Khi ứng dụng trí tuệ nhân tạo trong lĩnh vực tài chính tăng tốc, Hàn Quốc đang đồng thời siết các yêu cầu về an ninh mạng, kiểm soát nội bộ và bảo vệ người tiêu dùng. Cơ quan quản lý cho biết việc mở rộng AI phải đi kèm năng lực ứng phó tốt hơn trước các rủi ro số như tấn công mạng và voice phishing.

Ngày 10/6, Ủy ban Dịch vụ Tài chính Hàn Quốc (FSC) tổ chức cuộc họp về ứng phó tấn công mạng và voice phishing trong kỷ nguyên AX tại Hiệp hội Ngân hàng ở Seoul. Cuộc họp do Chủ tịch FSC Lee Eok-won chủ trì, với sự tham dự của Chủ tịch Hiệp hội Ngân hàng Cho Yong-byeong, đại diện từ 5 tập đoàn tài chính lớn gồm KB, Shinhan, Hana, Woori và NongHyup, cùng Cơ quan Giám sát Tài chính, Cơ quan An ninh Tài chính, Cơ quan Cảnh sát Quốc gia và các chuyên gia khu vực tư nhân.

Theo FSC, chuyển đổi AI trong ngành tài chính không còn là lựa chọn mà đã trở thành cuộc đua về tốc độ. AI tạo sinh và tự động hóa nghiệp vụ có thể nâng hiệu quả dịch vụ, nhưng đồng thời cũng làm gia tăng rủi ro tấn công mạng và gian lận tài chính.

Cơ quan này đặc biệt lưu ý nguy cơ các mô hình AI hiệu năng cao bị lợi dụng để dò tìm điểm yếu bảo mật hoặc phục vụ hoạt động lừa đảo. Vì vậy, chiến lược AX không thể chỉ dừng ở triển khai công nghệ mà phải đi cùng với rà soát bảo mật và củng cố cơ chế bảo vệ người tiêu dùng.

FSC xác định hai nhóm rủi ro chính. Thứ nhất, các mô hình AI tiên tiến có thể bị sử dụng không chỉ để phát hiện lỗ hổng mà còn để lên kế hoạch và thực hiện tấn công mạng.

Thứ hai, voice phishing đang lan rộng nhờ công nghệ biến đổi giọng nói bằng AI, deepfake và thủ đoạn dụ người dùng cài ứng dụng độc hại. FSC cho rằng hệ thống phòng chống gian lận hiện nay có thể chưa đủ để chặn các hình thức tội phạm mới.

Để vừa thúc đẩy AX vừa tăng cường bảo mật, FSC quyết định mở rộng việc ứng dụng AI cho mục tiêu an ninh. Trước mắt, cơ quan này sẽ sớm cho phép ngoại lệ đối với quy định phân tách mạng để các tổ chức tài chính có thể sử dụng AI trong việc kiểm tra lỗ hổng bảo mật. Những hướng dẫn ứng phó đã được kiểm chứng trong quá trình này cũng sẽ được chia sẻ cho toàn ngành.

FSC cũng đặt mục tiêu trong năm nay triển khai phương án gỡ bỏ toàn diện quy định phân tách mạng đối với các tổ chức tài chính được lựa chọn, có đủ năng lực về AI và an ninh.

Việc nới quy định phân tách mạng được xem là chất xúc tác cho quá trình chuyển đổi AI của ngành tài chính. Tuy nhiên, cùng với đó, trách nhiệm quản trị an ninh của các tổ chức tài chính cũng sẽ tăng lên.

Khi cơ chế tách biệt giữa mạng nội bộ và mạng bên ngoài được nới lỏng một phần, các yêu cầu về kiểm thử bảo mật, kiểm soát truy cập, quản lý tài nguyên CNTT và kịch bản ứng phó sự cố sẽ trở thành điều kiện cơ bản trước khi mở rộng phạm vi ứng dụng AI.

Nội dung chống voice phishing cũng được đưa lên thành ưu tiên trọng tâm. FSC cho biết sẽ nâng cấp nền tảng AI chia sẻ và phân tích thông tin voice phishing mang tên ASAP, được triển khai từ tháng 10/2025 chủ yếu trong khối ngân hàng, đồng thời mở rộng phạm vi chia sẻ sang cả dữ liệu viễn thông và thông tin điều tra.

