CÔNG NGHỆ TÀI CHÍNH

QUẢN TRỊ RỦI RO FINTECH

Cấu trúc
1. Giới thiệu về Bảo mật và Quy định
2. Quản trị rủi ro và sự kiểm soát của chính phủ
3. Gian lận, phạm pháp, bảo mật
4. Xu hướng toàn cầu về RegTech
CÔNG NGHỆ TÀI CHÍNH

TUÂN THỦ CÁC YÊU CẦU TÀI

CHÍNH VÀ QUY ĐỊNH CỦA
CHÍNH PHỦ
1. Quy định và tuân thủ tài chính:
Nền tảng và lịch sử
Quản trị và tuân thủ
Trong quá khứ...
• Chuyên môn hóa ngành nghề
• Biên giới giữa các quốc gia
• Những ngày đầu của máy tính và Internet
• Tương đối đơn giản, mô hình điều tiết ngân hàng “one size fits all” - Basel 1
Quản trị và tuân thủ
... và ngày nay:
• Cơ quan quản lý quốc gia vs. tài chính toàn cầu
• Nguyên tắc vs. quy định dựa trên quy tắc
• Một vs. nhiều cơ quan quản lý
• Các bên liên quan vs. cổ đông
• “Catch me if you can”: Đổi mới quy định và tài chính - tác động của cuộc
khủng hoảng hiện tại
Quy định của ngành tài chính
Quy định của ngành tài chính
 Đạo luật Dodd-Frank 2010
• Giới thiệu các quy định mới và quy định mở rộng
• Mở rộng thẩm quyền để xác định công ty tài chính nào có tính hệ thống
• Người dùng cuối của doanh nghiệp nên theo dõi việc xây dựng các quy định về các
công cụ phái sinh giao dịch qua Internet có thể ảnh hưởng đến hoạt động phòng ngừa
rủi ro của họ
• Đạo luật nhấn mạnh đến việc bảo vệ người tiêu dùng và nhà đầu tư một cách mạnh
mẽ hơn và bắt đầu giải quyết các giải pháp có trật tự đối với những thất bại lớn theo
cách hạn chế tổn thất cho người nộp thuế.
 Yêu cầu về vốn
• Các ngân hàng thường phải tuân theo yêu cầu về vốn tối thiểu
• 3 loại yêu cầu về vốn ở Mỹ:
o Tỷ lệ đòn bẩy
o Tỷ lệ an toàn vốn
o Yêu cầu về vốn cho hoạt động kinh doanh
 Tỷ lệ an toàn vốn (CAR)
• Các ngân hàng ở tất cả các quốc gia tham gia phải có tỷ lệ an toàn vốn tối thiểu (tổng
vốn trên tổng tài sản có rủi ro và các khoản mục có rủi ro liên quan khác) là 8%.

CB = Capital base (vốn bắt buộc)

RWA = Risk weighted assets (tài sản tính theo độ rủi ro gia quyền)
Tỷ lệ an toàn vốn (CAR)
Tỷ lệ an toàn vốn (CAR)
Tỷ lệ an toàn vốn (CAR)
Tỷ lệ an toàn vốn (CAR)
Hiệp ước Basel II
 Basel III - Chính sách thanh khoản mới
Các tiêu chuẩn quốc tế về giảm thiểu rủi ro thanh khoản bằng cách sử dụng hai tỷ lệ sau:
- Tỷ lệ đảm bảo thanh khoản (LCR) sẽ yêu cầu các ngân hàng phải nắm giữ đủ lượng tài
sản có chất lượng cao để tồn tại trong tình trạng căng thẳng nghiêm trọng trong thời gian
30 ngày.
- Tỷ lệ tài trợ ròng ổn định (NSFR) đo lường nguồn tài trợ ổn định liên quan đến tính
thanh khoản của tài sản được tài trợ và khả năng rút ra các cam kết ngoại bảng trong
khoảng thời gian một năm
 Một số vấn đề với Basel III
• Hướng dẫn của Basel không được thực thi trực tiếp
• Thời gian thực hiện rất dài
• Khả năng huy động vốn trong thời kỳ khủng hoảng
• Thị trường địa phương có thể ngăn cản việc thực hiện trực tiếp một số quy tắc
• Tác động của các quy định Basel đối với các lĩnh vực như tài trợ thương mại, tài trợ dự
án, chứng khoán hóa
• Basel IV?
 Các vấn đề pháp lý quan trọng khác
• Chỉ thị về các công cụ tài chính II (Markets in Financial Instruments Directive 2014 -
MIFID II)
• Sự thúc đẩy bãi bỏ quy định của chính quyền Trump
• Ý nghĩa của IFRS9
• Balkan hóa quy định?
• Cán bộ và ủy ban quản lý rủi ro
2. Những thách thức về tuân thủ
tài chính
Các quy định
Glass-Steagall (1933-1999)
Được thiết kế để ngăn ngừa cuộc khủng hoảng khác
Tách biệt các ngân hàng thương mại, đầu tư và bảo hiểm
Lợi nhuận bị hạn chế do giảm cơ hội chấp nhận rủi ro
Các chủ ngân hàng không muốn bị quản lý (hãy để các ngân hàng tự điều
chỉnh)
Các quy định
Cuộc khủng hoảng tài chính 2008 dẫn đến các quy định tài chính mới
• Basel I, II, II.5, III
• Đạo luật Dodd-Frank
• Quy tắc Volcker
• Vốn chứng khoán hóa
• Vốn cho tài sản khác
• MIFID II…
Quy định trở nên phức tạp
 30 so với 30.000 trang
GS-> DF -> Basel I/II/III
 Ngày càng có nhiều quy tắc
Không nhất thiết tạo ra môi trường an toàn hơn
 Yêu cầu về vốn hiện nay cao hơn
Tuy nhiên, các ngân hàng và công ty FinTech đang tìm cách “lách” vấn đề đó.
Các ngân hàng đang trở nên đa phương
hơn
Ngành tài chính - ngân hàng ngày càng trở nên toàn cầu hóa.
 Các ngân hàng phải tuân theo quy định của nhiều quốc gia khác nhau
 Quy định ngân hàng ngang của Hoa Kỳ/Trung Quốc (mọi người điều chỉnh
mọi người)
 Điều này có thể gây ra nhiều rắc rối
 Các cơ quan quản lý khác nhau đôi khi không đồng ý về các vấn đề
3. Rủi ro và cơ hội khi “tránh”
hoặc bỏ qua các quy định
Rủi ro và phần thưởng

