Bộ Tài chính đang lấy ý kiến đối với dự thảo Thông tư quy định về giao dịch điện tử trên thị trường chứng khoán, qua đó thiết lập một khung tiêu chuẩn mới cho toàn bộ hoạt động giao dịch trực tuyến. So với các quy định hiện hành, dự thảo bổ sung hàng loạt yêu cầu định lượng cụ thể nhằm tăng cường bảo mật, chuẩn hóa vận hành và nâng cao khả năng phòng chống các hành vi gian lận, thao túng.
Xác thực sinh trắc học trở thành chuẩn mới cho giao dịch tiền
Một trong những thay đổi quan trọng nhất của dự thảo là quy định bắt buộc xác thực sinh trắc học đối với các giao dịch rút hoặc chuyển tiền ra khỏi tài khoản chứng khoán có giá trị từ 10 triệu đồng trở lên.
Theo đó, các tổ chức cung cấp dịch vụ phải thực hiện đối chiếu dữ liệu khách hàng với Cơ sở dữ liệu quốc gia về dân cư hoặc hệ thống định danh, xác thực điện tử do cơ quan công an quản lý để bảo đảm giao dịch được thực hiện đúng chủ tài khoản. Với các giao dịch dưới ngưỡng này, nhà đầu tư vẫn có thể sử dụng các phương thức xác thực khác như OTP hoặc chữ ký số.
Dự thảo cũng đánh dấu bước chuyển rõ nét từ các phương thức bảo mật truyền thống sang xác thực dựa trên đặc điểm sinh học như khuôn mặt, vân tay, mống mắt hoặc giọng nói. Đây được xem là lớp bảo vệ mới trước nguy cơ đánh cắp thông tin, giả mạo danh tính và các công nghệ gian lận như deepfake ngày càng tinh vi.
Đối với nhà đầu tư cá nhân, điều này đồng nghĩa với việc cần chủ động cập nhật dữ liệu sinh trắc học và thông tin thuê bao chính chủ tại công ty chứng khoán để bảo đảm khả năng thực hiện các giao dịch tiền trong tương lai.
Chuẩn hóa toàn bộ hạ tầng từ tốc độ xử lý đến quản trị dữ liệu
Bên cạnh yêu cầu về xác thực, dự thảo đặt ra các chuẩn vận hành chi tiết đối với hệ thống giao dịch điện tử.
Các công ty chứng khoán phải thông báo kết quả khớp lệnh cho khách hàng ngay sau khi giao dịch được thực hiện, với độ trễ tối đa không quá 10 giây. Khi xảy ra các sự cố nghiêm trọng như hệ thống phải ngừng hoạt động, bị chiếm quyền điều khiển hoặc rò rỉ dữ liệu, doanh nghiệp phải gửi báo cáo bằng văn bản đến Ủy ban Chứng khoán Nhà nước trong vòng 24 giờ kể từ thời điểm phát sinh sự cố.
Để bảo đảm khả năng khôi phục sau thảm họa, toàn bộ dữ liệu và cấu hình hệ thống phải được lưu trữ tối thiểu 3 bản sao, trong đó 2 bản nằm trên các thiết bị khác nhau và ít nhất 1 bản được lưu độc lập với hệ thống giao dịch trực tuyến chính thức.
Dự thảo đồng thời yêu cầu các tổ chức phải đánh giá, xác định cấp độ an toàn hệ thống thông tin trước khi đưa vào vận hành và thực hiện rà soát định kỳ hàng năm. Môi trường vận hành chính thức phải được tách biệt hoàn toàn với môi trường thử nghiệm và phát triển phần mềm. Hoạt động quản trị hệ thống chỉ được thực hiện thông qua máy chủ trung gian hoặc hệ thống quản trị tập trung, không cho phép nhân sự sử dụng máy tính cá nhân kết nối trực tiếp.
Ngoài ra, các công ty chứng khoán sẽ phải đầu tư thêm vào các trung tâm dữ liệu dự phòng (DR Site), giải pháp phòng chống rò rỉ dữ liệu (DLP) và cơ chế mã hóa đầu cuối nhằm bảo đảm tính liên tục và an toàn của dịch vụ.
Mở cửa API nhưng siết trách nhiệm và đặt ra lộ trình chuyển đổi 12 tháng
Một điểm mới đáng chú ý là lần đầu tiên các kết nối qua giao diện lập trình ứng dụng (API) được quy định cụ thể trong văn bản pháp lý.
Dự thảo cho phép các công ty chứng khoán kết nối với các ứng dụng Fintech và tổ chức bên thứ ba để cung cấp dịch vụ trực tuyến, song mọi kết nối phải được thiết lập trên cơ sở hợp đồng cam kết bảo mật rõ ràng. Công ty chứng khoán vẫn là đơn vị chịu trách nhiệm cao nhất đối với an toàn hệ thống và dữ liệu khách hàng.
Các tổ chức phải áp dụng cơ chế giới hạn tần suất truy cập (rate limit) để ngăn nguy cơ quá tải hệ thống. Đồng thời, trong vòng 3 tháng kể từ ngày Thông tư có hiệu lực, các đơn vị phải lập danh mục và báo cáo chi tiết toàn bộ API đang triển khai cho Ủy ban Chứng khoán Nhà nước.
Theo lộ trình dự kiến, Thông tư mới sẽ thay thế Thông tư 134/2017/TT-BTC và Thông tư 73/2020/TT-BTC. Sau khi có hiệu lực trong năm 2026, các tổ chức cung cấp dịch vụ sẽ có 12 tháng để hoàn thiện hệ thống công nghệ và chuẩn hóa dữ liệu khách hàng theo các yêu cầu mới.
Việc thiết lập các tiêu chuẩn chặt chẽ hơn đối với xác thực, an ninh mạng và quản trị dữ liệu được kỳ vọng sẽ tạo ra một bộ lọc tự nhiên đối với các đối tác công nghệ tham gia thị trường, đồng thời đặt nền móng cho một hệ sinh thái giao dịch chứng khoán điện tử an toàn, minh bạch và có khả năng tự vệ cao hơn trước các rủi ro trong không gian số.