Cơ quan này dự kiến phân tích các mẫu hình bằng AI theo từng loại tội phạm để phát hiện sớm tài khoản đáng ngờ, đồng thời xây dựng hướng dẫn cho phép phong tỏa ngay tài khoản liên quan đến các thủ đoạn lừa đảo mới.

FSC cũng cho biết sẽ thúc đẩy sớm việc áp dụng cơ chế “trách nhiệm không có lỗi” đối với voice phishing, nhằm tăng trách nhiệm của các tổ chức tài chính và hỗ trợ cứu trợ nạn nhân hiệu quả hơn.

Nếu cơ chế này được triển khai, các tổ chức tài chính sẽ phải nâng chuẩn quản trị tổng thể, không chỉ ở khâu phát hiện giao dịch bất thường mà còn bao gồm phòng ngừa sự cố, hướng dẫn khách hàng và cơ chế bồi thường sau vụ việc.

Một thách thức khác là việc ứng phó không thể chỉ giới hạn ở từng định chế riêng lẻ. Các cuộc tấn công mạng hoặc vụ voice phishing dựa trên AI có thể lan từ hệ thống và hoạt động kinh doanh của một ngân hàng sang các điểm chạm khách hàng trong toàn tập đoàn tài chính, bao gồm thẻ, bảo hiểm và chứng khoán.

Vì vậy, cơ quan quản lý yêu cầu 5 tập đoàn tài chính lớn xây dựng cơ chế ứng phó ở cấp công ty mẹ. Các tập đoàn này cần triển khai diễn tập tấn công giả lập trên quy mô toàn tập đoàn, xây dựng kịch bản xử lý theo từng tình huống khủng hoảng, lập tổ chức chuyên trách về bảo mật và thiết lập cơ chế chia sẻ thông tin giao dịch đáng ngờ giữa các công ty thành viên.

Về phía doanh nghiệp, 5 tập đoàn tài chính cho biết đang đẩy nhanh việc hoàn thiện hệ thống ứng phó, trong đó có giám sát an ninh dựa trên AI, giải pháp tấn công giả lập, tổ chức chuyên trách về bảo mật và hệ thống phát hiện giao dịch bất thường thông minh.

Song song với đó, các biện pháp cứu trợ sau sự cố như bảo hiểm bồi thường thiệt hại do voice phishing cũng đang được xem xét. Xu hướng này cho thấy quản trị rủi ro số của ngành tài chính đang mở rộng theo hướng kết hợp giữa phòng ngừa, phát hiện và bồi thường.

Trong bối cảnh đó, các tổ chức tài chính đang chịu áp lực đồng thời từ yêu cầu đẩy nhanh chuyển đổi AI và tăng cường quản trị rủi ro. Việc mở rộng ứng dụng AI là nhiệm vụ thiết yếu để nâng năng suất và đổi mới dịch vụ, nhưng nếu xảy ra tấn công mạng hoặc voice phishing, tranh cãi về trách nhiệm của tổ chức tài chính cũng có thể gia tăng.

Xét về dài hạn, năng lực cạnh tranh AX của ngành tài chính sẽ không chỉ được quyết định bởi tốc độ ứng dụng AI, mà còn phụ thuộc vào mức đầu tư cho bảo mật, kiểm soát nội bộ và hệ thống bồi thường thiệt hại cho người tiêu dùng.

Ông Lee Eok-won nhấn mạnh rằng các tổ chức tài chính có năng lực và nguồn lực lớn cần mạnh dạn rời bỏ cách làm cũ để dẫn dắt thị trường và tạo ra các trường hợp thành công. Theo ông, điều đó sẽ giúp nhiều tổ chức khác có thêm cơ sở để tham gia đổi mới. Ông cũng kêu gọi các đơn vị “mạnh dạn tái cấu trúc năng lực cốt lõi thông qua AI”.

Một đại diện trong ngành tài chính nhận định, trong thời gian tới, quản trị rủi ro số sẽ trở thành nhiệm vụ trọng yếu của các tổ chức tài chính, vượt ra ngoài phạm vi phản ứng kỹ thuật của bộ phận an ninh CNTT để gắn kết kiểm soát nội bộ ở cấp tập đoàn với hệ thống bảo vệ người tiêu dùng.