Mobile Money đã mở ra cơ hội thu hẹp khoảng cách số về tài chính, tạo cơ hội cho tất cả mọi người được tiếp cận các dịch vụ tài chính hiện đại và đơn giản, góp phần thúc đẩy xã hội số. Tuy nhiên cùng với cơ hội, những nguy cơ về bảo mật và rủi ro khi triển khai Mobile Money là bài toán cần được quan tâm đúng mức.
Tại Việt Nam, từ tháng 3/2021, Thủ tướng Chính phủ đã cho phép triển khai thí điểm dùng tài khoản viễn thông thanh toán cho các hàng hóa, dịch vụ có giá trị nhỏ (theo Quyết định số 316/QĐ-TTg ngày 09/3/2021). Theo đó, thời gian thực hiện thí điểm dịch vụ là 2 năm kể từ thời điểm DN đầu tiên thực hiện thí điểm được chấp thuận triển khai thí điểm dịch vụ này. Đến cuối tháng 11/2021, ba DN viễn thông là VNPT, MobiFone và Viettel đã được Ngân hàng nhà nước (NHNN) cấp phép triển khai thí điểm dùng tài khoản viễn thông thanh toán cho các hàng hóa, dịch vụ có giá trị nhỏ.
Dịch vụ Mobile Money trên thế giới
Trong nhiều năm, dịch vụ tài chính là một thách thức lớn trên toàn cầu, do chi phí liên quan cao. Thông thường, để cung cấp dịch vụ tài chính, phải có cơ sở hạ tầng, nhân viên và đầu tư vốn đáng kể. Do vậy, các tổ chức tài chính chỉ tập trung vào những khách hàng mang lại doanh thu lớn, trong khi đó phần lớn dân số có thu nhập thấp chưa được cung cấp dịch vụ.
Với sự ra đời của dịch vụ di động và sau đó, việc DN viễn thông tham gia cung cấp các dịch vụ tài chính đã làm thay đổi, đưa các dịch vụ tài chính đến gần hơn với số đông dân số thông qua cơ sở hạ tầng thương mại hiện có. Sự thành công của M-PESA kể từ khi ra mắt tại Kenya vào năm 2007 đã làm tăng động lực triển khai dịch vụ Mobile Money, đặc biệt là ở các nước đang phát triển. Các sản phẩm phổ biến hiện đang được triển khai trong hoạt động của Mobile Money: gửi tiền; thanh toán; chuyển tiền nội địa; kiều hối quốc tế; sản phẩm tiết kiệm; sản phẩm cho vay;...
Dịch vụ Mobile Money mang lại cơ hội đáng kể để nâng cao hiệu quả của các dịch vụ tài chính bằng cách mở rộng khả năng tiếp cận và giảm chi phí giao dịch. Dịch vụ hiện đã được hơn 300 DN viễn thông triển khai ở gần 200 quốc gia, vùng lãnh thổ. Sự chấp nhận nhanh chóng của khách hàng đối với các dịch vụ này ở nhiều quốc gia, đã chứng tỏ rằng công nghệ đã hoàn thiện và mang lại lợi ích thực sự cho những người trước đây không thể tiếp cận các sản phẩm hoặc dịch vụ tài chính.
Các mô hình triển khai Mobile Money phổ biến trên thế giới:
Mô hình do ngân hàng thực hiện:
Mỗi khách hàng có một tài khoản ngân hàng kết nối với tài khoản di động. Dịch vụ này thường cung cấp quyền truy cập trên di động để truy vấn số dư, chuyển khoản giữa các tài khoản và thanh toán. Quyền truy cập có thể được cung cấp thông qua Internet hoặc thông qua hệ thống SMS, ứng dụng trên điện thoại di động (ĐTDĐ). Ngân hàng chịu trách nhiệm hoàn toàn về dịch vụ.
Mô hình này mang lại sự thuận tiện cho khách hàng hiện tại của ngân hàng và cho chính ngân hàng bằng cách cho phép thực hiện một số giao dịch thông thường mà không cần đến chi nhánh ngân hàng, giúp tiết kiệm thời gian và chi phí cho cả khách hàng và ngân hàng. Một số ngân hàng cũng đã sử dụng phương thức này để giải quyết các phân khúc thị trường mà trước đây họ không thể tiếp cận.
