Ngày 14/11, trong khuôn khổ dự án hỗ trợ kỹ thuật “Thúc đẩy tài chính toàn diện và tài trợ khí hậu” do Ngân hàng Phát triển Châu Á (ADB) tài trợ, Ngân hàng Nhà nước (NHNN) tổ chức “Sự kiện Kết nối Fintech 2025” với chủ đề “Chia sẻ dữ liệu hướng tới tài chính toàn diện và đổi mới”.

Ngân hàng mở đặt ra thách thức về an ninh mạng và bảo vệ quyền lợi khách hàng

Phát biểu tại sự kiện, ông Phạm Anh Tuấn - Vụ trưởng Vụ Thanh toán NHNN cho biết, những năm qua, Ngân hàng Nhà nước tham mưu và ban hành nhiều văn bản pháp lý quan trọng đặt nền móng vững chắc cho việc cung ứng dịch vụ ngân hàng trên môi trường số, thúc đẩy kết nối, liên thông và hình thành hệ sinh thái số của ngành ngân hàng.

Trong đó, Thông tư số 64/2024/TT-NHNN về triển khai giao diện lập trình ứng dụng mở trong ngành ngân hàng (Thông tư 64 về Open API) được ban hành và có hiệu lực thi hành kể từ ngày 01/3/2025 tạo khuôn khổ pháp lý cho việc thiết lập các kết nối, liên thông giữa ngành ngân hàng và các ngành, lĩnh vực khác một cách thuận tiện, an toàn, bảo vệ tốt quyền và lợi ích hợp pháp của khách hàng.

Nhờ khuôn khổ pháp lý ngày càng rõ ràng, minh bạch về phạm vi, trách nhiệm và cởi mở, linh hoạt về cách tiếp cận, ngành Ngân hàng Việt Nam đã chủ động triển khai nhiều mô hình kinh doanh mới, đặt khách hàng là trung tâm của hệ sinh thái với nhiều lựa chọn sản phẩm, dịch vụ đổi mới sáng tạo, an toàn, thuận tiện, chi phí hợp lý. 

Ông Phạm Anh Tuấn - Vụ trưởng Vụ Thanh toán NHNN phát biểu tại sự kiện.

Hiện nay, ứng dụng Mobile Banking, Ví điện tử của nhiều tổ chức tín dụng và tổ chức cung ứng dịch vụ trung gian thanh toán đã cho phép khách hàng tiếp cận đầy đủ các dịch vụ ngân hàng mọi lúc, mọi nơi, đồng thời tiếp cận các dịch vụ công trực tuyến và cả các dịch vụ “beyond banking” như gọi xe, gọi đồ ăn, giao hàng, mua sắm trực tuyến, du lịch, giải trí… Điều này cho thấy tiềm năng rất lớn của kết nối, chia sẻ dữ liệu trong việc mở rộng tài chính toàn diện và thúc đẩy đổi mới sáng tạo.

Tuy nhiên, Vụ trưởng Vụ Thanh toán cũng nhận định đi cùng với cơ hội là không ít thách thức. Chia sẻ dữ liệu trong bối cảnh ngân hàng mở đòi hỏi chúng ta phải xử lý hài hòa nhiều yêu cầu: chuẩn hóa dữ liệu và giao thức kết nối; tăng cường năng lực quản trị rủi ro bên thứ 3; bảo đảm an ninh, an toàn hệ thống trước các nguy cơ tấn công mạng, lạm dụng dữ liệu; đồng thời phải bảo vệ quyền và lợi ích hợp pháp của khách hàng, thu hẹp khoảng cách số, không để ai bị bỏ lại phía sau trong tiến trình chuyển đổi số. Đây là những vấn đề mang tính hệ thống, đòi hỏi sự phối hợp chặt chẽ giữa cơ quan quản lý nhà nước, các tổ chức tín dụng và công ty Fintech.

Thông tư 64 định hình hành lang pháp lý cho Open API

Tại sự kiện, chia sẻ cụ thể hơn, ông Thái Thanh Sơn - Phó Trưởng phòng Phòng Quản lý chính sách, Cục Công nghệ thông tin NHNN cho biết, Thông tư 64 là văn bản pháp lý chuyên ngành đầu tiên quy định trực tiếp về Open API, có hiệu lực từ ngày 1/3/2025. 

Thông tư được thiết kế dựa trên nền pháp lý liên ngành gồm Luật Các tổ chức tín dụng 2024, Luật Giao dịch điện tử 2023, Luật An toàn thông tin mạng, Luật An ninh mạng và đặc biệt là Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân, nhằm bảo đảm việc mở kết nối dữ liệu luôn gắn với yêu cầu bảo vệ khách hàng và an ninh, an toàn hệ thống.