 Quy định về yêu cầu vốn khiến khó chấp nhận rủi ro lớn
 Các nước không thích giải cứu các công ty và tổ chức toàn cầu
 Tại sao người nộp thuế ở Anh phải bảo lãnh cho một tổ chức toàn cầu như HSBC?
Tuân thủ thông minh

 Giảm thiểu rủi ro thông qua việc chuyển tài sản ra khỏi bảng cân đối kế toán
 Lợi nhuận với rủi ro thấp hơn, tránh được một số quy định
 Hỗ trợ sáng tạo và đóng gói các dịch vụ tài chính
Tài chính sáng tạo
 Sửa đổi cấu trúc của sản phẩm tài chính hoặc chuyển sang khu vực pháp lý
thân thiện hơn là một chiến lược phổ biến để lách các quy định.
 IPOs so với ICOs:
 Bảo mật vs. Token
 Hoa Kỳ thắt chặt, ICOs chuyển sang các khu vực pháp lý khác (Quần đảo
Cayman/Bermuda)
 Trò chơi mèo đuổi chuột
4. Tuân thủ liên quan đến tiền
điện tử và ICOs
Quy định của Chính phủ

 Chính phủ quản lý chứng khoán chặt chẽ

 Tiết lộ rủi ro
 “No no no” rule
 Chi phí tuân thủ cao
 ICO là một cách để lách các quy định về IPO
ICOs bắt đầu thay thế IPOs
 ~20% IPOs hiện là ICOs
 Hầu hết các ICOs ngày nay được tiếp thị dưới dạng "thông báo bán trước”
 Tương tự như quyền truy cập sớm vào trò chơi trực tuyến dành cho những
người ủng hộ sớm
 Thường sử dụng các thuật ngữ như "bán hàng, quyên góp hoặc huy động vốn
từ cộng đồng“
 Nói chung khá mạo hiểm
ICO của Berkleycoin

 Trái phiếu đô thị gắn liền với đồng đô la Mỹ

 Giúp tránh phí Phố Wall bằng cách liên hệ trực tiếp với các nhà đầu tư
 Tuân thủ mọi quy định về an ninh
5. Chính sách bảo mật, giám sát
việc tuân thủ và bảo vệ dữ liệu
Tuân thủ giám sát và bảo mật FinTech
 Mỹ và Châu Âu:
 AML/KYC
 Giao dịch và báo cáo toàn cầu
 Châu Âu: Bảo vệ dữ liệu (GDPR)
 Trung Quốc
 Kiểm toán Chính phủ
 Kiểm tra và phát hiện giao dịch
 Việc kiểm toán phải được thực hiện bởi công dân Trung Quốc
Thay đổi chính sách bảo vệ dữ liệu

 Luật mới của EU năm 2018

 Rủi ro đối với ngân hàng và các công ty FinTech là gì?
 Quy định mới, rủi ro mới
 Ai sở hữu dữ liệu?
 API mở
Nhiều quy định và cơ quan quản lý

 Luật pháp Hoa Kỳ, Châu Âu và Trung Quốc có thể xung đột
 Toàn cầu hóa/tầm nhìn toàn cầu
 Công nghệ có mặt trên toàn thế giới
 Vốn mang tính chất địa phương nhưng ngày càng trở nên toàn cầu
6. Tuân thủ thuế
Sự kiểm soát và quy định của chính phủ

 Vi phạm chính sách của chính phủ có thể dẫn đến thuế và tiền phạt
 Chính phủ muốn kiểm soát và đây là cách chính mà chính phủ cố gắng kiểm
soát hành vi
 Ví dụ: Kiểm soát tiền tệ và trao đổi tiền điện tử của Trung Quốc
 Tiền điện tử, tiền giấy và vàng: Nền kinh tế “ngầm”
Quy định và phân loại tài sản

 Các quy định như AML và KYC giúp kiểm soát các giao dịch và tiền bạc:
 Tăng cường kiểm soát và thu thuế
 Việc phân loại tài sản có thể khó khăn:
 Ví dụ: Chính sách tiền điện tử của Úc
Chính phủ tìm cách điều tiết các công ty tài chính nhằm thu thuế hoặc kiểm soát
tốt hơn các hoạt động kinh doanh và nền kinh tế hoặc để bảo vệ người tiêu dùng.

Bạn nghĩ mục tiêu nào trong số này là quan trọng nhất và có khả năng định hướng
nhất cho các quyết định chính sách của chính phủ? Tại sao?
CÔNG NGHỆ TÀI CHÍNH

QUẢN TRỊ RỦI RO VÀ KIỂM

SOÁT CỦA CHÍNH PHỦ
AML và KYC
AML = Anti Money Laundering

KYC = Know Your Customer

AML
 Ngăn chặn tội phạm, tống tiền, gian lận và các hoạt động bất hợp pháp
 Giúp chính phủ theo dõi tiền bất hợp pháp
 Ngăn chặn người dân trốn thuế
KYC
 Yêu cầu của chính phủ phải tuân thủ pháp luật
 Ngăn chặn và xác định các hành vi gian lận tài chính và rửa tiền
 Báo cáo khách hàng các hoạt động bất hợp pháp nếu cần thiết
AML & KYC
AML và KYC giúp chính phủ bảo vệ xã hội
 AML & KYC
XXX Trốn thuế bất hợp pháp
AML & KYC
Chính phủ sử dụng AML & KYC để kiểm soát tiền tệ:
 Tiền điện tử khó kiểm soát
 Chính phủ muốn quản lý tiền điện tử để thu thuế TNCN trên lãi vốn
 Hầu hết các nhà đầu tư Bitcoin đều tránh thuế TNCN trên lãi vốn
AML & KYC
Chính phủ Mỹ có quy định nghiêm ngặt về tránh thuế
 Công dân Hoa Kỳ ở nước ngoài có tài khoản ngân hàng nước ngoài phải báo
cáo hàng năm.
 Có thể bị phạt 10.000 USD nếu báo cáo muộn.
AML & KYC
Các công ty Fintech cũng phải tuân thủ AML & KYC