Mô hình do DN viễn thông (MNO) thực hiện (Việt Nam đang triển khai thử nghiệm):
Dịch vụ của MNO thuần túy mở rộng chức năng tài khoản viễn thông để cung cấp dịch vụ thanh toán cho phép khách hàng chuyển tiền cho nhau, có thể thanh toán thông qua mạng đại lý đã thiết lập của MNO. Các giao dịch thanh toán cá nhân diễn ra hoàn toàn trong mạng lưới của MNO và không yêu cầu người sử dụng dịch vụ phải có tài khoản ngân hàng. Vì nhà cung cấp dịch vụ (ở đây là DN viễn thông) chỉ thực hiện các lệnh thanh toán của khách hàng và không thực hiện chức năng đánh giá tín dụng và quản lý rủi ro của một ngân hàng, các dịch vụ này được cho là không cấu thành “ngân hàng”. Ngân hàng lưu ký không có liên quan hoặc chịu trách nhiệm về các khoản thanh toán qua hệ thống của DN viễn thông.
Với chi phí tương đối thấp, không cần một số yêu cầu như tài khoản ngân hàng (số dư tối thiểu, phí dịch vụ, yêu cầu xác minh thông tin đầy đủ và thời gian di chuyển đến ngân hàng), khả năng tiếp cận dịch vụ ĐTDĐ dễ dàng và ngày càng phổ biến, mô hình này được cho là có hiệu quả cao trong quá trình đưa các giao dịch không tiền mặt thành một hình thức của hệ thống tài chính chính thức, mở rộng khả năng tiếp cận các dịch vụ tài chính.
Mô hình kết hợp: Sự kết hợp của ngân hàng, MNO hoặc bên thứ ba khác cung cấp các dịch vụ liên lạc và giao dịch tài chính kết hợp các đặc điểm của cả mô hình ngân hàng thuần túy và mô hình MNO thuần túy.
Theo số liệu của Hiệp hội Hệ thống thông tin di động Toàn cầu (GSMA) năm 2020, số lượng tài khoản Mobile Money được đăng ký đã tăng 12,7% trên toàn cầu, với trên 136 triệu tài khoản đăng ký trong một năm, nâng tổng số tài khoản đã đăng ký trên toàn cầu lên 1,21 tỷ. Ngoài sự thay đổi trong hành vi của người tiêu dùng, sự thu hút ấn tượng này còn do các cơ quan quản lý thực hiện các quy trình xác thực khách hàng linh hoạt hơn và các yêu cầu khi sử dụng dịch vụ được nới lỏng.
Cụ thể, ở châu Phi các tài khoản đăng ký đã vượt qua mốc 500 triệu. Khu vực châu Phi đã dẫn đầu về phát triển dịch vụ Mobile Money trong hơn một thập kỷ và đến năm 2020 tiếp tục chiếm phần lớn mức tăng trưởng, 43% tổng số tài khoản mới. Tính đến hết năm 2020, đã có 548 triệu tài khoản đăng ký trong khu vực, hơn 150 triệu trong số đó hoạt động hàng tháng.
Khu vực Đông Á và Thái Bình Dương cũng có mức tăng trưởng đáng kể, đóng góp tới 34% tổng số tài khoản mới, nhờ vào sự tăng trưởng mạnh mẽ ở Đông Nam Á nói riêng. Ở Nam Á, các tài khoản đăng ký đã tăng 5% để lần đầu tiên vượt qua 300 triệu tài khoản tiền di động đã đăng ký. Điều này có nghĩa là một trong bốn tài khoản tiền di động đã đăng ký trên toàn cầu hiện ở Nam Á.
Cuối cùng, Mỹ Latinh và Caribe có mức tăng trưởng nhanh nhất so với bất kỳ khu vực nào về tài khoản đã đăng ký (38%) và đang hoạt động (67%). Điều này được thúc đẩy một phần bởi sự hỗ trợ đáng kể của chính phủ sau đại dịch, với hàng triệu người nhận được quỹ cứu trợ thông qua Mobile Money.
