Bộ Khoa học và Công nghệ đang lấy ý kiến rộng rãi đối với dự thảo thông tư mới về xác thực thông tin thuê bao di động mặt đất, trong đó yêu cầu đối soát sinh trắc học khuôn mặt trực tiếp với Cơ sở dữ liệu quốc gia về dân cư và bổ sung xác thực qua VNeID được xem là giải pháp then chốt nhằm chặn SIM rác, SIM không chính chủ.

Dự kiến có hiệu lực thi hành từ ngày 1/3/2026 tới, dự thảo Thông tư hướng dẫn xác thực thông tin thuê bao di động mặt đất, đối tượng áp dụng gồm cá nhân, tổ chức đăng ký, sử dụng số thuê bao tại Việt Nam và các doanh nghiệp viễn thông cung cấp dịch vụ. Điểm mới đáng chú ý là bên cạnh hai hình thức xác thực hiện nay qua ứng dụng, website của nhà mạng và trực tiếp tại điểm giao dịch, cơ quan soạn thảo đã bổ sung hình thức xác thực trực tuyến thông qua ứng dụng định danh quốc gia VNeID.

Theo đó, tất cả thuê bao đang hoạt động sẽ được đánh giá, phân loại căn cứ vào giấy tờ đăng ký, mức độ hoạt động và việc tuân thủ pháp luật của khách hàng để lựa chọn hình thức xác thực phù hợp.

Ảnh minh họa

Nỗ lực xử lý SIM rác, không chính chủ

Theo phân tích của ông Vũ Ngọc Sơn, thứ nhất, xác thực sinh trắc học trước đây thường chỉ được thực hiện một lần tại thời điểm đăng ký mới SIM và không gắn chặt với vòng đời sử dụng của SIM. Khi SIM đã được xác thực ban đầu, hệ thống hầu như không yêu cầu xác thực lại trong các tình huống rủi ro cao như thay đổi thiết bị đầu cuối.

Điều này tạo ra một lỗ hổng phổ biến: các đối tượng có thể đứng tên xác thực SIM hợp lệ, sau đó bán lại SIM cho người khác sử dụng, hoặc chuyển nhượng cho các nhóm lừa đảo mà không bị phát hiện. Đây chính là lý do vì sao dù đã xác thực, SIM không chính chủ và SIM rác vẫn tiếp tục tồn tại và lưu thông trên thị trường.

Thứ hai, các yêu cầu kỹ thuật đối với xác thực sinh trắc học trong giai đoạn trước chưa được chuẩn hóa ở mức tối thiểu bắt buộc. Mỗi doanh nghiệp viễn thông lựa chọn một giải pháp công nghệ, một quy trình triển khai khác nhau, dẫn tới chất lượng xác thực không đồng đều. Điều này khiến xác thực sinh trắc học chưa thực sự trở thành “hàng rào kỹ thuật” đủ mạnh để loại bỏ triệt để SIM rác.

Dự thảo Thông tư lần này đã trực diện xử lý chính những điểm yếu đó bằng một loạt yếu tố mới mang tính nền tảng. Trước hết, xác thực sinh trắc học không còn là hành động một lần, mà được gắn với các sự kiện có rủi ro cao trong suốt vòng đời thuê bao, đặc biệt là khi thay đổi thiết bị đầu cuối. Quy định buộc phải xác thực lại trong các tình huống này sẽ ngăn ngừa hình thức mua - bán SIM sau xác thực, vốn đang là “nguồn cung” chính cho các hoạt động lừa đảo.

Bên cạnh đó, dự thảo đã đưa ra chuẩn kỹ thuật tối thiểu mang tính bắt buộc, bao gồm yêu cầu về độ chính xác theo tiêu chuẩn quốc tế, tỷ lệ chấp nhận sai rất thấp và năng lực phát hiện tấn công giả mạo sinh trắc học. Điều này không chỉ nâng mặt bằng chất lượng xác thực giữa các nhà mạng lên cùng một chuẩn chung, mà còn đảm bảo rằng sinh trắc học thực sự phản ánh “con người thật” đứng sau SIM.

Thực tế của việc thành công ứng dụng xác thực sinh trắc học trong lĩnh vực ngân hàng cho thấy, khi danh tính số được kiểm soát chặt chẽ, các tài khoản rác nhanh chóng bị loại bỏ, làm gián đoạn chuỗi trung gian mà tội phạm lừa đảo thường lợi dụng. Áp dụng mô hình này cho SIM số sẽ giúp thu hẹp mạnh “nguồn đầu vào” của lừa đảo qua mạng viễn thông.

Ngoài việc ngăn chặn mua-bán SIM sau xác thực, việc yêu cầu xác thực khi đổi thiết bị cũng sẽ là rào cản kỹ thuật cho các hành vi chiếm đoạt SIM của người dùng. Bởi hiện nay, nếu chiếm được SIM, kẻ gian sẽ kiểm soát được các mã xác thực OTP gửi qua SIM, từ đó có thể chiếm đoạt tài khoản ngân hàng của nạn nhân.

