Mã xác thực giao dịch là gì?

Transaction Authentication Code (OTP/TAC) Pháp lý ~11 phút đọc

Mã xác thực giao dịch là gì?

Mã xác thực giao dịch (Transaction Authentication Code – viết tắt là TAC, phổ biến hơn với tên gọi OTP – One Time Password) là một chuỗi ký tự số hoặc kết hợp số – chữ được hệ thống ngân hàng tạo ra tự động và chỉ có giá trị sử dụng duy nhất một lần cho một giao dịch cụ thể. Mã này đóng vai trò là "chìa khóa" xác nhận cuối cùng, giúp ngân hàng xác minh rằng giao dịch đang được thực hiện bởi chính chủ tài khoản, chứ không phải bởi một đối tượng gian lận nào đó đã chiếm đoạt được thông tin đăng nhập. Theo Quyết định 16/2020/QĐ-NHNN của Thống đốc Ngân hàng Nhà nước Việt Nam, mã xác thực giao dịch là một yếu tố bắt buộc trong quy trình bảo mật ngân hàng điện tử, có giá trị pháp lý tương đương chữ ký điện tử trong việc chứng minh ý chí giao dịch của khách hàng.

Cơ chế hoạt động của mã xác thực giao dịch dựa trên nguyên lý xác thực hai yếu tố (Two-Factor Authentication – 2FA), tức là ngoài thông tin đăng nhập (tên đăng nhập và mật khẩu), khách hàng còn phải cung cấp thêm một yếu tố thứ hai mà chỉ họ có thể tiếp cận. Khi khách hàng khởi tạo giao dịch trên các kênh Internet Banking, Mobile Banking hoặc khi thanh toán thẻ trực tuyến qua hệ thống 3D Secure, hệ thống ngân hàng sẽ tự động sinh một mã ngẫu nhiên (thường gồm 6 chữ số) và gửi đến khách hàng qua kênh đã đăng ký trước đó. Mã này có thời hạn hiệu lực rất ngắn, thông thường từ 30 giây đến 5 phút, và chỉ sử dụng được cho đúng một giao dịch. Nếu khách hàng nhập sai quá số lần quy định (thường từ 3 đến 5 lần) hoặc để hết thời gian hiệu lực, mã sẽ tự động bị hủy và khách hàng phải yêu cầu cấp mã mới.

Về bản chất pháp lý, mã xác thực giao dịch được xem là một dạng chữ ký điện tử (Electronic Signature) theo quy định của Luật Giao dịch điện tử năm 2023. Khi khách hàng nhập đúng mã này và hoàn tất giao dịch, hệ thống sẽ ghi nhận đây là sự chấp thuận của chủ tài khoản, từ đó tạo thành bằng chứng điện tử có giá trị để giải quyết tranh chấp nếu phát sinh. Toàn bộ quá trình tạo mã, gửi mã, nhập mã và xác thực đều được mã hóa và lưu trữ trong hệ thống nhật ký giao dịch (transaction log) của ngân hàng, đảm bảo tính toàn vẹn và khả năng truy vết khi cần thiết.

Thuật ngữ tiếng Anh: Transaction Authentication Code (TAC) / One-Time Password (OTP)
Lĩnh vực: Pháp lý

Đặc điểm và phân loại

Đặc điểm cơ bản của mã xác thực giao dịch

  • Tính duy nhất (Uniqueness): Mỗi mã chỉ gắn liền với một giao dịch cụ thể, không thể tái sử dụng cho bất kỳ giao dịch nào khác.
  • Tính tạm thời (Time-limited): Thời hạn hiệu lực ngắn, dao động từ 30 giây đến 5 phút tùy theo chính sách của từng ngân hàng.
  • Tính bảo mật (Confidentiality): Mã chỉ được gửi đến thiết bị/kênh riêng của chủ tài khoản, không ai khác có quyền truy cập.
  • Tính ngẫu nhiên (Randomness): Mã được sinh ra bằng thuật toán ngẫu nhiên có độ phức tạp cao, không thể đoán trước bằng phương pháp thông thường.
  • Tính ràng buộc (Binding): Mã gắn liền với thông tin giao dịch (số tiền, người thụ hưởng); nếu thông tin giao dịch bị thay đổi, mã cũ sẽ tự động hết hiệu lực.