Vào năm 2020, dịch vụ Mobile Money đã đạt được một cột mốc quan trọng khác: số lượng tài khoản Mobile Money hoạt động hàng tháng lên đến con số 300 triệu, tăng trưởng với tốc độ 17% hàng năm. Tổng giá trị giao dịch tăng 22%, đạt 767 tỷ USD. Điều này có nghĩa là dịch vụ thực hiện hơn 2 tỷ USD giao dịch/ngày và đã tăng hơn gấp đôi giá trị kể từ năm2017.Dự kiến giá trị này sẽ vượt quá 3 tỷ USD/ngày vào cuối năm 2022.
Sự tăng trưởng mạnh mẽ và ổn định này cho thấy rằng khách hàng đang sử dụng dịch vụ Mobile Money theo những cách tiên tiến hơn và trong mọi lĩnh vực của cuộc sống hàng ngày. Điều này đánh dấu sự thay đổi so với thời kỳ đầu của dịch vụ Mobile Money khi các trường hợp sử dụng chính là thanh toán hóa đơn viễn thông và thanh toán dưới hình thức chuyển tiền nội địa không thường xuyên. Chứng tỏ rằng dịch vụ này đang có tác động sâu sắc và lâu dài.
Một trong những kết quả của đại dịch là nó đã thúc đẩy các nhà cung cấp dịch vụ Mobile Money tạo ra mối quan hệ bền chặt hơn, đáng tin cậy hơn giữa khách hàng và các bên liên quan khác trong hệ sinh thái thanh toán. Nhu cầu về Mobile Money tăng lên giữa các DN, chính phủ và người dân trong khi trước đây dựa vào tiền mặt hoặc các kênh thanh toán khác. Thông qua đó, dịch vụ Mobile Money cho thấy khả năng hỗ trợ phục hồi kinh tế và khả năng phục vụ nhu cầu của những người dễ bị tổn thương về tài chính nhất và cung cấp các dịch vụ quan trọng trong thời điểm cần thiết.
Đại dịch COVID-19 đã mang lại sự thay đổi quan trọng cho hệ sinh thái Mobile Money, trong khi các nhà cung cấp dịch vụ, đại lý và người bán hàng phải đối phó với nhu cầu ngày càng tăng và khối lượng lớn hơn, khách hàng phải thích ứng với việc quản lý cuộc sống hàng ngày của họ bằng công nghệ số và các chính phủ phải hành động nhanh chóng và hiệu quả để hỗ trợ dịch vụ phát triển.
3 nguy cơ bảo mật, rủi ro chính đối với dịch vụ Mobile Money
Dịch vụ Mobile Money đã phát triển rộng rãi trong vài năm qua. Tuy nhiên, loại hình dịch vụ này cũng khá nhạy cảm về mặt chiến lược và bảo mật. Thật vậy, tiền là một mục tiêu hấp dẫn cho những kẻ tấn công và lừa đảo. Mobile Money cũng có thể bị lạm dụng để rửa tiền và tài trợ bất hợp pháp, đặt ra những rủi ro và thách thức đối với tính bền vững của ngành. Do vậy, dịch vụ Mobile Money cũng gặp những nguy cơ bảo mật, rủi ro như ở dịch vụ tài chính thông thường, ngoài ra do đặc điểm riêng của dịch vụ, có những nguy cơ bảo mật, rủi ro đặc thù tồn tại trong dịch vụ này.
1- Rủi ro trong giao dịch
Trong giao dịch, dịch vụ Mobile Money có thể gặp các rủi ro sau:
- Giao dịch bị lỗi, bị trì hoãn: Các giao dịch trong mạng thanh toán di động thực hiện chuyển tiếp qua nhiều hệ thống mạng viễn thông. Bất kỳ sự cố nào trong chuỗi này đều có thể dẫn đến không thể giao dịch.
- Giao dịch bị lặp: hệ thống Mobile Money đôi khi nhận được nhiều bản sao của cùng một SMS mang một giao dịch, mà hệ thống có thể hiểu là nhiều giao dịch từ khách hàng.
- Chiếm đoạt số điện thoại di động: số điện thoại di động của khách hàng có thể bị chiếm đoạt thông qua hoạt động thay thẻ SIM hoặc mất trộm, sau đó thực hiện giao dịch bất hợp pháp đối với tài khoản Mobile Money gắn với số điện thoại di động này.