 Chính phủ có thể hồi tố và quản lý các công ty FinTech bằng AML & KYC
 Các công ty FinTech có thể phải đối mặt với mức phạt khổng lồ và bị đóng
cửa nếu không tuân thủ quy định
Quy định trong ngân hàng
 cơ bản
 ưu tiên hàng đầu
 phải tuân theo quy định
Quy định Fintech bây giờ?
 Các công ty khởi nghiệp Fintech tham khảo ý kiến ​của cơ quan quản lý
 Quy định đang phát triển và cải thiện
Quy định = Rào cản?
 Quy định là tốt
 Công nghệ tạo ra những đổi mới và cơ hội mới có thể
FinTech được quản lý như thế nào?
 Triển khai RegTech
 Các cơ quan quản lý đang nghiên cứu quy định phù hợp để triển khai công
nghệ trong xã hội một cách an toàn
Giảm thiểu quy định có thể dẫn đến khủng hoảng?

 Những thay đổi do công nghệ và Internet thúc đẩy khiến xã hội trở nên phức
tạp hơn
 Quy định phải đi theo xu hướng
 Giảm thiểu rủi ro quan trọng
Phản hồi tiêu cực là cần thiết
 Phản hồi tiêu cực giống như quy định
 Phản hồi tiêu cực giúp cải thiện
 Quản lý phản hồi là quan trọng
Cơ hội cho RegTech
 Tự động hóa giúp tuân thủ quy trình thủ công hiệu quả hơn
 AI giúp xác minh liệu ngân hàng tuân thủ quy định
 Dữ liệu lớn và đám mây
VD về chống rửa tiền
 Tự động hóa thay thế giấy tờ
 Hiểu rõ khách hàng của hơn
 Dịch vụ khách hàng cá nhân tốt hơn
RegTech giúp tuân thủ quy định như thế nào?

 T&C truyền thống phải tuân thủ các quy định và pháp luật phức tạp
 Ngân hàng có thể cải thiện cách họ cung cấp và tương tác với khách hàng
 Làm cho việc tuân thủ hiệu quả hơn
2. Quản lý rủi ro và kiểm soát của
chính phủ
QĐ của chính phủ nhằm bảo vệ người tiêu dùng

Gian lận tài chính và cung cấp thông tin sai lệch:
 ngăn chặn người tiêu dùng bị lừa gạt
 ngăn chặn các tổ chức tài chính lừa người tiêu dùng
Quỹ đầu tư mạo hiểm (VC) có thể có lãi suất >50%

 Trung bình, VC không sinh lãi

 Một số khoản đầu tư mạo hiểm có thể thất bại
 VC cần lợi nhuận cao hơn với các khoản đầu tư rủi ro cao

-> Quá nhiều quy định có thể ngăn cản đầu tư

QĐ của chính phủ nhằm bảo vệ người tiêu dùng

Nhận rủi ro không thể chấp nhận được

 ngăn chặn các nhà đầu tư nhỏ tham gia vào hoạt động cờ bạc không thể chấp
nhận được
 ngăn chặn lừa đảo và gian lận với diện rộng (mass consumer scams & fraud)
 Điều chỉnh pump and dump schemes
QĐ của chính phủ nhằm bảo vệ người tiêu dùng

Vi phạm dữ liệu thông tin cá nhân

 các công ty sử dụng khai thác và phân tích dữ liệu (data mining, analytics) để
biết thêm về khách hàng của họ
 các công ty bán thông tin cá nhân của người tiêu dùng
 quy định mới về quyền riêng tư và bảo vệ dữ liệu
Đánh đổi giữa bảo hiểm và quyền riêng tư
 người tiêu dùng không muốn các công ty bảo hiểm biết thông tin sức khỏe của
họ
 phí bảo hiểm thấp hơn nếu công ty bảo hiểm biết dữ liệu y tế của khách hàng
 ít bảo vệ quyền riêng tư dữ liệu của người tiêu dùng
Luật bảo mật dữ liệu khác nhau giữa các khu vực pháp lý

Hồng Kông
 luật bảo mật dữ liệu nghiêm ngặt
Trung Quốc
 Nói chung ít được bảo vệ hơn
Hoa Kỳ
 nói chung ít được bảo vệ hơn
Quyền riêng tư dữ liệu y tế ở Hoa Kỳ
 dữ liệu y tế của bệnh nhân được bảo vệ tại phòng khám và bệnh viện
 dữ liệu y tế của bệnh nhân không được bảo vệ tại các hiệu thuốc
Đạo luật bảo vệ quyền riêng tư video của Hoa Kỳ
(VPPA)

 ngăn chặn việc tiết lộ hồ sơ cho thuê hoặc bán băng video
 ngăn chặn tiết lộ hồ sơ tải xuống video
 ngăn chặn tiết lộ lịch sử trình duyệt Internet
Tóm tắt quy định bảo vệ người tiêu dùng

 biết về luật riêng tư của người tiêu dùng ở các khu vực pháp lý khác nhau
 biết những hạn chế về dữ liệu bạn có thể chia sẻ, sử dụng và hỏi về khách hàng
của mình
Một trong những mục tiêu của AML & KYC theo quy
định của chính phủ

