Trong bối cảnh kinh tế số trở thành một trụ cột tăng trưởng của nền kinh tế, ngành ngân hàng đang đứng trước yêu cầu chuyển đổi sâu rộng cả về mô hình vận hành lẫn tư duy quản trị.
Thực tiễn triển khai cho thấy công nghệ chỉ có thể phát huy hiệu quả khi được đặt trong một hành lang pháp lý đồng bộ, linh hoạt và đủ độ tin cậy. Tại Việt Nam, quá trình hoàn thiện công nghệ số trong ngành ngân hàng vì vậy gắn chặt với tiến trình kiến tạo thể chế, nơi pháp luật không chỉ “theo kịp” mà phải đóng vai trò dẫn dắt đổi mới sáng tạo.
Trong những năm qua, Chính phủ và Ngân hàng Nhà nước đã thể hiện rõ sự chuyển dịch tư duy quản lý, thông qua việc ban hành hàng loạt văn bản pháp lý mang tính nền tảng cho hạ tầng số ngân hàng.
Trao đổi với Diễn đàn Doanh nghiệp, TS Nguyễn Khánh Phương, Viện Nghiên cứu Khoa học Ngân hàng (HVNH) nhìn nhận khoảng cách giữa khung khổ pháp lý và thực tiễn công nghệ vẫn tạo ra những điểm nghẽn vận hành đáng kể. Nhiều văn bản cũ như Nghị định 35/2007/NĐ-CP hay Quyết định 1789/2005/QĐ-NHNN không còn tương thích với Luật Giao dịch điện tử 2023 và Luật Kế toán 2024, dẫn tới một “khoảng trống” niềm tin pháp lý đối với chứng từ thuần số.
Trong thực tế, khi xảy ra thanh tra, kiểm toán hoặc tranh chấp, các cơ quan chức năng vẫn dè dặt trong việc thừa nhận tính nguyên gốc của dữ liệu điện tử, khiến các ngân hàng không thể số hóa hoàn toàn quy trình kế toán và lưu trữ.
Sự thiếu đồng bộ liên ngành càng làm gia tăng chi phí vận hành. Trong khi các tổ chức tín dụng đầu tư mạnh cho mô hình “paperless” (hạn chế giấy tờ), nhiều thủ tục liên quan đến công chứng, thuế và đăng ký giao dịch bảo đảm vẫn yêu cầu chữ ký tay và dấu đỏ. Hệ quả là ngân hàng buộc phải duy trì song song hồ sơ giấy và hồ sơ số, triệt tiêu phần lớn lợi ích tiết giảm chi phí mà công nghệ mang lại.
Ngay cả những quy định mới như Thông tư 50/2024/TT-NHNN, dù cho phép xác nhận điện tử, vẫn chưa làm rõ phạm vi áp dụng cho các hoạt động nội bộ, tạo ra sự không nhất quán trong quản trị.
“Ở khía cạnh định danh và phòng chống rửa tiền, eKYC theo Thông tư 16/2020/TT-NHNN đã bộc lộ những rủi ro mới khi công nghệ giả mạo, đặc biệt là deepfake, ngày càng tinh vi. Khung pháp lý về chứng cứ điện tử trong các vụ việc AML/CFT (chống rửa tiền/chống tài trợ khủng bố) vẫn chưa hoàn thiện, thiếu các tiêu chuẩn giám định chữ ký số và dữ liệu sinh trắc học, gây khó khăn cho quá trình điều tra và xét xử. Những rủi ro này càng trở nên nghiêm trọng trong bối cảnh an ninh mạng gia tăng”, TS Nguyễn Khánh Phương cho biết.
Theo số liệu của Hiệp hội An ninh mạng quốc gia, năm 2024 ghi nhận hơn 659.000 vụ tấn công mạng, ảnh hưởng tới 46,15% cơ quan và doanh nghiệp. Sự cố tại Trung tâm Thông tin Tín dụng Quốc gia trong giai đoạn 11-15/9/2025, với 160 triệu bản ghi bị tấn công, cho thấy lỗ hổng trong cơ chế chia sẻ thông tin sự cố. Việc các ngân hàng e ngại công bố thông tin về các cuộc tấn công có chủ đích do lo ngại trách nhiệm pháp lý và tổn hại uy tín đã làm suy yếu khả năng phòng vệ tập thể của toàn hệ thống.
Trước những thách thức đó, định hướng hoàn thiện khung pháp lý cho công nghệ mới đòi hỏi sự chuyển dịch sang tư duy quản lý dựa trên công nghệ, lấy các giải pháp công nghệ như AI, Big Data, Blockchain và nguyên tắc Tuân thủ tích hợp trong thiết kế quy trình làm trung tâm.
TS Nguyễn Khánh Phương lý giải việc triển khai Open API theo Thông tư 64/2024/TT-NHNN không chỉ là bài toán kỹ thuật mà còn là vấn đề phân định trách nhiệm pháp lý giữa ngân hàng và bên thứ ba, đòi hỏi chuẩn hóa dựa trên OAuth 2.0/OIDC (giao thức tiêu chuẩn mở để ủy quyền, cho phép ứng dụng truy cập tài nguyên người dùng mà không cần mật khẩu) và các thỏa thuận mức dịch vụ chi tiết.
Trong lĩnh vực eKYC, việc bắt buộc tích hợp nhận diện 3D và liveness detection (phát hiện sự sống), đồng thời gắn mức độ xác thực với hạn mức giao dịch, được xem là giải pháp kỹ thuật then chốt để kiểm soát rủi ro rửa tiền.
Bên cạnh đó, việc hợp pháp hóa cơ chế ký hiệu robot cho phép hệ thống ngân hàng lõi tự động ký kết hợp đồng tín dụng, cần đi kèm với dịch vụ dấu thời gian nhằm đảm bảo tính không thể chối bỏ của giao dịch.
Quản trị dữ liệu theo thiết kế cũng trở thành yêu cầu bắt buộc, trong đó ngân hàng giữ vai trò bên kiểm soát dữ liệu, còn các fintech là bên xử lý, tuân thủ nghiêm ngặt Nghị định 13/2023/NĐ-CP và quy trình đánh giá tác động bảo vệ dữ liệu (DPIA) cho mọi dự án AI và chia sẻ dữ liệu API.
“Đơn cử như đề án ứng dụng AI/ML trong chấm điểm tín dụng và P2P Lending theo cơ chế sandbox của Nghị định 94/2025/NĐ-CP cho thấy cách tiếp cận thận trọng nhưng không bảo thủ. Theo mô hình này, AI/ML sẽ khai thác dữ liệu phi truyền thống như hành vi trực tuyến và lịch sử tiêu dùng để mở rộng khả năng tiếp cận tài chính, trong khi ngân hàng giữ vai trò trung gian kiểm soát dòng tiền.
Các điều kiện kinh doanh theo Quyết định 2866/QĐ-NHNN, bao gồm hạn mức dư nợ tối đa 100 triệu đồng cho mỗi khách hàng, tổng dư nợ toàn hệ thống sandbox 400 triệu đồng, cùng yêu cầu về vốn và ký quỹ tạo ra “vành đai an toàn” cho đổi mới. Đồng thời, việc xây dựng cơ chế bảo vệ dữ liệu và quản trị rủi ro như bảo hiểm tín dụng và quỹ dự phòng bắt buộc cũng giúp giảm thiểu tác động tiêu cực có thể phát sinh”, vị chuyên gia nêu dẫn chứng.