- Vishing/Smishing: sử dụng các cuộc gọi điện thoại hoặc SMS để thu thập thông tin cá nhân như số tài khoản, mã PIN hoặc chi tiết nhận dạng cá nhân nhằm mục đích đánh cắp danh tính để cho phép một bên khác sao chép danh tính của khách hàng trong hệ thống, sau đó sử dụng danh tính của khách hàng để thực hiện giao dịch bất hợp pháp.
- Giao dịch giả mạo: sử dụng thiết bị mạo danh nhà mạng gửi tin nhắn SMS giả thông báo giao dịch đã thành công. Các giao dịch giả mạo thường được sử dụng để thực hiện rút tiền mặt từ đại lý hoặc thanh toán mua hàng.
2-Rủi ro đại lý
Các nhà cung cấp dịch vụ Mobile Money cũng phải đối mặt với các rủi ro từ đại lý như sau:
- Mạo danh tư cách nhà cung cấp: đại lý trái phép hoạt động như một đại lý được ủy quyền, thực hiện các giao dịch với mục đích lừa gạt để có thông tin của khách hàng, lừa gạt người gửi tiền và bỏ trốn số tiền đã gửi.
- Lạm dụng thông tin khách hàng: Hoạt động của Mobile Money thường dựa vào mạng lưới đại lý, đại lý được ủy quyền để thu thập thông tin chi tiết về khách hàng cho việc xác minh thông tin. Đại lý có thể sử dụng các thông tin này cho các mục đích gian lận khác.
- Làm giả thông tin khách hàng trong quá trình đăng ký tài khoản: Đại lý thường được trả hoa hồng cho các tài khoản mới mở. Điều này có thể khiến họ không thực hiện đúng quy trình trong việc kiểm tra thông tin của khách hàng khi đăng ký tài khoản mới.
- Chậm trễ trong cập nhật số dư của khách hàng: với quy trình xử lý qua đại lý trung gian trong hoạt động của Mobile Money, việc cập nhật số dư có thể bị trì hoãn đối với bất kỳ giao dịch nhất định nào. Điều này cho khách hàng thấy các giao dịch trong tương lai có thể bị từ chối không chính xác do “không đủ tiền”.
- Chia nhỏ các giao dịch: các đại lý chia nhỏ các giao dịch nhận tiền mặt để kiếm được nhiều khoản hoa hồng.
3-Rủi ro nội bộ
Ngoài hai loại rủi ro trên, rủi ro từ nội bộ của chính các nhà cung cấp dịch vụ cũng là bài toán mà các nhà quản lý cần quan tâm:
- Gian lận nội bộ: Nhân viên thông đồng để trục lợi tài chính cá nhân thông qua hệ thống kỹ thuật.
- Đánh cắp danh tính: Nhân viên truy cập và khai thác thông tin khách hàng mà không được phép.
Bằng cách xem xét vai trò của các đối tượng tham gia, nhà cung cấp dịch vụ Mobile Money có thể xác định và đánh giá các lỗ hổng trong hệ thống. Ví dụ, khách hàng thường là nạn nhân khi họ không bảo vệ đầy đủ mã PIN của mình. Các đại lý có thể khai thác hệ thống bằng cách chia nhỏ các giao dịch để thu lợi bất chính. Mặc dù điều này có thể không được coi là gian lận theo nghĩa pháp lý, nhưng các nhà điều hành thường coi nó là gian lận vì nó có tác động đối với doanh thu của DN.
Rủi ro nội bộ, hoặc rủi ro nhân viên lừa dối công ty, là rất quan trọng vì rủi ro tài chính và uy tín có thể rất lớn ngay cả khi khả năng xảy ra có thể thấp. Việc triển khai Mobile Money với các chiến lược quản lý rủi ro hiệu quả khi xem xét cẩn trọng bất kỳ lỗ hổng nào, đặc biệt là quy trình kỹ thuật xác thực đối chiếu tiền trong giao dịch, có thể cho phép nhân viên lừa đảo công ty. Việc xác định nguy cơ bảo mật, rủi ro xuất phát từ các bên liên quan đảm bảo cho nhà cung cấp dịch vụ Mobile Money kiểm soát và đưa ra các giải pháp khắc phục.