Tăng cường tuân thủ thuế

Sự kiểm soát của chính phủ vượt ra ngoài việc tuân thủ
thuế
CP kiểm soát lãi suất bằng quy định trong tài chính
CP kiểm soát sự phát triển kinh tế bằng các quy định

 tăng vốn ngân hàng và tỷ lệ dự trữ bắt buộc

 đặt ra những hạn chế pháp lý đối với việc vay mượn
Chính phủ Mỹ thay đổi quy định quản lý người cho vay
thế chấp
 Bằng cách thay đổi tỷ lệ nợ trên thu nhập trong việc trả nợ thế chấp
 Tăng từ 35% lên 50% khi giá bất động sản tăng
 Bằng cách thay đổi thời hạn trả nợ thế chấp
 Quy định suy yếu cho phép nhiều người mua nhà hơn
 tốt cho nền kinh tế
 rủi ro gia tăng cho người mua nhà
Chính phủ quy định yêu cầu dự trữ bắt buộc trong ngân
hàng
Dự trữ cao Dự trữ thấp
Lợi nhuận thấp hơn Lợi nhuận cao hơn
An toàn hơn Rủi ro hơn
Kìm hãm phát triển kinh tế Tốt cho phát triển kinh tế trong ngắn
hạn
Cơ quan quản lý muốn kiểm soát nhiều hơn

 Trả trước 30% tại Hồng Kông

 Các ngân hàng giới hạn số tiền người dân có thể vay ở Hồng Kông
 Thị trường bất động sản Hồng Kông ổn định hơn thị trường Mỹ với những quy
định chặt chẽ
Công nghệ có giúp các công ty đạt được sự tự do trước
các cơ quan quản lý không?

 Tiền mặt khó kiểm soát hơn.

 Tài khoản ngân hàng, tiền kỹ thuật số dễ theo dõi và quản lý hơn.
Internet hỗ trợ chính phủ Trung Quốc

 Vấn đề trốn thuế ở chính quyền địa phương

 Thông tin có thể không được báo cáo đầy đủ
 Công nghệ giúp chính phủ giám sát và kiểm soát
Thực thi quy định giúp chính phủ

 Tăng khả năng thu thuế

 Tăng khả năng nhận biết những gì xảy ra trong nền kinh tế
Một số công ty cũng muốn biết thêm về khách hàng của họ
Các công ty có thể biết về bạn nhiều hơn chính phủ:
Chính phủ TQ thu thập thông tin từ các tổ chức tài chính

Như một biện pháp kiểm soát:

 Hoạt động khủng bố
 Hoạt động rửa tiền
 Vân đề bảo mật
 Gian lận thuế
Công nhận quyền kiểm soát và quy định ở các quốc gia
khác nhau

 Kiểm soát không phải lúc nào cũng là điều xấu

 Kiểm soát là một giá trị quan trọng đối với các chính phủ thúc đẩy quy định và
an ninh
 Mức độ và cách thức kiểm soát khác nhau giữa các quốc gia
BH có mối liên hệ vô cùng chặt chẽ với các quy định

 Khó thành lập công ty bảo hiểm

 Tốn kém về vốn hơn so với ngân hàng
 Rất nhiều quy định trong ví dụ bảo hiểm nhân thọ, sức khoẻ, xe cộ
Quy định là sự kiểm soát đối với các công ty bảo hiểm

 ngăn ngừa phá sản khi xảy ra các khiếu nại lớn/có hệ thống
 ngăn chặn các công ty ảo tưởng về việc bảo vệ rủi ro
 ngăn ngừa sự gian lận
Đôi khi các công ty bảo hiểm có thể thoát khỏi các quy
định

 chấp nhận rủi ro cao hơn

 hứa những điều họ không thể thực hiện
 đặt giới hạn về phạm vi bảo hiểm bồi thường
Chính phủ có thể kiểm soát ngành BH như thế nào?

- Cố gắng giảm bớt các công ty bảo hiểm bán những sản phẩm họ không thể cung cấp
- Các công ty bảo hiểm chỉ nói với khách hàng rằng họ không được bảo hiểm cho một số
bệnh đã có từ trước khi bệnh nhân cố gắng yêu cầu bồi thường
Các công ty bảo hiểm phản đối Obamacare vì...

 có thể đưa ra nhiều yêu cầu bồi thường hơn nên lợi nhuận sẽ thấp hơn
 chi phí bảo hiểm tăng lên nên khách hàng khó có thể chi trả
BH là nền tảng trong việc bảo vệ xã hội

 Xã hội được bảo hiểm

 Nhiều người được tiếp cận với dịch vụ chăm sóc sức khỏe hơn
 Bảo vệ công dân trong trường hợp ngân hàng phá sản
Tất cả các chính phủ đều có một số loại BH chính phủ

2. Bảo hiểm công cộng chống cháy nhà

• BH nhân thọ tư nhân không hoạt động

• Lửa có thể lan rất nhanh ra cộng đồng
Đối với BH tư nhân, chính phủ nên điều tiết

 Đảm bảo bảo hiểm là có thật

 Không lừa đảo
 Không xuyên tạc
 Không gây hại cho người tiêu dùng
Nguyên tắc pháp luật trong bảo hiểm

Bất cứ khi nào một công ty đưa ra lời hứa/đảm bảo về sản phẩm/dịch vụ của họ
giống như một hợp đồng bảo hiểm sẽ có hiệu lực cao hơn mọi tuyên bố từ chối
trách nhiệm
Quy định của chính phủ đối với các công ty bảo hiểm

 Công ty bảo hiểm phải có một lượng vốn nhất định

 Dữ liệu để hỗ trợ mức độ rủi ro mà công ty có thể chấp nhận
 Báo cáo quản lý rủi ro
Các công ty BH có thể tạo ra sản phẩm mới và đánh lừa
cơ quan quản lý

 BH cho nhiều tổ chức tài chính số tiền khổng lồ cho các nghĩa vụ nợ có thế
chấp (CDO)
 Sụp đổ khi công ty không thể thanh toán những khoản bồi thường lớn
 Dẫn đến cuộc khủng hoảng tài chính toàn cầu năm 2008
Quy định yếu kém dẫn đến khủng hoảng và suy thoái
tài chính: AIG
Trước cuộc khủng hoảng tài chính?

