Từ 2025, thanh toán thẻ ngân hàng online trên 5 triệu đồng phải xác thực thế nào?

Từ 2025, xác thực thanh toán thẻ ngân hàng trực tuyến trên 5 triệu đồng thế nào?

Căn cứ Điều 10 Thông tư 50/2024/TT-NHNN quy định về các cách xác nhận giao dịch đối với từng trường hợp giao dịch thanh toán trực tuyến, cụ thể:

(i) Đối với giao dịch thanh toán sử dụng tài khoản thanh toán hoặc ví điện tử hoặc giao dịch chuyển tiền từ thẻ ghi nợ, thẻ trả trước định danh

Tổ chức, cá nhân thực hiện giao dịch theo phương thức trên căn cứ vào Phụ lục 01 để phân loại giao dịch theo các nhóm loại hình giao dịch và áp dụng hình thức xác nhận tương ứng quy định tại Phụ lục 02.

(ii) Đối với giao dịch thanh toán thực hiện bằng phương thức xử lý xuyên suốt

Phương thức xử lý xuyên suốt (Straight-Through Processing) là phương thức trao đổi thông tin, dữ liệu, tài liệu hai chiều tự động, thông qua kết nối an toàn giữa hệ thống thông tin của khách hàng với hệ thống Online Banking.

Tổ chức, cá nhân giao dịch bằng phương thức xử lý xuyên suốt phải xác nhận giao dịch theo một trong cách phương thức sau: 

• Xác nhận FIDO (Fast IDentity Online)

• Xác nhận bằng chữ ký điện tử 

• Xác nhận bằng chữ ký điện tử an toàn 

(iii) Đối với các giao dịch thanh toán thẻ trực tuyến (không bao gồm giao dịch chuyển tiền)

Tổ chức, cá nhân căn cứ Phụ lục 03 để phân loại giao dịch theo các nhóm loại hình giao dịch và áp dụng các hình thức xác nhận tương ứng theo quy định tại Phụ lục 04.

(iv) Đối với các giao dịch mà đơn vị chủ động trích Nợ tài khoản thanh toán, chủ động trích Nợ ví điện tử, chủ động thanh toán từ thẻ của khách hàng theo thỏa thuận với khách hàng: Không bắt buộc phải áp dụng xác nhận giao dịch quy định tại điểm a, điểm c khoản 1 Điều 10 Thông tư 50/2024/TT-NHNN.

(v) Đối với các giao dịch thanh toán trực tuyến trên Cổng Dịch vụ công quốc gia, nộp tiền vào ngân sách nhà nước: Không bắt buộc phải áp dụng xác nhận giao dịch quy định tại điểm a, điểm c khoản 1 Điều 10 Thông tư 50/2024/TT-NHNN.

Căn cứ Phụ lục 03 Thông tư 50/2024/TT-NHNN dã phân loại giao dịch thanh toán thẻ trực tuyến (không bao gồm giao dịch chuyển tiền) thành 3 loại: Giao dịch loại E, Giao dịch loại F và Giao dịch loại G.

Theo đó, mỗi loại giao dịch ở Phụ lục 03 sẽ tương ứng với một hình thức xác nhận giao dịch ở Phụ lục 04, cụ thể:

• Giao dịch loại E (G + T ≤ 5 triệu VND): Mã khóa bí mật hoặc mã PIN.

• Giao dịch loại F (5 triệu VND < G + T ≤ 100 triệu VND): SMS OTP; Voice OTP Email OTP; Thẻ ma trận OTP; Soft OTP/ Token OTP loại cơ bản; hai kênh.

• Giao dịch loại G (G + T > 100 triệu VND): Soft OTP/ Token OTP loại nâng cao; FIDO; chữ ký điện tử/chữ ký điện tử an toàn; EMV 3DS.

Như vậy, nếu tổng giá trị của giao dịch đang thực hiện cộng với tổng giá trị các giao dịch đã thực hiện trong ngày lớn hơn 5 triệu và không quá 100 triệu sẽ phải thực hiện xác thực với một trong các phương thức sau: SMS OTP; Voice OTP, Email OTP; Thẻ ma trận OTP; Soft OTP/ Token OTP loại cơ bản; hai kênh.

Quy định về các hình thức xác nhận thanh toán thẻ trực tuyến trên 5 triệu đồng 

Theo quy định tại Điều 10 Thông tư 50/2024/TT-NHNN, các giao dịch thực hiện lớn hơn 5 triệu và không quá 100 triệu sẽ phải thực hiện xác thực với một trong các phương thức sau: 

(i) SMS OTP

SMS OTP là hình thức xác nhận thông qua mã OTP được gửi qua tin nhắn SMS (Short Message Services) hoặc tin nhắn thông qua dịch vụ viễn thông cơ bản trên Internet. SMS OTP phải đáp ứng yêu cầu sau:

• OTP gửi tới khách hàng phải kèm thông tin thông báo để khách hàng nhận biết được mục đích của OTP.

• OTP có hiệu lực tối đa 05 phút.

(ii) Voice OTP

Voice OTP là hình thức xác nhận thông qua mã OTP được gửi qua cuộc gọi thoại hoặc cuộc gọi thông qua dịch vụ viễn thông cơ bản trên Internet. Voice OTP phải đáp ứng yêu cầu:

• OTP gửi tới khách hàng phải kèm thông tin thông báo để khách hàng nhận biết được mục đích của OTP.

• OTP có hiệu lực tối đa 03 phút.

(iii) Email OTP

Email OTP là hình thức xác nhận thông qua mã OTP được gửi qua thư điện tử. Email OTP phải đáp ứng yêu cầu:

• OTP gửi tới khách hàng phải kèm thông tin thông báo để khách hàng nhận biết được mục đích của OTP.

• OTP có hiệu lực tối đa 05 phút.

(iv) Thẻ ma trận OTP

Thẻ ma trận OTP là hình thức xác nhận thông qua mã OTP được xác định từ một bảng 2 chiều (dòng, cột), tương ứng với mỗi dòng, cột là một mã OTP. Thẻ ma trận OTP phải đáp ứng yêu cầu:

• Thẻ ma trận OTP có thời hạn sử dụng tối đa 01 năm kể từ ngày đăng ký thẻ;

• OTP có hiệu lực tối đa 02 phút.

(v) Soft OTP 

Là hình thức xác nhận thông qua mã OTP được tạo bởi phần mềm cài đặt trên thiết bị di động của khách hàng, phần mềm Soft OTP có thể là phần mềm độc lập hoặc được tích hợp với phần mềm ứng dụng Mobile Banking.

(vi) Hai kênh

Đây là hình thức xác nhận khi khách hàng thực hiện giao dịch, hệ thống Online Banking sẽ gửi thông tin yêu cầu xác nhận giao dịch đến thiết bị di động của khách hàng qua cuộc gọi thoại/dịch vụ viễn thông cơ bản trên Internet/qua mã tin nhắn nhanh USSD/qua phần mềm chuyên dụng, khách hàng phản hồi trực tiếp qua kênh đã kết nối để xác nhận hoặc không xác nhận thực hiện giao dịch.

Yêu cầu xác nhận của hình thức xác nhận hai kênh có hiệu lực tối đa 05 phút.

Trên đây là thông tin về hình thức xác thực thanh toán thẻ ngân hàng trực tuyến​ trên 5 triệu đồng từ 01/01/2025.