Đây là quy định mới được triển khai từ Ngân hàng Nhà nước Việt Nam, theo Quyết định số 630/QĐ-NHNN ban hành Kế hoạch áp dụng các giải pháp về an toàn bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng.
Cụ thể, tất cả khách hàng doanh nghiệp khi sử dụng dịch vụ ngân hàng trực tuyến, ứng dụng ngân hàng số... sẽ phải áp dụng phương thức xác thực qua Smart OTP cho nhóm khách hàng doanh nghiệp và khách hàng cá nhân khi tiến hành giao dịch cao với số tiền từ 100 triệu đồng trở lên.
Ngân hàng TMCP Đầu tư và Phát triển Việt Nam (BIDV) cũng đã thông báo về việc chuyển đổi hình thức xác thực đối với các giao dịch trực tuyến trên kênh ngân hàng điện tử nhằm tăng cường bảo mật dữ liệu cho khách hàng và tuân thủ theo quy định của Ngân hàng Nhà nước.
Theo đó, từ ngày 1/7/2019, BIDV sẽ triển khai phương thức xác thực giao dịch nâng cao BIDV Smart OTP dành cho khách hàng cá nhân và doanh nghiệp đang sử dụng các dịch vụ ngân hàng điện tử của BIDV (BIDV e-Banking).
BIDV nêu rõ trong thông báo: "Đối với khách hàng cá nhân thì các giao dịch chuyển tiền khác chủ tài khoản (không cùng một tài khoản ngân hàng) có giá trị trên 100 triệu đồng/giao dịch hoặc tổng giá trị giao dịch trên 100 triệu đồng/ngày trên BIDV Online, BIDV SmartBanking phải xác thực bằng BIDV Smart OTP. Đối với khách hàng doanh nghiệp thì tất cả các giao dịch chuyển tiền trong nước và quốc tế khác chủ tài khoản trên BIDV Business Online phải chuyển qua dùng phương thức BIDV Smart OTP".
Ngân hàng TMCP Thương mại Thịnh Vượng (VPBank) thông báo: "Theo quy định của Ngân hàng Nhà nước, từ ngày 1-7, khách hàng sử dụng internet banking (VPBank Online) và các loại thẻ ghi nợ, thẻ tín dụng bắt buộc nhận mật khẩu xác thực dùng một lần (OTP) qua VPBank Smart OTP khi sử dụng VPBank Online. Tất cả khách hàng doanh nghiệp khi giao dịch, chuyển tiền qua VPBank Online phải nhận OTP qua VPBank Smart OTP thay vì nhận qua SMS hay email như hiện tại. Đối với khách hàng cá nhân, các giao dịch chuyển tiền/thanh toán hóa đơn từ 100 triệu đồng/ngày bắt buộc phải dùng VPBank Smart OTP".
Theo ý kiến của một số chuyên gia bảo mật trong lĩnh vực ngân hàng, thông thường khách hàng cá nhân khi giao dịch và thanh toán trực tuyến vẫn thích nhận OTP SMS (xác thực qua tin nhắn) hơn. Cách xác thực này đơn giản, thuận tiện và ai cũng có thể sử dụng dễ dàng; còn Smart OTP yêu cầu người dùng phải cài đặt thêm ứng dụng di động của ngân hàng (lấy mã xác thực từ ứng dụng Smart OTP).
Tuy nhiên, đối với những giao dịch giá trị lớn (ví dụ như chuyển tiền/thanh toán từ 100 triệu đồng) đòi hỏi dùng cách xác thực an toàn hơn. Trước đây, ngân hàng thường đề nghị khách hàng dùng Token (thiết bị bảo mật điện tử) để nhận OTP để tăng mức độ an toàn khi giao dịch.
Cũng từ ngày 1/7/2019, Ngân hàng Ngoại thương Việt Nam (Vietcombank) cũng thực hiện chuyển đổi đối với các khách hàng tổ chức đang sử dụng phương thức xác thực SMS - OTP tại cấp duyệt lệnh cao nhất trong dịch vụ ngân hàng trực tuyến sang phương thức khác (bao gồm VCB m-Token, EVM-OTP, eToken).
Trước đó, Techcombank cũng thay đổi phương thức xác thực Smart OTP đã thay thế hoàn toàn cho SMS OTP và Token OTP….
Như vậy, với chuyển đổi trên, các giao dịch chuyển khoản trực tuyến của doanh nghiệp tại các ngân hàng đã lần lượt chuyển đổi lên phương thức xác thực nâng cao; còn với khách hàng cá nhân, các giao dịch chuyển tiền có hạn mức lớn hơn 100 triệu VND/ngày cũng buộc chuyển đổi, phương thức SMS - OTP phổ biến thời gian qua chỉ áp dụng cho các hạn mức thấp hơn.
Được biết, Smart OTP là một trong ba hình thức nhận mã xác thực phổ biến hiện nay, bên cạnh SMS OTP và Token key, hoặc một số ngân hàng thương mại đã bước đầu áp dụng xác thực bằng dấu hiệu nhận dạng sinh trắc học.
Smart OTP là một phần mềm được cài đặt trên các thiết bị di động như điện thoại di động, máy tính bảng, cho phép người dùng chủ động lấy mã xác thực giao dịch OTP cho các giao dịch trên Internet Banking của ngân hàng.
Điểm đặc biệt là Smart OTP có khả năng tạo ra mã xác thực OTP bất kỳ lúc nào, không cần phải có sóng điện thoại. Với chức năng này, Smart OTP đã khắc phục được nhược điểm của SMS OTP.
Trong khi đó, Token Key lại là thiết bị rời nên dễ bị đánh cắp hoặc thất lạc, không gắn liền với chính các thiết bị được sử dụng để thanh toán online nên tính tiện dụng không cao bằng.
Mức độ bảo mật của Smart OTP được xếp vào nhóm cao nhất trong các giải pháp xác thực giao dịch trực tuyến hiện nay, cao hơn hẳn SMS OTP và Token Key, đáp ứng yêu cầu bảo mật của mọi loại giao dịch trực tuyến, đặc biệt là các giao dịch tài chính giá trị cao...
Để sử dụng, khách hàng cần đăng ký cho phép sử dụng Smart OTP trên một thiết bị duy nhất. Mỗi tài khoản ngân hàng sẽ chỉ có một mã mở khóa, ứng với một thiết bị duy nhất do chính khách hàng đăng ký.
>> Lộ chiêu thức lừa lấy mã OTP