 Vào giữa những năm 1970-1980, việc giảm bớt các quy định đối với các tổ
chức tài chính ở Mỹ
 Dẫn đến sự bùng nổ về lợi nhuận cho các nhà đầu tư và những người làm việc
trong lĩnh vực tài chính
 Người kiếm được mức lương cao gấp 10-100 lần trong ngành tài chính trong
vòng 20 năm
Trước năm 2008, các chủ ngân hàng đã sáng tạo hơn...

 Gói các khoản vay và bán cho các nhà đầu tư và đưa chúng ra khỏi bảng cân
đối kế toán
 Các khoản vay này sẽ không phải chịu yêu cầu dự trữ bắt buộc
 Gói các khoản vay rủi ro thành một gói sản phẩm (bundle) ít rủi ro hơn
(chẳng hạn như CDO)
các cơ quan xếp hạng cho biết những bảo hiểm đó có rủi ro thấp

tin rằng nó sẽ không bao giờ phải trả tiền

Nền kinh tế trở nên quá nóng

 CDO bị phát hiện là nợ khó đòi

 AIG nhận ra mình đã nhận quá nhiều rủi ro
 AIG không thể thanh toán và phá sản
Các ngân hàng lớn và AIG quá lớn để thất bại

 Chính phủ Mỹ phải cứu trợ AIG và trở thành chủ sở hữu cổ phần
 AIG thanh toán 100% cho các ngân hàng sử dụng vốn chính phủ
 Tuy nhiên, một số ngân hàng đầu tư và nhà đầu tư nhỏ đã phá sản và dẫn đến
khủng hoảng, suy thoái tài chính.
Các quy định suy yếu dẫn đến khủng hoảng tài chính và
suy thoái

Có cần quy định để tránh khủng hoảng với FinTech?

 Quy định tốt hơn
 Đánh giá chính xác rủi ro
 Bảo vệ người tiêu dùng khỏi gian lận
Sự cân bằng trong FinTech và quy định là quan trọng

 Các công ty khởi nghiệp FinTech không thể tránh khỏi việc tuân thủ luật pháp
và các quy định
 Các công ty khởi nghiệp FinTech phải tự bảo vệ mình, nhà đầu tư và người
tiêu dùng
Ngân hàng bị ám ảnh bởi quy định kể từ cuộc khủng
hoảng tài chính 2008

 Sự bùng nổ của công nghệ tiêu dùng áp dụng cho tài chính
 Các ngân hàng bị bỏ rơi khỏi cuộc cách mạng FinTech và sự bùng nổ dữ liệu lớn
 Các hãng thương mại điện tử trở thành các gã KHỔNG LỒ trong ngành tài chính
Too big to fail?

Tại sao các ngân hàng lớn lại quá lớn để có thể sụp đổ? Điểm đặc biệt gì ở ngân
hàng lớn khiến chúng trở nên nguy hiểm nếu sụp đổ?
3. Giới thiệu về gian lận, tội phạm
và an ninh
An ninh mạng - Dữ liệu và các công nghệ liên quan
 Tội phạm mạng vs tội phạm truyền thống

Tội phạm mạng Tội phạm truyền thống

Tội phạm ở hiện trường vụ án từ xa (VD:
hack mạng)
Có nhiều khả năng xảy ra ở khu vực pháp
lý khác
Không áp dụng luật quốc tế
Thông qua bên thứ ba
Tội phạm ở hiện trường vụ án (VD: cướp
NH)
Xảy ra ở cùng khu vực pháp lý
Áp dụng luật trong nước
Không thông qua bên thứ ba
Cảnh sát có thể bắt giữ tội phạm ở khu vực pháp lý khác
không?

 Khó khăn nếu tội phạm được chia thành nhiều phần khác nhau và được thực
hiện ở các quốc gia khác nhau
 Phần riêng lẻ không thể được xác định là tội phạm
 Trừ khi Cảnh sát điều tra và kết hợp tất cả các phần
Distributed denial of service (DDos) attack

 Cài phần mềm độc hại vào máy tính có độ bảo mật thấp
 Máy chủ chỉ huy và điều khiển có thể điều khiển từ xa tất cả các máy tính này
 Tấn công một hệ thống máy tính mục tiêu cùng một lúc, do đó trở thành tội
phạm lớn
Việc này liên quan đến Fintech như thế nào?

 Tấn công mạng vào các công ty Fintech dễ gây ra tổn thương
Việc này liên quan đến Fintech như thế nào?

VD: dịch vụ ngân hàng số

 Mô hình bảo mật Bảo mật, Toàn vẹn và Sẵn sàng (CIA)
 Máy chủ không kết nối được với ngân hàng trực tuyến là một rủi ro cao
 “Tôi không thể sử dụng ví điện tử của mình để trả tiền taxi, tại sao?”
 Tấn công hệ thống giao dịch bằng DDos + thao túng thị trường
= Tội phạm tài chính
Việc này liên quan đến Fintech như thế nào?

 Các nhà đầu tư hiện sử dụng robot giao dịch thay vì bàn phím
 Các robot phản ứng ngay lập tức khi nhận được tin tức
 Nếu giao dịch không thông qua máy chủ được, nó sẽ thực hiện giao dịch nhiều
lần
 Hiệu ứng quả cầu tuyết biến thành DDos
Các câu hỏi chính về an ninh mạng trong FinTech

1. Có ý định phạm tội không?

2. Đây có phải là giao dịch tần suất cao thực sự không?
3. Hệ thống của bạn không đáp ứng được dung lượng?
4. Hay đó là một cuộc tấn công có ác ý?
Tội phạm mạng - dữ liệu đã bị đánh cắp và thậm chí
không biết!
 Nạn nhân thường không nhận ra dữ liệu của mình đã bị đánh cắp
 Cho đến khi đối thủ cạnh tranh biết về thông tin bí mật của bạn
 Ví dụ: Một công ty bảo hiểm nhận thấy một đối thủ cạnh tranh liên hệ với khách
hàng của họ 6 tuần trước khi hợp đồng của họ kết thúc
Làm thế nào để bạn biết dữ liệu của bạn đã bị đánh cắp?