Phân loại mã xác thực giao dịch theo kênh phát hành

Loại mã Đặc điểm Ưu điểm Hạn chế
SMS OTP Gửi qua tin nhắn SMS đến số điện thoại đã đăng ký dịch vụ Dễ sử dụng, phổ biến, không cần cài đặt thêm Rủi ro SIM swap, phụ thuộc sóng di động, có thể bị trễ
Smart OTP Mã sinh trực tiếp trên ứng dụng ngân hàng cài trên smartphone Bảo mật cao, hoạt động offline, không phụ thuộc sóng Cần smartphone tương thích, mất máy thì phải xác minh lại
Email OTP Gửi qua địa chỉ email đã đăng ký với ngân hàng Tiện lợi khi không có điện thoại, miễn phí Bảo mật thấp hơn, dễ bị lộ nếu email bị hack
Hardware Token Thiết bị phần cứng chuyên dụng sinh mã (ví dụ: RSA SecurID, Yubikey) Bảo mật rất cao, không phụ thuộc điện thoại Chi phí cao, ít phổ biến tại Việt Nam
Soft Token Ứng dụng bên thứ ba như Google Authenticator, Authy, Microsoft Authenticator Đa năng, dùng cho nhiều dịch vụ cùng lúc Phụ thuộc đồng bộ thời gian của thiết bị
3D Secure OTP Mã OTP cho giao dịch thẻ trực tuyến (Verified by Visa, Mastercard SecureCode) Bảo vệ giao dịch thẻ online, chuyển rủi ro cho ngân hàng phát hành Phụ thuộc đăng ký dịch vụ từ trước

Phân loại theo thuật toán sinh mã

  • TOTP (Time-based OTP): Mã thay đổi theo thời gian, thường có hiệu lực 30 – 60 giây. Đây là thuật toán được sử dụng phổ biến nhất trong Smart OTP và Soft Token.
  • HOTP (HMAC-based OTP): Mã thay đổi theo số lần sử dụng, dựa trên bộ đếm (counter), thường có hiệu lực cho đến khi được dùng.
  • SMS OTP ngẫu nhiên: Mã sinh ngẫu nhiên phía máy chủ ngân hàng, gửi qua tổng đài tin nhắn.

Ví dụ thực tế trong ngành ngân hàng

Ví dụ 1: Chuyển tiền qua Mobile Banking với SMS OTP

Anh Nguyễn Văn A – khách hàng lâu năm của Ngân hàng A – có nhu cầu chuyển 50.000.000 đồng cho đối tác kinh doanh để thanh toán hợp đồng cung cấp hàng hóa. Sau khi đăng nhập ứng dụng Mobile Banking bằng vân tay, anh nhập số tài khoản thụ hưởng 1234xxxxxx tại Ngân hàng B, số tiền 50.000.000 đồng và nội dung chuyển khoản. Hệ thống hiển thị bảng xác nhận giao dịch, đồng thời tự động gửi một mã OTP gồm 6 chữ số đến số điện thoại 0901xxx789 đã đăng ký dịch vụ. Anh A nhập mã này trong vòng 60 giây, giao dịch hoàn tất, số dư tài khoản giảm từ 120.000.000 đồng xuống 70.000.000 đồng. Nếu sau 5 phút anh không nhập mã, hệ thống sẽ tự động hủy mã và yêu cầu khởi tạo giao dịch mới từ đầu.

