Khó khăn, thách thức pháp lý trong chuyển đổi số ngân hàng

Bà Nguyễn Thị Phương, Phó Chủ nhiệm CLB Pháp chế Ngân hàng cho biết, bên cạnh các thuận lợi, thực tiễn triển khai chuyển đổi số trong ngành Ngân hàng vẫn đang đối mặt với không ít khó khăn, thách thức về mặt pháp lý. Những thách thức này đòi hỏi hệ thống pháp luật tiếp tục phải điều chỉnh, hoàn thiện để theo kịp tốc độ phát triển của công nghệ và thực tiễn kinh doanh ngân hàng số.

Theo đó, bà Nguyễn Thị Phương đã chỉ ra những khó khăn, thách thức về mặt pháp lý mà các ngân hàng đang phải đối mặt trong quá trình chuyển đổi số. Cụ thể:

Thứ nhất, một số văn bản pháp lý được ban hành từ rất lâu, hiện vẫn đang có hiệu lực điều chỉnh giao dịch điện tử, chứng từ điện tử trong lĩnh vực ngân hàng nhưng nội dung đã lỗi thời, thiếu cập nhật gây cản trở cho hoạt động ngân hàng số. Đơn cử như Nghị định 35/2007/NĐ-CP về giao dịch điện tử trong hoạt động ngân hàng – văn bản chưa được điều chỉnh để phù hợp với Luật Giao dịch điện tử 2023. Các quy định về chứng từ điện tử trong văn bản này hiện đã không còn phù hợp, không phản ánh đầy đủ các hình thức giao dịch và lưu trữ điện tử hiện đại. Tương tự, Quyết định 1789/2005/QĐ-NHNN về chế độ chứng từ kế toán ngân hàng cũng chưa cập nhật các nguyên tắc và tiêu chuẩn về chứng từ điện tử theo Luật Kế toán sửa đổi năm 2024, gây lúng túng trong việc công nhận và lưu trữ chứng từ số tại các ngân hàng.

Thứ hai, thiếu sự đồng bộ liên ngành và hợp tác quản lý giữa các cơ quan nhà nước đối với dịch vụ ngân hàng số. Chuyển đổi số ngân hàng muốn thành công cần sự phối hợp của nhiều ngành (công an, tư pháp, thuế, viễn thông…). Tuy nhiên, hiện nay mức độ phối hợp còn hạn chế, thể hiện ở việc một số quy định pháp luật ngành khác chưa “điều chỉnh kịp” khi ngân hàng thay đổi phương thức hoạt động.

Chẳng hạn, ngành công chứng, đăng ký giao dịch bảo đảm đôi khi vẫn yêu cầu văn bản có chữ ký tay, con dấu truyền thống; hay ngành thuế có quy định về hóa đơn điện tử nhưng trong xử lý vi phạm còn lúng túng với chứng từ điện tử ngân hàng. Việc thiếu các quy định liên thông, thừa nhận lẫn nhau giữa các ngành tạo nên rào cản cho quy trình số hóa trọn vẹn của ngân hàng. Ví dụ, ngân hàng đã cho vay và lưu trữ hồ sơ điện tử, nhưng khi xử lý tài sản thế chấp, tòa án hoặc cơ quan thi hành án lại yêu cầu bản giấy, gây chậm trễ và tốn kém.

Một ví dụ khác, Thông tư 50/2024/TT-NHNN hướng dẫn về các hình thức xác nhận điện tử ngoài chữ ký số tuy là bước tiến, nhưng phạm vi áp dụng hiện chỉ giới hạn trong cung cấp dịch vụ trực tuyến cho khách hàng, chưa rõ có được áp dụng cho các hoạt động nội bộ ngân hàng hay không. Điều này khiến việc xác lập, ký kết các chứng từ, giao dịch nội bộ thuần số gặp khó khăn trong triển khai đồng bộ.

Thứ ba, khuôn khổ pháp lý cho hoạt động chia sẻ dữ liệu trong ngành ngân hàng đã bước đầu được thiết lập thông qua Thông tư 64/2024/TT-NHNN, Nghị định 94/2025/NĐ-CP, mô hình tài chính số mới như cho vay ngang hàng (P2P Lending) đã bắt đầu được điều chỉnh thông qua Nghị định 94/2025/NĐ-CP nhưng cần có thời gian để đánh giá hiệu quả triển khai, đáp ứng thị trường và tiếp tục hoàn thiện.

Thứ tư, hành lang pháp lý cho an ninh mạng và bảo vệ dữ liệu trong lĩnh vực ngân hàng còn nhiều thách thức. Dù đã có Luật An ninh mạng và Nghị định bảo vệ dữ liệu cá nhân, việc triển khai bảo vệ khách hàng trên thực tế vẫn đối mặt nguy cơ tội phạm công nghệ cao gia tăng. Theo báo cáo của Hiệp hội An ninh mạng quốc gia, năm 2024 ghi nhận hơn 659.000 vụ tấn công an ninh mạng, ảnh hưởng tới khoảng 46,15% cơ quan, doanh nghiệp . Đặc biệt, các hình thức tấn công như mã độc tống tiền (ransomware) và tấn công có chủ đích (APT) chiếm tỷ lệ cao, gây gián đoạn hoạt động và thiệt hại đáng kể về kinh tế và uy tín cho nhiều tổ chức . Trong khi đó, khung pháp lý xử lý các hành vi này chưa hoàn thiện và chế tài chưa đủ sức răn đe, đặc biệt đối với tội phạm xuyên biên giới. Các ngân hàng gặp khó khăn trong chia sẻ thông tin về sự cố an ninh mạng do e ngại trách nhiệm và ảnh hưởng uy tín, phần nào cản trở việc hợp tác phòng chống tội phạm mạng một cách hiệu quả.

