dịch vụ thanh toán 2 (PSD2) đưa ra các quy định đảm bảo thanh toán được an toàn và hiệu quả trong Liên minh châu Âu (EU), cho phép khách hàng của ngân hàng sử dụng dịch vụ của các nhà cung cấp thứ ba không phải là ngân hàng như dịch vụ phân tích xu hướng tiêu dùng và thu nhập để đưa ra đề xuất đầu tư, thanh toán hóa đơn, hoặc chuyển khoản. Tất cả các ngân hàng có nghĩa vụ phải chuyển giao giao diện lập trình ứng dụng (API) mở (do đó được gọi là ngân hàng mở), qua đó cung cấp quyền truy cập vào tài khoản, nhằm tạo điều kiện cho bên thứ ba cung cấp các dịch vụ tài chính khác nhau cho khách hàng của họ. Ngân hàng mở nhằm mục đích thúc đẩy đổi mới sáng tạo và làm cho các giao dịch ngân hàng ở EU hiệu quả hơn, tiết kiệm chi phí, thời gian, đảm bảo tiện lợi và an toàn hơn. Vì vậy, các ngân hàng mở API cho các công ty công nghệ tài chính (FinTech). Các công ty FinTech chỉ có thể truy cập dữ liệu ngân hàng khi được sự đồng ý của khách hàng. Ngoài EU và Vương quốc Anh, Trung Quốc, Úc, Hồng Kông, Singapore, Malaysia, Canada và nhiều quốc gia châu Phi đã lên kế hoạch đưa quy định về áp dụng ngân hàng mở vào luật pháp của họ. |
|
Các quy định của PSD2 Khung pháp lý của PSD2 gồm các điều khoản đề cập đến các vấn đề từ minh bạch về phí dịch vụ đến bảo mật, báo cáo sự cố và công nghệ. Tuy nhiên, đây là một bộ nguyên tắc chung, và chính phủ các quốc gia EU được quyền xây dựng các điều luật và tiêu chuẩn cụ thể phù hợp với hệ thống ngân hàng của mình. Chỉ thị gồm ba mảng chính: Mảng 1 liên quan đến tính minh bạch, trong đó nhấn mạnh quyền lợi của khách hàng và các tiêu chuẩn báo cáo chặt chẽ hơn cho các ngân hàng. Ngoài ra, định phí không được mang tính phân biệt, nghĩa là các khoản phí cho việc truy cập tài khoản và khởi tạo thanh toán phải giống nhau đối với khách hàng và bên thứ ba cung cấp dịch vụ. Mảng 2 liên quan đến bảo mật, bao gồm các yêu cầu đối với xác thực khách hàng nghiêm ngặt. Mảng 3 điều chỉnh truy cập vào tài khoản, bao gồm các tiêu chuẩn kỹ thuật mà các ngân hàng truyền thống phải đáp ứng để các công ty FinTech có thể kết nối với hệ thống ngân hàng. Trình tự áp dụng PSD2 cũng được chia thành hai giai đoạn theo từng mảng. Mảng 1 (minh bạch) có hiệu lực sau khi được đưa vào luật quốc gia trong năm 2018. Trong khi đó, dự kiến mảng 2 (bảo mật) và 3 (truy cập vào tài khoản) sẽ có hiệu lực bắt đầu vào quí thứ ba của năm 2019. |
(*) Trường Đại học Kinh tế – Luật, Đại học Quốc gia TPHCM
Tài liệu tham khảo
(1) Mckinsey (2018). PSD2: Taking advantage of open banking disruption. Truy cập tại: https://www.mckinsey.com/industries/financial-services/our-insights/psd2-taking-advantage-of-open-banking-disruption
(2) Nguyễn Minh Sáng (2018). Xu hướng ngân hàng mở trong bối cảnh toàn cầu và sự chuẩn bị của Việt Nam. Tạp chí Ngân hàng số 19 năm 2018.
(3) Nordigen (2019). Open banking loans: 4 reasons why they outperform traditional loans. Truy cập tại: https://nordigen.com/blog/2019/8/16/open-banking-loans-4-reasons-why-they-outperform-traditional-loans
(4) TrendMicro (2019). When PSD2 opens more doors: The risks of open banking. Truy cập tại: https://blog.trendmicro.com/trendlabs-security-intelligence/when-psd2-opens-more-doors-the-risks-of-open-banking/
(5) Việc xây dựng những hệ thống lừa đảo nhằm đánh cắp các thông tin nhạy cảm, như tên đăng nhập, mật khẩu hay thông tin về các loại thẻ tín dụng của người dùng.