Quy định buộc xác thực lại sinh trắc học khi thay đổi thiết bị đầu cuối giúp phá vỡ kịch bản tấn công này. Ngay cả khi kẻ gian chiếm được SIM vật lý hoặc thông tin cá nhân, chúng vẫn không thể hoàn tất quá trình kích hoạt nếu không vượt qua xác thực sinh trắc học trùng khớp với dữ liệu gốc. Đây là cơ chế “khóa cứng” danh tính, tương tự như các biện pháp bảo vệ đa lớp đang được ngân hàng áp dụng để bảo vệ tài khoản giá trị cao.

Thách thức triển khai công nghệ

Tuy nhiên, yêu cầu tỷ lệ chấp nhận sai rất thấp đặt ra áp lực kỹ thuật không nhỏ cho các doanh nghiệp viễn thông. Thách thức không chỉ nằm ở thuật toán, mà ở toàn bộ chuỗi triển khai: chất lượng camera đầu cuối, điều kiện ánh sáng, khả năng xử lý thời gian thực, cũng như tính đa dạng và kỹ năng sử dụng không đồng đều của người dùng trong môi trường thực tế.

Nếu hệ thống quá “chặt” nhưng thiếu tối ưu, nguy cơ từ chối nhầm người dùng hợp pháp sẽ tăng, ảnh hưởng đến trải nghiệm. Do đó, các nhà mạng cần đầu tư đồng bộ từ hạ tầng, phần mềm đến quy trình vận hành, đồng thời xây dựng các kịch bản xử lý ngoại lệ rõ ràng.

Việc các nhà mạng sẽ lưu lại dữ liệu sinh trắc học để thực hiện xác thực từ SIM thứ 2 trở đi cũng sẽ đặt ra yêu cầu cao trong việc phải đảm bảo an ninh cho các dữ liệu này. Bởi khi sinh trắc học trở thành “chìa khóa” kích hoạt dịch vụ, kho dữ liệu của nhà mạng sẽ trở thành mục tiêu giá trị cao đối với tin tặc.

Các doanh nghiệp viễn thông cần triển khai mô hình bảo vệ nhiều lớp: mã hóa mạnh, phân quyền chặt chẽ, giám sát liên tục, phát hiện xâm nhập sớm và kiểm thử an ninh định kỳ. Đặc biệt, dữ liệu sinh trắc học nên được lưu trữ dưới dạng mẫu đặc trưng đã mã hóa, không thể đảo ngược, để giảm thiểu rủi ro nếu xảy ra sự cố.

Đây là nguyên tắc đã được áp dụng rộng rãi trong các hệ thống định danh số tiên tiến trên thế giới. Tuy nhiên việc lưu trữ dữ liệu đã mã hoá sẽ khiến cho việc đối sánh gặp nhiều khó khăn, đặc biệt là tốn chi phí nếu muốn tăng tốc độ xử lý. Điều này đặt ra cho các nhà mạng các bài toán có thể nhìn thấy ngay nhưng không dễ giải.

Bên cạnh đó, một thách thức đáng kể khác nằm ở thực tế hiện nay vẫn còn một bộ phận lớn người dùng không sử dụng smartphone. Việc triển khai xác thực sinh trắc học cho các SIM hoạt động trên thiết bị phổ thông vì thế sẽ buộc nhà mạng phải xây dựng các quy trình hướng dẫn, hỗ trợ và xác thực thay thế phù hợp, bảo đảm vừa tuân thủ yêu cầu pháp lý vừa không gây gián đoạn dịch vụ cho người dùng.

Đây là điểm khác biệt cơ bản so với xác thực sinh trắc học trong lĩnh vực ngân hàng, bởi với tài khoản ngân hàng, người dùng buộc phải có smartphone mới có thể sử dụng các dịch vụ ngân hàng số. Trong khi đó, dịch vụ viễn thông có phạm vi bao phủ rộng hơn nhiều, bao gồm cả những nhóm người dùng hạn chế về thiết bị và kỹ năng số, khiến bài toán triển khai càng trở nên phức tạp.

Xu hướng lừa đảo sau khi siết chặt SIM, người dân cần chuẩn bị gì?

Khi SIM rác bị loại bỏ, các hình thức lừa đảo dựa trên gọi điện, nhắn tin hàng loạt chắc chắn sẽ suy giảm mạnh. Tuy nhiên, tội phạm mạng sẽ có xu hướng dịch chuyển sang các kênh khác như mạng xã hội, ứng dụng OTT.

Người dân cần hiểu rằng, xác thực sinh trắc học là lớp bảo vệ nền tảng, nhưng không thay thế hoàn toàn cho ý thức an toàn cá nhân. Việc tỉnh táo trước các yêu cầu cung cấp thông tin, xác minh lại nguồn liên lạc và chủ động báo cáo các dấu hiệu bất thường vẫn là yếu tố then chốt. Khi công nghệ, chính sách và nhận thức xã hội cùng được nâng cao, “đất sống” của lừa đảo viễn thông sẽ ngày càng bị thu hẹp một cách bền vững.

Có thể khẳng định, việc kiểm soát chặt chẽ SIM số bằng xác thực sinh trắc học, tương tự như cách ngành ngân hàng đã làm với tài khoản, là bước đi tất yếu và có ý nghĩa chiến lược trong bảo đảm an ninh mạng quốc gia và bảo vệ người dân trong không gian số.

Phạm Lê