 Cực kỳ khó khăn

 Một số nhà lập pháp đề xuất rằng các công ty phải báo cáo nếu dữ liệu bị đánh
cắp
Điều gì sẽ xảy ra nếu dữ liệu bị đánh cắp?

1. Tống tiền qua mạng đối với các công ty vì đã tiết lộ dữ liệu của họ ở nơi công cộng
Ví dụ: Trả tiền chuộc bằng Bitcoin

2. Người tố giác từ các nhân viên cũ tới các công ty đã tiết lộ dữ liệu một cách công
khai.
Ví dụ: trường hợp Facebook
Thách thức cơ quan thực thi pháp luật

1. Ngay cả khi bạn xác định được hacker và tìm thấy bản sao dữ liệu
 Có bao nhiêu bản sao vẫn còn ở đó?
 Bảo vệ dữ liệu rất khó so sánh với tài sản vật chất
Thách thức cơ quan thực thi pháp luật

2. Khó thay thế dữ liệu cá nhân của bạn

• Thẻ tín dụng/mật khẩu có thể được cấp lại
• Nhưng giờ đây, sinh trắc học là một phần tài sản kỹ thuật số của khách hàng
• Khó có bộ sinh trắc học mới của khách hàng
Thách thức cơ quan thực thi pháp luật

3. Xác thực kỹ thuật số dễ bị đánh cắp

• Khách hàng thường xuyên quên câu trả lời bảo mật và mật khẩu
• Dễ bị người khác lấy mất
• Nhân viên ngân hàng có thể thay đổi công việc và đánh cắp dữ liệu của bạn
Ngân sách doanh nghiệp chuyển sang trung tâm dữ liệu
và an ninh mạng

Ví dụ: Vi phạm dữ liệu của Sony

• Tội phạm có thể sử dụng dữ liệu bị đánh cắp để tống tiền khách hàng
• Có thể gây ra vụ tống tiền lớn trên mạng
An ninh mạng - Các vấn đề liên quan đến con người

 Human is the weakest link in cyber security

 Corporate spent lots of money to protect their data
1. Corporte knowledge/trade secret
2. Digital data of physical assets
Điều quan trọng là phải chi tiền cho công nghệ an ninh
mạng
Hacker nội bộ vẫn là kẻ tấn công lớn vào hệ thống doanh
nghiệp

 Hầu hết người dùng được ủy quyền/đặc quyền đã lạm dụng hệ thống, gây ra vi
phạm dữ liệu
 Tội phạm đã sao chép dữ liệu thay vì xóa bản gốc
 Chủ sở hữu dữ liệu vẫn có thể sử dụng dữ liệu gốc
Ý định của tội phạm mạng đã thay đổi

 Tin tặc mạng ban đầu bị điều khiển bởi cái tôi
Ví dụ: Hack vào hệ thống chính phủ
• Giờ đây tội phạm mạng đang nhắm đến lợi ích tài chính
Ví dụ: Ăn cắp tài sản kỹ thuật số
Tại sao tội phạm lại cướp một công ty FinTech nhỏ thay
vì một ngân hàng lớn?

1. Tống tiền quy mô lớn có lợi hơn

Ví dụ: Cuộc tấn công ransomware WannaCry
 Dữ liệu cá nhân bị bọn tội phạm mã hóa
 Nạn nhân được yêu cầu trả Bitcoin để công bố dữ liệu
Tại sao tội phạm lại cướp một công ty FinTech nhỏ thay
vì một ngân hàng lớn?

2. Cơ hội báo cáo tội phạm của cá nhân thấp

3. Việc thực thi pháp luật khó khăn hơn
Có vẻ như không có nạn nhân trong vụ vi phạm dữ liệu...

 Dữ liệu được sử dụng để phân tích nhằm nghiên cứu hành vi của khách hàng
 Kết quả có thể được sử dụng để đưa ra một mô hình mới
 Mô hình mới có thể được bán cho các công ty khác
Tuy nhiên, nó có thể dẫn đến sự thay đổi trong xã hội

Ví dụ: Vụ bê bối phân tích Facebook & Cambridge

 Không chỉ vi phạm dữ liệu
 Phân tích dữ liệu có thể ảnh hưởng đến cuộc bầu cử
Khó quản lý tội phạm mạng

 Khó xác định nạn nhân của tội phạm mạng

 Ý định phạm tội là không rõ ràng
 Pháp luật khó khăn

=> Phải chứng minh vi phạm an ninh mạng là tội phạm!

Thu thập dữ liệu từ người tiêu dùng có phải là tội phạm
không?

Ví dụ: Thu thập dữ liệu y tế trong lĩnh vực y tế công cộng

 Bán cho các công ty dược phẩm để phát triển các loại thuốc mới mang lại lợi
ích cho xã hội
 Tất cả dữ liệu nhận dạng cá nhân đã bị ẩn
Tại sao việc thu thập dữ liệu lại quan trọng đối với
FinTech?

1. Dự đoán ý kiến của mọi người về cách họ sẽ đầu tư và cách họ phản ứng với
tin tức
Ví dụ: Quảng cáo ICO
Tại sao việc thu thập dữ liệu lại quan trọng đối với
FinTech?

2. Việc bảo vệ việc sử dụng dữ liệu của con người gặp khó khăn về mặt an ninh
mạng
• Ngăn chặn nó bị đánh cắp
• Ngăn chặn người dân làm trái pháp luật
• Xác định hoặc phát hiện nếu có sự cố bảo mật
• truy tố
Pháp luật toàn cầu về quy định an ninh mạng còn khó
khăn

 Không có thẩm quyền? Không thể nào!