8 giải pháp kiểm soát, khắc phục các nguy cơ và rủi ro bảo mật
Dịch vụ Mobile Money đang phát triển nhanh chóng và mang lại tiềm năng lớn cho hoạt động tài chính. Hoạt động nghiên cứu và đề ra các biện pháp kiểm soát rủi ro trong hoạt động dịch vụ Mobile Money là hết sức quan trọng. Sáu giải pháp kiểm soát, khắc phục các nguy cơ và rủi ro bảo mật đề xuất dưới đây cần được các nhà quản lý xem xét áp dụng.
1- Nghiên cứu. Hiện có rất ít nghiên cứu về rủi ro trong các dịch vụ Mobile Money, do dịch vụ này mới được triển khai tại Việt Nam. Nghiên cứu sẽ giúp nhà cung cấp dịch vụ hiểu được lý do đặc thù của nguy cơ bảo mật, rủi ro, tần suất xảy ra, các mô hình, các bên chịu trách nhiệm và hiệu quả của các biện pháp can thiệp khác nhau được thực hiện để hạn chế rủi ro.
2- Hợp tác giữa các nhà cung cấp. Vì đây là một vấn đề nhạy cảm, có ảnh hưởng đến hình ảnh thương hiệu và khối lượng kinh doanh, nên nhiều nhà cung cấp giải quyết vấn đề một cách riêng lẻ mà không công bố và không phối hợp. Do đó, có giới hạn về thông tin bảo mật, rủi ro giữa các nhà cung cấp và không kịp thời khắc phục các rủi ro tương tự. Kẻ lừa đảo đã lừa một nhà cung cấp dịch vụ có thể chuyển sang nhà cung cấp dịch vụ tiếp theo khi biết rõ rằng thông tin khó có thể được chia sẻ giữa các nhà cung cấp dịch vụ Mobile Money khác nhau.
3- Ứng dụng công nghệ. Công nghệ rất quan trọng trong việc tăng cường bảo mật, quản lý rủi ro. Hầu hết các gian lận, đặc biệt là những gian lận có quy mô lớn, có thể được phát hiện và hạn chế thông qua phân tích dữ liệu. Tự động hóa các dịch vụ, xác định các nguồn lực để trợ giúp trong việc phân tích dữ liệu.
Kinh nghiệm của Telenor Pakistan Easypaisa: Nghiên cứu khách hàng và sử dụng công nghệ để quản lý hoạt động kinh doanh của đại lý
Các mô hình phân chia hoa hồng theo cấp cho phép các đại lý thu được lợi ích lớn hơn từ các giao dịch giá trị thấp, điều này rất quan trọng trong việc triển khai Mobile Money tại các nơi mà giao dịch giá trị thấp là chủ yếu. Easypaisa quyết định theo đuổi mô hình định giá theo tầng để tận dụng những lợi ích thương mại này. Tuy nhiên, các mô hình hoa hồng theo cấp vốn có rủi ro cao hơn các mô hình dựa trên tỷ lệ phần trăm với nhiều cơ hội hơn cho các đại lý lợi dụng hệ thống thông qua việc chia nhỏ các giao dịch để kiếm được nhiều hoa hồng.
Thay vì từ bỏ các lợi ích của mô hình hoa hồng theo cấp, Easypaisa đã triển khai một biện pháp phòng ngừa và kiểm soát để giảm thiểu rủi ro. Biện pháp này yêu cầu Easypaisa tiến hành phân tích hoạt động của khách hàng. Họ đã phát hiện ra hai sự thật hữu ích để tạo ra các biện pháp kiểm soát phù hợp với các yêu cầu cụ thể của dịch vụ của họ. Thứ nhất, hành vi bình thường của khách hàng là gửi ít nhất 50 Rupee vào tài khoản Easypaisa của họ cùng một lúc. Thứ hai, nhóm nghiên cứu xác định rằng trong khoảng thời gian 15 ngày, bất kỳ tài khoản nào thực hiện hơn 45 lần gửi tiền mặt (trung bình ba lần gửi tiền mỗi ngày) là bất thường và thường có liên quan đến hoạt động đáng ngờ.