Ví dụ 2: Thanh toán thẻ tín dụng trực tuyến với 3D Secure

Chị Trần Thị B sử dụng thẻ tín dụng quốc tế của Ngân hàng B (hạn mức 80.000.000 đồng/tháng) để thanh toán đơn hàng 3.500.000 đồng mua laptop tại một trang thương mại điện tử lớn. Khi nhấn nút "Thanh toán", hệ thống 3D Secure của Ngân hàng B tự động chuyển hướng chị sang trang xác thực và đồng thời gửi mã OTP đến email đăng ký [email protected]. Chị B mở email, nhập mã 6 chữ số, giao dịch được xác nhận thành công và chị nhận được hóa đơn điện tử qua email. Nếu kẻ gian lừa được thông tin thẻ qua website giả mạo nhưng không có quyền truy cập email của chị, giao dịch sẽ bị từ chối ở bước xác thực OTP, giúp chị tránh mất 3.500.000 đồng.

Ví dụ 3: Sử dụng Smart OTP trong vùng sâu vùng xa

Ngân hàng C triển khai ứng dụng Smart OTP cho phép sinh mã trực tiếp trên điện thoại thông minh mà không cần kết nối internet hay sóng di động. Khách hàng Lê Văn C – một doanh nhân thường xuyên công tác tại vùng núi phía Bắc – đã kích hoạt Smart OTP từ năm 2022 và thực hiện chuyển khoản 100.000.000 đồng cho nhà cung cấp ngay tại bản vùng cao không có sóng di động. Ứng dụng vẫn sinh được mã dựa trên thuật toán TOTP (Time-based OTP) dựa trên thời gian thực của thiết bị, giúp giao dịch hoàn tất an toàn. Theo báo cáo nội bộ của Ngân hàng C, tỷ lệ khách hàng chuyển sang dùng Smart OTP đã tăng từ 15% lên 65% trong vòng 2 năm (2022 – 2024), đồng thời số vụ gian lận liên quan đến tấn công SIM swap giảm 78%, tương đương tiết kiệm chi phí bồi thường khoảng 12 tỷ đồng/năm.

Mã xác thực giao dịch trong các ngôn ngữ khác

Ngôn ngữ Thuật ngữ Phiên âm
Tiếng Anh Transaction Authentication Code (TAC) / One-Time Password (OTP) /trænˈzækʃən ɔːˌθentɪˈkeɪʃən koʊd/ / /wʌn taɪm ˈpɜːswɜːd/
Tiếng Nhật 取引認証コード (TAC) / ワンタイムパスワード (OTP) Torihiki Ninshō Kōdo / Wan Taimu Pasuwādo
Tiếng Hàn 거래 인증 코드 (TAC) / 일회용 비밀번호 (OTP) Geolae Injeung Kodeu / Ilhoeryong Bimilbeonho
Tiếng Trung 交易验证码 (TAC) / 一次性密码 (OTP) Jiāoyì Yànzhèng Mǎ / Yīcìxìng Mìmǎ
Tiếng Tây Ban Nha Código de Autenticación de Transacciones (TAC) / Contraseña de un Solo Uso (OTP) /koˈðiɣo ðe au̯tentiˈkaθjon ðe tɾanˈsaθjon/ / /kontɾaˈseɲa ðe un ˈsolo ˈuso/

Câu hỏi thường gặp

Mã xác thực giao dịch khác gì mã PIN và mật khẩu đăng nhập?

Mã xác thực giao dịch (OTP) khác hoàn toàn với mã PIN và mật khẩu đăng nhập ở ba điểm chính. Thứ nhất, mã PIN và mật khẩu là cố định và có thể dùng nhiều lần trong suốt thời gian hiệu lực, trong khi OTP chỉ dùng được đúng một lần cho một giao dịch duy nhất. Thứ hai, OTP được sinh tự động bởi hệ thống ngân hàng theo thuật toán ngẫu nhiên, còn mật khẩu do khách hàng tự đặt và có thể thay đổi theo ý muốn. Thứ ba, OTP thường gắn liền với một giao dịch cụ thể (bao gồm số tiền, người thụ hưởng), nên ngay cả khi kẻ gian có được mã, chúng cũng không thể sử dụng cho giao dịch khác. Nhờ đó, OTP giúp giảm thiểu rủi ro bị lộ mật khẩu dẫn đến mất tiền, nâng cao đáng kể mức độ bảo mật cho khách hàng.