 Vấn đề khó khăn
 Tội phạm hay anh hùng?
 Ví dụ: vụ án Edward Snowden
Tội phạm ở Mỹ
Anh hùng ở Nga
Hành vi của con người trong tội phạm mạng khó khăn
hơn tội phạm truyền thống

 Bằng khả năng trí tuệ thay vì vũ lực

 Ví dụ: Tạo bản sao xác thực kỹ thuật số của bạn trong ứng dụng FinTech
 Con người là mắt xích yếu nhất trong an ninh mạng
VD - Nhờ ai đó sử dụng mã pin và thẻ ATM của bạn

 Không sao trong thế giới vật chất

 Tuy nhiên, quyền truy cập thứ hai vào tài khoản ngân hàng trực tuyến có phải
là quyền không?
VD: Ai đó có thể sử dụng tài khoản của bạn để rửa tiền
Các biện pháp kiểm soát vấn đề con người trong an ninh
mạng là gì?

 Chính sách nhân sự tốt

 Đào tạo nhân viên tốt
 Kiểm toán nội bộ
 Bạn đã bao giờ bị mất điện thoại ở cơ quan chưa?
 Bạn đã bao giờ bị mất điện thoại ở cơ quan và cảm thấy hoảng loạn chưa? Làm
cách nào công ty có thể bảo vệ dữ liệu trên điện thoại cơ quan của nhân viên?
Pháp y kỹ thuật số và khám phá bằng chứng điện tử

Pháp y truyền thống dựa vào bản chất của khoa học:
 Xác định máu tội phạm, DNA, dấu vân tay
 Nhưng điều tra tội phạm mạng cần dựa vào pháp y kỹ thuật số
Hầu hết hệ thống hạ tầng được xây dựng mà không xem
xét đến pháp y kỹ thuật số

 Chỉ tập trung vào hiệu quả hoạt động

 Làm cách nào để chúng tôi xác định danh tính thực sự của khách hàng trực
tuyến?
Làm cách nào để xác định danh tính thực sự của khách
hàng trực tuyến?
Làm thế nào để nhận diện tội phạm mạng trong thế giới
kỹ thuật số?

• Hacker từ Trung Quốc bị cảnh sát HK theo dõi trực tuyến

• Quán cà phê mạng của Trung Quốc cần ID vật lý để đăng ký
Làm thế nào để nhận diện tội phạm mạng trong thế giới
kỹ thuật số?
Ví dụ. Viện cớ người dùng thứ hai đã kiểm soát máy tính của tội phạm

Phải trải qua một cách có hệ thống như pháp y kỹ thuật số để xác định tội
phạm

Bằng chứng điện tử rất quan trọng

Ví dụ: Tranh luận về hợp đồng điện tử

 Khách hàng yêu cầu thay đổi hợp đồng qua email
 Nhà cung cấp không thay đổi hợp đồng nhưng khách hàng đã ký
 Do đó, pháp y kỹ thuật số có thể giúp ích trong vụ án
Pháp y kỹ thuật số rất quan trọng đối với FinTech

 Hợp đồng thông minh

 Thanh toán kỹ thuật số
 Đề nghị: Một số dấu vết kỹ thuật số nhất định phải được lưu giữ trong hệ
thống như sao lưu dữ liệu
Cảnh sát hoặc công ty có chịu trách nhiệm về pháp y kỹ
thuật số không?

Ví dụ: Nếu ai đó báo cáo sự cố bảo mật:

 Mở cuộc điều tra
 Phân tích tội phạm
 Thu thập bằng chứng
Cảnh sát hoặc công ty có chịu trách nhiệm về pháp y kỹ
thuật số không?

• Bằng chứng điện tử có thể thay đổi khi hệ thống máy tính chạy liên tục
• Pháp y kỹ thuật số trực tiếp là điều cần thiết
• Không thể dừng toàn bộ hệ thống để điều tra
Nhiều hoạt động điều tra kỹ thuật số được thực hiện bởi
các chuyên gia khác

 Những bằng chứng điện tử đó có được tạo ra vào thời điểm nhất định không?
 Xác minh là cần thiết
 Ngay cả trong vụ án dân sự, chuyên gia pháp y kỹ thuật số cũng cần thiết để
kiểm tra bằng chứng
Sự tuân thủ trong ngân hàng cũng cần pháp y kỹ thuật số

 Cần có các công cụ và kỹ thuật pháp y kỹ thuật số để bảo quản bằng chứng
điện tử
 Nắm bắt thông tin
 Báo cáo với Công an
 Bảo quản bằng chứng cần tuân thủ và thực hành tốt nhất
Doanh nghiệp có thể không = báo cáo tội phạm mạng
cho cảnh sát

Trừ khi công ty tuân theo quy định của chính phủ
Ví dụ: Ngân hàng và công ty bảo hiểm
 Tránh đưa tin và truyền thông
 Xử lý nội bộ hoặc xóa sổ
 Báo cáo chuyên gia pháp y kỹ thuật số cho quản lý cấp cao
Cơ hội của pháp y kỹ thuật số trong tương lai lớn đến
mức nào?

 Xu hướng trong các khóa học pháp y kỹ thuật số của các sĩ quan cảnh sát đã
nghỉ hưu tại các trường đại học và công ty kiểm toán
 Nhu cầu từ các công ty tài chính về tuân thủ và kiểm toán kỹ thuật số
Bao nhiêu phần trăm tội phạm máy tính đang xảy ra
trong ngành tài chính?

 Gần 70% liên quan đến ngành tài chính

 Có lẽ nhiều hơn ở các công ty FinTech
Startup FinTech cần ý thức bảo vệ an ninh mạng

 Tội phạm mạng có thể nhắm tới các công ty FinTech nhỏ thay vì các ngân
hàng lớn có bảo mật mạng cao
 Các công ty xử lý dữ liệu tài chính như thẻ tín dụng, khách sạn, bán lẻ, bảo
hiểm có thể là mục tiêu của tin tặc
Ví dụ - Lừa đảo lấy cắp danh tính cá nhân

 Ai đó nộp đơn yêu cầu bảo hiểm với danh tính và số an sinh xã hội của nạn
nhân
 Khiếu nại đã được gửi đến một địa chỉ khác trước khi nạn nhân nhận ra
 Số lượng gian lận trong y tế là rất lớn
Luật mẫu của Liên hợp quốc về thương mại điện tử và
FinTech

 Ủy ban Liên Hợp Quốc về Luật Thương mại Quốc tế

Luật mẫu của Liên hợp quốc về thương mại điện tử và
FinTech

 Internet không có ranh giới hoặc quyền tài phán

 Phục vụ quy định về thương mại điện tử và an ninh mạng
 Các nước ký kết sẽ cập nhật luật theo khuôn khổ
Liên Hợp Quốc có thông qua luật không?