Việc xác định hành vi “bình thường” và “bất thường” có nghĩa là Easypaisa có thể tạo ra các biện pháp kiểm soát có thể hiệu quả nhưng không quá khắt khe. Biết rằng khách hàng gửi ít nhất 50 Rupee có nghĩa là Easypaisa có thể tạo ra một khoản tiền gửi tối thiểu để không làm giảm trải nghiệm của khách hàng nhưng sẽ khiến các đại lý khó khăn hơn trong việc phân chia giao dịch.
Tương tự, bằng cách nhận biết các dạng hành vi “bất thường”, Easypaisa có thể phát triển một công cụ kiểm soát tự động cảnh báo bất kỳ tài khoản nào thực hiện hơn 45 lần gửi tiền tại cùng một điểm đại lý trong khoảng thời gian 15 ngày. Bằng cách tạo ra các kiểm soát này, Easypaisa đã có thể tận dụng lợi ích thương mại của hoa hồng theo từng cấp trong khi quản lý mức độ rủi ro của họ.
4- Nâng cao năng lực. Xây dựng cơ chế để theo dõi gian lận ở mọi cấp độ và tạo niềm tin của khách hàng vào hệ thống sinh thái Mobile Money. Phát triển các chương trình đào tạo các bên liên quan khác nhau trong hệ sinh thái Mobile Money về kiểm soát bảo mật, rủi ro.
5-Đào tạo về dịch vụ. Đào tạo về dịch vụ được yêu cầu cho cả đại lý và khách hàng để giải quyết hiệu quả rủi ro trong các dịch vụ Mobile Money.
Các giao dịch tài chính sử dụng ĐTDĐ là một hoạt động tương đối mới. Ngay cả với những người hiểu rõ hơn về công nghệ và cách sử dụng - cũng chưa thực sự sử dụng dịch vụ một cách đầy đủ. Những người có thu nhập thấp, đặc biệt là những người chưa có tài khoản ngân hàng, cần được hướng dẫn về cách sử dụng, lợi ích và rủi ro khi sử dụng dịch vụ này. Tương tự, các đại lý sẽ không thể phục vụ khách hàng đúng cách và bảo vệ khách hàng trừ khi họ biết về những rủi ro và cảnh báo mà họ cần thực hiện với tư cách là nhà cung cấp dịch vụ. Việc đào tạo về dịch vụ không nhất thiết phải chính thức, có thể thông qua việc sử dụng các công cụ tiếp thị và quảng cáo để nâng cao nhận thức.
6- Kiểm tra, giám sát. Kiểm tra, giám sát thường xuyên các đại lý là quan trọng để kiểm tra và đảm bảo thực hiện đúng. Nếu có sự cố tình lỏng lẻo hoặc sơ suất của đại lý, họ có thể bị cảnh cáo; mặt khác, nếu các đại lý mắc lỗi và sẵn sàng học hỏi, họ có thể được hướng dẫn trong quá trình hoạt động. Thực hiện đánh giá định kỳ để xếp hạng và xử lý kịp thời các trường hợp vi phạm kéo dài, có hệ thống.
7- Bảo vệ khách hàng. Các biện pháp bảo vệ khách hàng là những biện pháp được áp dụng để bảo vệ người tiêu dùng và những người sử dụng khác của dịch vụ Mobile Money khỏi các hành vi không công bằng. Việc đánh giá chính thức về khả năng trong việc tối ưu hóa bảo vệ khách hàng, giảm rủi ro hoạt động, gian lận và danh tiếng có thể được thực hiện thông qua một loạt các cuộc phỏng vấn đại lý, khách hàng, nhân viên công ty.
8- Quản lý nhà nước. Cơ quan quản lý dịch vụ Mobile Money bao gồm các cơ quan quản lý dịch vụ tài chính, cơ quan quản lý viễn thông và các cơ quan liên quan khác phải được trang bị tốt để đảm bảo bảo vệ khách hàng tốt hơn thông qua việc ban hành các chính sách phù hợp và thực thi chính sách nghiêm minh. Các cơ quan quản lý phải đặt ra các hướng dẫn về các yêu cầu tuân thủ và báo cáo. Các nhà cung cấp dịch vụ phải báo cáo định kỳ về các tiêu chuẩn tuân thủ chính. Các cơ quan quản lý phải lắng nghe công chúng và yêu cầu các nhà cung cấp dịch vụ giải quyết những thách thức bảo mật, rủi ro ảnh hưởng đến hoạt động của dịch vụ Mobile Money.