Khi nào cần biết về mã xác thực giao dịch?

Kiến thức về mã xác thực giao dịch đặc biệt quan trọng đối với những ai làm việc trong lĩnh vực ngân hàng, tài chính, công nghệ thông tin và pháp lý liên quan đến thanh toán điện tử. Đối với người ôn thi tuyển dụng ngân hàng, đây là nội dung thường xuyên xuất hiện trong các phần thi về ngân hàng điện tử, an toàn bảo mật, thanh toán không dùng tiền mặt và pháp lý giao dịch điện tử. Ngoài ra, mọi khách hàng sử dụng dịch vụ ngân hàng cũng cần hiểu rõ cơ chế hoạt động của OTP để tự bảo vệ mình, tránh bị lừa đảo bởi các đối tượng mạo danh nhân viên ngân hàng yêu cầu cung cấp mã qua điện thoại hoặc email. Theo thống kê của Ngân hàng Nhà nước, năm 2023 có hơn 70% vụ lừa đảo trực tuyến liên quan đến việc khách hàng tự cung cấp mã OTP cho kẻ gian.

Mã xác thực giao dịch ảnh hưởng thế nào đến khách hàng?

Mã xác thực giao dịch mang lại cho khách hàng hai mặt tác động rõ rệt. Về mặt tích cực, nó giúp bảo vệ tài khoản khỏi bị truy cập trái phép, tăng cường an toàn cho các giao dịch trực tuyến, đồng thời là bằng chứng pháp lý để khách hàng bảo vệ quyền lợi khi xảy ra tranh chấp với ngân hàng hoặc bên thứ ba. Về mặt hạn chế, khách hàng phải thực hiện thêm một bước xác thực, đôi khi gây bất tiện nếu điện thoại hết pin, mất sóng hoặc không có thiết bị thông minh. Thêm vào đó, nếu khách hàng vô tình hoặc cố ý cung cấp mã cho người khác, hậu quả có thể rất nghiêm trọng vì giao dịch sẽ được xem là do chính chủ tài khoản thực hiện – ngân hàng có quyền từ chối bồi thường theo quy định tại Điều 23 Quyết định 16/2020/QĐ-NHNN.

Tổng kết

Mã xác thực giao dịch (OTP/TAC) là một yếu tố bảo mật không thể thiếu trong hoạt động ngân hàng điện tử hiện đại, đóng vai trò then chốt trong việc xác minh danh tính và ý chí giao dịch của khách hàng. Với sự phát triển mạnh mẽ của thanh toán không dùng tiền mặt tại Việt Nam – nơi tỷ lệ giao dịch qua kênh số đã tăng trưởng hơn 30%/năm trong giai đoạn 2020 – 2024 – việc hiểu rõ cơ chế, phân loại và quy định pháp lý liên quan đến mã xác thực giao dịch là yêu cầu bắt buộc đối với cả cán bộ ngân hàng lẫn khách hàng sử dụng dịch vụ. Đây cũng là một nội dung trọng tâm trong các kỳ thi tuyển dụng ngân hàng mà thí sinh cần nắm vững lý thuyết lẫn thực tiễn để đạt kết quả cao.

🎓

Luyện thi với kiến thức này

Thuật ngữ này thường xuất hiện trong đề thi tuyển dụng ngân hàng

Chia sẻ thuật ngữ này:

🔗 Thuật ngữ liên quan 8