Theo phân tích của đại diện Cục Công nghệ thông tin, Open API về bản chất là kênh kết nối giúp ngân hàng cung cấp giao diện lập trình ứng dụng cho bên thứ ba như các công ty Fintech, ví điện tử hoặc ngân hàng khác. 

Toàn cảnh sự kiện.

Nhờ đó, các dịch vụ ngân hàng có thể được tích hợp trực tiếp vào những nền tảng mà người dùng đang sử dụng hàng ngày, đặc biệt là trong các lĩnh vực thương mại điện tử và thanh toán số. 

Việc chuẩn hóa các API cho phép mở rộng kênh phân phối, góp phần chuyển dịch từ mô hình ‘khách hàng tìm đến ngân hàng’ sang mô hình ngân hàng chủ động phục vụ khách hàng trên môi trường số theo đúng định hướng được trình bày tại sự kiện.

Tuy nhiên, việc chia sẻ dữ liệu qua Open API không thể chỉ dừng ở mức ý tưởng. Thông tư 64 đã cụ thể hóa rõ vai trò của các bên trong quá trình chia sẻ dữ liệu qua Open API. Ngân hàng - bên kiểm soát dữ liệu và chịu trách nhiệm pháp lý cuối cùng đối với dữ liệu được chia sẻ; bên thứ ba là bên xử lý dữ liệu, chỉ được khai thác và sử dụng thông tin đúng phạm vi đã thỏa thuận với ngân hàng và được khách hàng đồng ý. 

Khách hàng là chủ thể dữ liệu theo quy định về bảo vệ dữ liệu cá nhân và có quyền quyết định đối với dữ liệu của mình, bao gồm quyền đồng ý hoặc không đồng ý chia sẻ, quyền tra cứu lịch sử chia sẻ và quyền rút lại sự đồng ý bất cứ lúc nào. Những quy định này, thể hiện rõ nguyên tắc đặt khách hàng ở vị trí trung tâm trong thiết kế khung chính sách Open API.

Ở góc độ kỹ thuật, đại diện Cục Công nghệ thông tin cho biết, Thông tư 64 đặt ra các yêu cầu an ninh, an toàn ở mức chặt chẽ. Các kết nối Open API phải áp dụng kiến trúc REST, định dạng dữ liệu JSON, cơ chế xác thực OAuth 2.0, giao thức truyền thông an toàn TLS từ phiên bản 1.2 trở lên và sử dụng chữ ký điện tử theo chuẩn JWS. Hệ thống thông tin triển khai Open API của ngân hàng phải đáp ứng tối thiểu cấp độ 3 về an toàn hệ thống; bên thứ ba kết nối cũng phải được đánh giá, xác định cấp độ và có cam kết bảo mật phù hợp theo thỏa thuận hợp tác.

Thực tế, thời gian qua, nhóm các ngân hàng thương mại lớn trong nước và một số ngân hàng nước ngoài đã chủ động triển khai Open API thời gian qua. Các ngân hàng đã xây dựng hoặc đang vận hành các kết nối API với đối tác Fintech và ví điện tử, đồng thời lập lộ trình chi tiết để rà soát, chuẩn hóa hệ thống nhằm bảo đảm tuân thủ các yêu cầu của Thông tư 64. Việc triển khai tập trung chủ yếu vào các dịch vụ có tần suất tương tác cao như ví điện tử, khởi tạo thanh toán, truy vấn tài khoản, bên cạnh một số dịch vụ gia tăng khác theo danh mục kỹ thuật.

Bà Maria Joao Pateguana - Trưởng bộ phận phát triển kinh tế tư nhân - Ngân hàng Phát triển Châu Á (ADB) phát biểu tại sự kiện.

Chia sẻ kinh nghiệm quốc tế, bà Maria Joao Pateguana - Trưởng bộ phận phát triển kinh tế tư nhân - Ngân hàng Phát triển Châu Á (ADB) cho rằng, Việt Nam đang đứng trước một thời điểm bước ngoặt khi chuyển đổi số đang làm thay đổi sâu sắc cách thức cung ứng dịch vụ tài chính. 

Bà đánh giá cao vai trò đi đầu của NHNN trong việc xây dựng khuôn khổ pháp lý cho ngân hàng số từ Luật Giao dịch điện tử, Luật Các tổ chức tín dụng sửa đổi cho đến các quy định cụ thể như Thông tư 64 về Open API. "Các chuẩn mực này sẽ tạo nền tảng để thúc đẩy mô hình ngân hàng mở, tăng cường chia sẻ dữ liệu có kiểm soát, qua đó hỗ trợ tốt hơn cho tài chính toàn diện và tiếp cận vốn của doanh nghiệp nhỏ và vừa", bà Maria Joao Pateguana nhận định.

Thu Hương