 Không. Chỉ có sự thỏa thuận của các nước ký kết

 Tài liệu tham khảo về các quốc gia này về cách cập nhật luật của họ
 Điều chỉnh luật pháp địa phương ở các khu vực pháp lý khác nhau
Luật mẫu của Liên hợp quốc giúp ích được bao nhiêu?

 Cung cấp điểm chuẩn để các thành viên cùng đi về một hướng
 Tạo điều kiện thuận lợi cho việc bảo vệ an toàn mạng trên toàn cầu
Ví dụ - Bảo quản bằng chứng số

Bảo quản bằng Chuẩn bị hồ sơ pháp

chứng kỹ thuật số lý

Country C

Thực hiện tội phạm mạng

Ví dụ - Bảo quản bằng chứng số

 Dễ dàng xác định nguồn tấn công

 Tiêu chuẩn tương tự về độ tin cậy của bằng chứng
 Pháp luật tương tự giúp xác minh bằng chứng
Luật mẫu của Liên Hợp Quốc quan trọng như thế nào
đối với FinTech?

 Rất nhiều công nghệ chữ ký số (PKI) được triển khai trong triển khai FinTech
 PKI = Cơ sở hạ tầng khóa riêng (Private Key Infrastructure)
 PKI có thể được các quốc gia công nhận là chữ ký vật lý nhờ luật mẫu của
Liên hợp quốc
PKI là công nghệ chữ ký số có độ bảo mật cao
Việc sử dụng PKI để lừa đảo khó hơn chữ ký vật lý

 Kể cả khi thuật toán mở bị bẻ khóa, người ta vẫn có thể tạo ra thuật toán mới
 PKI + sổ cái phân tán + blockchain
=> Cực kỳ khó để bẻ khóa và lừa đảo!
Liệu nó có tạo ra những cơ hội FinTech mới không?

Ví dụ. Vô tình gửi email nhầm người

1. Giải pháp RegTech về bộ đệm email gửi đi
Liệu nó có tạo ra những cơ hội FinTech mới không?

2. Nhận diện chữ ký số giả mạo trong ngành tài chính bằng RegTech
3. RegTech trên AML & KYC
Luật mẫu của Liên hợp quốc có bao gồm dữ liệu mở
trong ngành tài chính không?

 Không chính xác

 Tập trung vào hoạt động thương mại điện tử trên Internet
 Cung cấp cho các thành viên sự tín nhiệm trong ngành tài chính trên toàn cầu
Ví dụ - Sao kê ngân hàng kỹ thuật số

• Nhận biết báo cáo điện tử

• Giúp tạo thuận lợi cho hoạt động thương mại điện tử
• Tăng tốc độ xác minh tài liệu
Luật mẫu của Liên hợp quốc có bao gồm tội phạm mạng
trong ngành tài chính không?

 Đúng. Tại Châu Âu

 Chấp nhận bằng chứng điện tử tại tòa án

Ví dụ: Cướp ngân hàng

 Bằng chứng CCTV
 Theo dõi tín hiệu điện thoại di động
 Liệu Uber có thể bị kiện vì sơ suất vì không làm đủ công nghệ để bảo vệ tính
mạng con người?
 https://tuoitre.vn/xe-tu-lai-cua-uber-lan-dau-tien-tong-chet-nguoi-o-my-20180
320055444834.htm
Luật mẫu của Liên hợp quốc rất quan trọng trong ngành
tài chính

 Tiêu chuẩn thực tế trong hệ thống ngân hàng

 Các tổ chức tài chính phải tuân thủ tiêu chuẩn ngành
Ví dụ: An ninh mạng và bảo vệ dữ liệu
 Bất cẩn trong quy định có thể phải chịu trách nhiệm pháp lý dân sự
Khuyến nghị dành cho các công ty FinTech về an ninh
mạng

 Tài sản quan trọng nhất là DỮ LIỆU

 Bảo vệ dữ liệu là quan trọng nhất!
1. Kiểm soát truy cập dữ liệu
2. Mã hóa dữ liệu
3. Áp dụng nguyên tắc quyền tối thiểu (PoLP)
4. Chỉ định những người dùng khác nhau với quyền kiểm soát truy cập khác nhau
của hệ thống
Xung đột giữa tính dễ truy cập và bảo vệ dữ liệu

Tính dễ truy cập Bảo vệ dữ liệu

Tốt cho lớp ứng dụng FinTech Tốt cho lớp quy định FinTech (RegTech)
Tốt cho người dùng cuối Bảo vệ doanh nghiệp và người dùng cuối
Dễ dàng bị bọn tội phạm đánh cắp dữ Người dùng đặc quyền chỉ có thể truy
liệu cập dữ liệu
Điều gì sẽ xảy ra nếu công ty FinTech bị tấn công mạng?

1. Xác định nguồn gốc, nguyên nhân và mục đích tấn công mạng
2. Nhìn vào tác động của cuộc tấn công
3. Xem xét trách nhiệm pháp lý (với tư cách là người nắm giữ dữ liệu)
4. Báo cáo vụ việc cho nạn nhân
5. Cân nhắc báo cáo cơ quan thực thi pháp luật (Tránh thêm nạn nhân)
Đây vẫn là một quá trình học hỏi trong việc bảo vệ an
ninh mạng FinTech

 Công nghệ mới ra mắt rất nhanh

 Cần thời gian để đối phó với tội phạm mạng mới
 Thêm nghĩa vụ pháp lý trong báo cáo tội phạm mạng