Bên cạnh đó, yêu cầu về bảo mật thông tin khách hàng và tuân thủ quy định bảo vệ dữ liệu cá nhân đặt ra thách thức không nhỏ. Nghị định 13/2023 yêu cầu ngân hàng phải xin consent (đồng ý) của khách hàng khi sử dụng dữ liệu vào mục đích khác, phải xóa dữ liệu khi hết mục đích, đảm bảo an toàn dữ liệu… Việc tuân thủ đầy đủ đòi hỏi ngân hàng đầu tư hệ thống quản trị dữ liệu phức tạp và đào tạo nhân sự, trong khi hành vi vi phạm (nếu xảy ra rò rỉ dữ liệu) có thể bị xử phạt nặng. Đây là thách thức về chi phí và quản trị rủi ro mà các ngân hàng phải cân nhắc trong quá trình số hóa.

Thứ năm, vướng mắc về công nhận chữ ký điện tử của tổ chức và con dấu điện tử. Hiện nay, pháp luật đã công nhận chữ ký số (chứng thư số) của doanh nghiệp/tổ chức, nhưng trên thực tế việc một pháp nhân “ký” điện tử vẫn cần thông qua người đại diện hoặc ủy quyền cho cá nhân cụ thể. Điều này gây khó khăn khi ngân hàng muốn tự động hóa hoàn toàn quy trình ký kết (ví dụ: hệ thống core banking tự động duyệt và “ký” hợp đồng tín dụng). Chưa có quy định rõ ràng về “chữ ký số của pháp nhân” cho phép hệ thống tự động ký thay cho lãnh đạo mà vẫn có giá trị pháp lý. Tương tự, con dấu điện tử của tổ chức tuy đã được đề cập, nhưng nhiều cơ quan và đối tác vẫn chưa quen thuộc, dễ dẫn đến nghi ngại về tính pháp lý của văn bản nếu thiếu dấu đỏ truyền thống.

Thứ sáu, vấn đề chứng cứ điện tử và công nhận giá trị pháp lý của giao dịch số trong tố tụng vẫn còn vướng mắc. Mặc dù Luật Giao dịch điện tử và Bộ luật Tố tụng đã thừa nhận dữ liệu điện tử là nguồn chứng cứ hợp pháp, nhưng quy trình thu thập, kiểm chứng và chấp nhận chứng cứ điện tử tại tòa án, cơ quan thanh tra còn chưa thống nhất. Ví dụ, nếu xảy ra tranh chấp hợp đồng tín dụng ký điện tử, toà án có thể yêu cầu bên cung cấp chứng minh tính xác thực của chữ ký số, trong khi tiêu chuẩn giám định chữ ký số hoặc nhật ký giao dịch điện tử chưa được quy định chi tiết. Việc chuyển đổi chứng từ số sang bản giấy để đối chứng cũng phức tạp và có nguy cơ sai lệch nếu không có quy định rõ ràng về chủ thể và quy trình chuyển đổi. Thực tế này khiến một số ngân hàng vẫn phải lưu trữ song song hồ sơ giấy truyền thống để phòng trường hợp tranh chấp, làm giảm hiệu quả của chuyển đổi số.

Thứ bảy, quy định về lưu trữ dữ liệu và sử dụng công nghệ mới chưa theo kịp nhu cầu thực tế. Ngân hàng là lĩnh vực đòi hỏi lưu trữ dữ liệu giao dịch, hồ sơ khách hàng trong thời gian dài (nhiều năm) để phục vụ tra soát, đối chiếu và tuân thủ quy định. Tuy nhiên, pháp luật về lưu trữ dữ liệu điện tử chưa có hướng dẫn cụ thể về định dạng, thời gian lưu trữ, cũng như việc sử dụng dịch vụ lưu trữ đám mây.

Chẳng hạn, Luật Kế toán yêu cầu lưu trữ chứng từ, sổ sách; nếu lưu bản điện tử thì có cần thông báo cơ quan quản lý không, hoặc có phải định kỳ sao lưu ra giấy không – hiện chưa rõ. Một số ngân hàng muốn đưa dữ liệu lên cloud (đám mây) để tận dụng hạ tầng linh hoạt, nhưng lo ngại quy định an ninh mạng về lưu trữ dữ liệu trong nước, hoặc thiếu tiêu chuẩn đánh giá nhà cung cấp dịch vụ cloud đủ an toàn cho dữ liệu ngân hàng. Sự chưa rõ ràng này dẫn đến việc nhiều ngân hàng vẫn phải đầu tư trung tâm dữ liệu riêng tốn kém hoặc in ra giấy lưu trữ dự phòng, ảnh hưởng tới hiệu quả chuyển đổi số.

Tóm lại, các thách thức pháp lý trên đây phản ánh khoảng cách giữa sự phát triển nhanh chóng của công nghệ ngân hàng số với tốc độ hoàn thiện pháp luật.

"Việc nhận diện đầy đủ những thách thức này là cần thiết để từ đó có giải pháp điều chỉnh khuôn khổ pháp lý phù hợp, giúp ngân hàng yên tâm đổi mới sáng tạo mà không “vượt rào” pháp luật, đồng thời bảo vệ tốt hơn quyền lợi của khách hàng trong kỷ nguyên số", bà Nguyễn Thị Phương khẳng định.